arrow-downcloseCNNEcomment-02commentglobeplaylistsearchsocial-facebooksocial-googleplussocial-instagramsocial-linkedinsocial-mailsocial-moresocial-twittersocial-whatsapp-01social-whatsapptimestamptype-audiotype-gallery
Tecnología

Descifrando el código espía "Flame"

Por CNN en Español

(CNN) — La semana pasada varios grupos de congresistas estadounidenses se reunieron en un salón de conferencias en Washington, D.C. para oír a un representante de Symantec que les habló sobre el panorama actual con relación a las amenazas en el ciberespacio.

Como puede esperarse de evento anual de seguridad cibernética, muchas cifras se dieron a conocer: un incremento del 81% en ataques provenientes de malware, 5.500 millones de ataques se bloquearon a nivel global y cerca de 403 millones de malware diferentes, muchos de los cuales cuentan con variaciones sobre el mismo tipo de ataque autogenerado que tenían como objetivos a usuarios en todo el mundo.

Muchos de este tipo de amenazas ya son normales para Symantec, una potencia de la industria de seguridad digital. La protección contra virus antiguos y la detección de nuevos virus son sus fuente de ingresos. Y el negocio aparentemente es bueno, con cerca de 200,000 tipos de malware nuevo que reciben cada semana para su diagnóstico.

Esa es una de las razones por las que los empleados de la empresa tienen guardias los 365 días del año. En el más reciente fin de semana largo del Día de los Veteranos Caídos, un empleado tuvo la primicia sobre una nueva amenaza. Era un nuevo tipo de malware enviado a la empresa por un investigador húngaro, un socio de confianza, así que se colocó arriba de la pila que estaba por someterse a escrutinio y lo que el analista de Symantec vio lo sorprendió un poco.

“Lo primero fue su tamaño”, dijo Kevin Haley, director de respuestas en seguridad de Symantec, a quien se le notificó durante el fin de semana de vacaciones que este virus era diferente, muy diferente, de lo que se había visto antes en la empresa. “Stuxnet era realmente único debido a su tamaño, y este es casi 20 veces más grande que Stuxnet”.

Este nuevo virus que se acababa de descubrir, llamado Flame, tiene una habilidad increíble de monitorear bandejas de entrada, tomar fotos de pantalla (screenshots), incluso grabar el audio de las conversaciones que se llevan a cabo cerca de la computadora. El programa tenía todas las características de un esfuerzo político y los investigadores de Symantec inmediatamente dividieron sus códigos en búsqueda de pistas, dijo Haley.

publicidad

“Cuando comenzamos a revisarlo se hizo muy obvio que era sumamente complejo. Hacía muchas cosas para parecer un programa normal”, dijo Haley. “Había partes encriptadas, las cuales presentaban mucha funcionalidad, así que comenzamos a investigarlo muy seriamente”.

Lo que encontraron fue una serie de módulos. El virus había sido armado por partes, como una construcción con LEGO, donde una parte se agrega sobre otra. Realmente se podían añadir cosas al spyware una vez que ya había infectado una computadora, lo que le daba a quien lo hubiera desarrollado una enorme libertad de alterarlo.

Por ejemplo, podían agregar, y lo hicieron, un módulo para Bluetooth, que permite al spyware dispersarse a otros dispositivos. Y ese es sólo uno de los 60 módulos que se identificaron durante la primera semana.

Los investigadores creen que la búsqueda de más pistas podría llevarles meses y tal vez ni así logren descubrir quién está detrás de este virus. Symantec comentó que es muy raro que los creadores de virus como este dejen una firma en el código, aunque algunas veces incluyen cosas extrañas. En este caso, los investigadores encontraron múltiples referencias a una cadena denominada “Jimmy”.

“No sabemos qué significa”, dijo Haley. “Aunque no es inusual que los autores malware dejen este tipo de mensajes”.

Otras empresas de seguridad también han estado investigando a Flame, buscando pistas y detalles sobre su origen y lo que puede hacer.

Microsoft anunció este fin de semana que ya identificó parte del código, que en parte estaba diseñado para aparentar que estaba originado en esa empresa.

Microsoft también dijo que emitió un remedio para el virus, indicando que “la vasta mayoría de los consumidores no está en riesgo”. El comunicado también decía que la compañía ha tomado medidas para asegurarse de que el problema de la firma no vuelva a presentarse.

Symantec dijo que también ya cuentan con un remedio para el virus. Irán, que fue uno de los grandes blancos del ataque con el virus, dice tener también un remedio. Pero la pregunta de quién lanzó Flame en primer lugar es un poco más difícil de responder, de acuerdo con Haley.

“Es una historia que aún no ha terminado para nosotros”.

Los favoritos de los ciberdelincuentes

Aunque Flame está ocupando los titulares noticiosos, eso no significa que sea el más peligroso para todos los usuarios. Algunos de los viejos trucos siguen siendo de los más efectivos. De acuerdo con Haley, son esos anuncios que de pronto aparecen en la pantalla en donde te informan que tu computadora ya ha sido infectada.

“Las dos formas más populares para infectar las computadoras son: enviar un correo electrónico con un archivo adjunto, y una descarga o [link a] página web que te llevará directamente al sitio de internet donde está el malware”, dijo Haley. Entonces los atacantes supuestamente intentan hacer que compres su producto de ‘seguridad’ y ¡BAM! Ya estás infectado.