El software de seguridad convencional no sirve de nada ante ataques sofisticados como Flame, pero los métodos alternativos tan solo acaban de arrancar.
Hace dos semanas, algunos laboratorios de seguridad en Irán, Rusia, y Hungría anunciaron el descubrimiento de Flame, “el software malicioso más complejo que se haya visto” según el laboratorio húngaro CrySyS.
Durante al menos dos años Flame ha estado copiando documentos y grabando audio, patrones de uso del teclado, tráfico de red y llamadas de Skype y obteniendo capturas de pantalla de los ordenadores infectados. Esa información pasaba a varios servidores de comando y control operados por los creadores del virus. En todo este tiempo ningún software de seguridad hizo saltar la alarma.
El de Flame solo es el último de una serie de incidentes que sugieren que el software antivirus convencional se ha quedado anticuado como método de protección de los ordenadores contra los virus. “Flame ha sido un fracaso para la industria de los antivirus”, escribió la semana pasada Mikko Hypponen, fundador y director de investigación de la empresa antivirus F-Secure. “Deberíamos haber sido capaces de hacerlo mejor, pero no fue así. Nos dejaron fuera de juego en nuestro propio campo”.
Los programas que son el eje de la seguridad informática tanto para las empresas y los gobiernos como para los consumidores operan como el software antivirus de los ordenadores personales. Las amenazas se detectan comparando el código de los programas y su actividad con una base de datos de 'firmas' identificadas como virus. Las empresas de seguridad como F-Secure y McAfee investigan constantemente informes sobre nuevos virus y actualizan sus listados de firmas en consecuencia. El resultado, supuestamente, es un muro infranqueable que no deja entrar a los malos.
Sin embargo en los últimos años ha habido ataques de alto nivel no solo contra el gobierno iraní, sino también contra el de Estados Unidos, usando software que, al igual que Flame, fue capaz de pasar bajo el radar del software basado en estas firmas. Muchas empresas estadounidenses técnicamente sofisticadas incluyendo Google y la empresa de seguridad informática RSA han sido atacadas de forma parecida -aunque por software malicioso menos caro- con el objetivo de conseguir sus secretos empresariales. Y según los expertos, las empresas más pequeñas también son atacadas habitualmente.
Ahora, algunos expertos y empresas dicen que ha llegado el momento de degradar la categoría de la protección antivirus tradicional. “Sigue siendo una parte integral de la lucha contra los virus, pero no va a ser lo único”, afirma Nicolas Christin, investigador en la Universidad Carnegie Mellon (EE.UU.). “Tenemos que dejar de intentar construir líneas Maginot que parecen a prueba de balas pero que en realidad son fáciles de sortear”, explica.
Tanto Christin como varias de las principales start-ups de seguridad están trabajando en nuevas estrategias de defensa para que los ataques sean más difíciles de llevar a cabo y que además permitan a las víctimas responder.
“La industria se ha equivocado al centrarse en las herramientas de los atacantes, en sus jugadas, que son muy cambiantes”, afirma Dmitri Alperovitch, director de tecnología y cofundador de CrowdStrike, una start-up con sede en California (EE.UU.) fundada por veteranos de la industria antivirus que ha recibido 26 millones de dólares (unos 20 millones de euros) en fondos de inversión. “Tenemos que centrarnos en el francotirador, no en el arma. Las tácticas, el factor humano de la operación, es lo menos reproducible”.
CrowdStrike aún no ha hecho públicos los detalles de su tecnología, pero Alperovitch afirma que la empresa planea ofrecer una especie de sistema de alarma inteligente capaz de detectar incluso ataques completamente nuevos y rastrear su origen.
Según Alperovitch este tipo de enfoque es posible porque, a pesar de que un atacante podría modificar fácilmente el código de un virus como Flame para volver a pasar inadvertido ante los antivirus, él o ella tendrían el mismo objetivo: acceder y extraer datos valiosos. La empresa afirma que su tecnología se apoyará sobre los 'grandes datos', lo que posiblemente signifique que analizará grandes cantidades de ellos relacionados con trazas de actividad en el sistema de un cliente para averiguar cuáles podrían provenir de un infiltrado.
Christin, de Carnegie Mellon, que ha estado investigando las motivaciones económicas y los modelos de negocio de los ciberatacantes, afirma que ese enfoque tiene sentido. “El coste humano de estos sofisticados ataques es una de las partes más caras”, explica. Frustrar un ataque ya no es cuestión de neutralizar un trozo de código de un genio solitario, sino de vencer a grupos de personas con mucha habilidad. “Hacen falta expertos en el campo capaces también de colaborar con otros y no son fáciles de encontrar”, afirma Christin. El software de defensa capaz de bloquear las tácticas más comunes lo pone aún más difícil para los atacantes, sostiene el experto.
Otras empresas han empezado a hablar en términos parecidos. “El lema policial de la década de los años 80: ‘el crimen no compensa’, vuelve a tener vigencia”, afirma Sumit Agarwal, cofundador de Shape Security, otra start-up californiana que acaba de salir a la luz. La empresa ha recibido 6 millones de dólares (unos 4,75 millones de euros) en financiación del antiguo director general de Google, Eric Schmidt, entre otros. La empresa de Agarwal tampoco quiere hablar de su tecnología, pero su objetivo es aumentar el coste de llevar a cabo un ciberataque respecto del beneficio económico que se obtiene del mismo, haciendo que no merezca la pena.
Una empresa que sigue un planteamiento parecido es Mykonos Software, que ha desarrollado una tecnología que ayuda a proteger sitios web haciendo perder el tiempo a los hackers para que no resulte rentable llevar a cabo un ataque. Mykonos fue adquirida por la empresa de redes Juniper este año.
Las empresas antivirus han destacado rápidamente que Flame no era un virus de ordenador corriente. Procedía del mundo del espionaje internacional, bien dotado de recursos. Pero estas ciberarmas producen daños colaterales (el gusano Stuxnet dirigido al programa nuclear iraní acabó infectando aproximadamente a 100.000 ordenadores). Y criminales y otros grupos con menos recursos están adoptando algunas características de su diseño.
“Nunca se habían dirigido tantos miles de millones de dólares de tecnología de defensa al dominio público”, afirma Agarwal de Shape Security. Mientras el ejército estadounidense hace todo lo que puede por impedir que aviones o submarinos caigan en manos de otros, los virus militares como Flame o Stuxnet están ahí afuera para que cualquiera los vea, explica.
Tanto Agarwal como Alperovitch de CrowdStrike afirman que el resultado es una nueva clase de virus que se está usando contra empresas estadounidenses de todos los tamaños. Alperovitch afirma que conoce casos de bufetes de abogados relativamente pequeños que están siendo atacados por competidores mayores y de empresas de tecnología verde con menos de cien empleados cuyos secretos son un objetivo.
Alperovitch sostiene que su empresa permitirá que las víctimas respondan a los ataques dentro de los límites de la ley, entre otras cosas, identificando el origen de los ataques. “Responder pirateando a los atacantes sería ilegal, pero se pueden tomar medidas contra la gente que se beneficia de tus datos, lo que aumenta los costes empresariales de los atacantes”, afirma. Entre ellos se incluye pedir al gobierno que recaude dinero en la Organización Mundial del Comercio o hacer público lo sucedido para poner en evidencia a quienes hacen espionaje industrial.
Investigaciones llevadas a cabo por Christin y otros académicos han demostrado que existen cuellos de botella en el proceso que permitirían acciones legales relativamente sencillas para neutralizar las operaciones de cibercrimen. Christin y sus compañeros analizaron timos que manipulan los resultados de búsqueda para promocionar farmacias ilegales y concluyeron que la mayoría se podrían cortar de raíz yendo a por un puñado de servicios que redirigen a los visitantes de una página web a otra. Y el año pasado investigadores de la Universidad de California San Diego (EE.UU.) demostraron que los ingresos de la mayoría del spam que se mueve en todo el mundo pasan por tan solo tres bancos. “La intervención más eficaz contra el spam sería cerrar esos bancos o aprobar nuevas leyes”, afirma Christin. “Estos sistemas complejos suelen tener puntos concentrados en los que puedes centrarte y hacer que resulte muy caro llevar a cabo los ataques", afirma.
Pero Agarwal avisa de que incluso los contraataques dentro de la legalidad pueden acarrear problemas: “Imagina que eres una gran empresa que se cruza accidentalmente en el camino de la mafia rusa. Podrías crear un problema aún mayor que lo que pretendías”, asegura.