¿Qué sabemos del conflicto entre Kaspersky y la NSA?

                                    Hay una guerra por la información entre agencias de inteligencia de todo el mundo.


                                    El <a href="https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108" target="_blank">caso de espionaje ruso a la Agencia Nacional de Seguridad (NSA) de Estados Unidos expuesto por el Wall Street Journal</a> es un ejemplo de cómo grupos de hackers que trabajan para estados-nación realizan ataques cibernéticos cuyo objetivo es obtener datos de agencias de inteligencia de otros países.


                                    El artículo de The Wall Street Journal, el cual cita a “varias personas con conocimiento en la materia”, narra cómo un grupo de hackers que trabajan para el gobierno ruso robaron información sobre los métodos que la Agencia de Seguridad Nacional utiliza para acceder a redes extranjeras, el código utilizado en este tipo de espionaje y sobre cómo defiende las redes al interior de Estados Unidos.


                                    El ciberataque ocurrió en el año 2015, después de que un contratista de la Agencia Nacional de Seguridad (NSA) extrajo material clasificado de la agencia y la almacenó en su computadora particular. De acuerdo con el artículo, los hackers pudieron robar la información gracias a que el antivirus de la compañía rusa Kaspersky identificó los archivos confidenciales en la computadora del contratista.


                                    Este incidente es el primero en el que se se observa que un grupo de hackers rusos utilizan el software de Kaspersky para realizar acciones de espionaje cibernético contra agencias de inteligencia estadounidenses y se presume que es la razón por la que el gobierno de este país prohibió el uso del antivirus de la compañía en todas las computadoras de la administración.


                                    Según The Wall Street Journal, “por años, oficiales de Seguridad Nacional de Estados Unidos han sospechado que Kaspersky Lab, la cual fue fundada por un científico computacional entrenado en una escuela técnica avalada por la KGB rusa, es un representante del gobierno ruso”.


                                    <h3>Kaspersky no se disculpa   </h3>En un comunicado abierto al público, <a href="https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-response-to-the-alleged-incident-reported-by-the-wall-street-journal-in-an-article-published-on-october-5-2017" target="_blank">Kaspersky dijo que estaba preocupada por las implicaciones del artículo del Wall Street Journal</a> acerca de que un grupo de hackers había utilizado su antivirus para vulnerar los sistemas de inteligencia en Estados Unidos. La compañía también expresó su voluntad de trabajar junto con las autoridades de EU con el fin de resolver las inquietudes de las agencias estadounidenses sobre sus productos y solicitó información para iniciar una investigación propia lo antes posible.


                                    La compañía indicó en el comunicado que no se disculparía por ser agresiva en la batalla contra el malware y los cibercriminales. “Kaspersky es un antivirus que está enfocado en la detección de amenazas. Ningún antivirus puede llamarse antivirus si es que comienza a parcializar, es decir si comienza a detectar o no dependiendo de la situación del usuario. Nuestro compromiso universal es que con todos nuestros usuarios, estén donde estén, identifiquemos toda clase de amenazas informáticas, sin importar el origen ni el actor y esto fue lo que sucedió en Estados Unidos, simplemente detectamos algo que es malicioso”, dijo Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en entrevista con El Economista.


                                    El tipo de ataque contra la NSA es un ataque avanzado. “Las amenazas avanzadas también son conocidas como ataques dirigidos. Éste es un tipo de ataque informático en el que el objetivo es una o unas cuantas víctimas que son cuidadosamente seleccionadas para que las operaciones permanezcan ocultas lo más posible y para mantener el control del ciberataque”, dijo Dmitry.


                                    Quienes realizan estos ataques utilizan armamento cibernético ofensivo con un costo de varios millones de dólares. ¿Quién está interesado y quién tiene la capacidad de realizar estos ataques, cuyo objetivo no es acceder a recursos económicos sino a información gubernamental, diplomática o militar? La respuesta de Dmitry es que son agencias gubernamentales de ciberespionaje las que están realizando estos ataques dirigidos para atacar a agencias de gobierno extranjeras o a industrias específicas de otras naciones.              


                                     “Hoy en día, prácticamente todos los países, incluso los más pequeños, cuentan con este tipo de agencias gubernamentales y esto, por supuesto, incluye a las superpotencias, como Estados Unidos, Rusia y China, los cuales cuentan con personal y equipos de trabajo que hacen uso de estas herramientas de ciberespionaje”, dijo Dmitry.


                                    Los ataques pasivos se realizan para interceptar datos en tránsito de otros grupos o entidades. De acuerdo con el especialista de Kaspersky Lab, se utilizan para infectar a la víctima y mantener el control remoto del equipo hackeado, por si surge la oportunidad de extraer información. “La dificultad de detectar este tipo de ataques es que no hay registros de entrada o salida de información. Los sistemas de análisis de seguridad no detectan la información implantada o extraída en sí, sino que observan la acción de implantar o extraer información. La detección de una campaña así es extremadamente difícil”, dijo Dmitry.     


                                    Los ataques activos son aquellos que cuando infectan los equipos del objetivo comienzan a infiltrar o extraer información. Según Kaspersky Lab, quienes realizan ataques cibernéticos activos corren un mayor riesgo de ser descubiertos, ya que al infiltrar o extraer información en un equipo, el tráfico de la red se modifica, lo que alerta a los sistemas de detección de amenazas.


                                    Los beneficios de los ataques activos superan en algunos casos a sus desventajas, ya que estos ataques “permiten al atacante extraer información de manera regular, controlar su objetivo y sus víctimas, e incluso inyectar sus propios implantes o montar ataques en nombre de su víctima”, de acuerdo con Kaspersky Lab. A esta suplantación de la identidad del atacante se le conoce como ataque de Bandera Falsa (False Flag), un término militar que en el caso de los ciberataques se puede llevar a cabo de diferentes formas.


                                    “El primer método, el más primitivo pero en el que aún caen muchos analistas, es dejar dentro del código vulnerado palabras o links en el idioma del supuesto atacante. Si se quiere que el ataque parezca que proviene de México, por ejemplo, se incluyen palabras en español que sean comunes en este país”, dijo Dmitry Bestuzhev.        


                                    Un método más complejo es el que realizan algunas agencias de inteligencia, las cuales utilizan la infraestructura de Internet de grupos de hackers o de otras agencias gubernamentales más pequeñas, la cual es conocida por los analistas, para llevar a cabo sus propios ataques. “Es como si un ladrón de autos se hiciera pasar por otro ladrón de autos para que la policía detenga al ladrón que es suplantado”, explicó Bestuzhev.   


                                    <h3>México es la capital de estos ciberataques en Latinoamérica</h3>México y toda la región latinoamericana no están exentos de sufrir este tipo de ciberataques. Tanto los países más pequeños, como México, como las superpotencias, en el caso de Estados Unidos, Rusia y China, realizan y sufren ataques de Bandera Falsa. 


                                    En palabras de Dmitry, “el mundo entero está plagado de este tipo de ataques”. De acuerdo con el especialista en ciberseguridad, la diferencia entre las superpotencias y los países más pequeños es que las primeras desarrollan su propio armamento cibernético ofensivo, mientras que países como México y otras naciones latinoamericanas recurren a terceros para realizar compras de armamento cibernético.


                                    “México ha sido uno de los países más activos en términos de los ataques cibernéticos. Varias de las agencias de inteligencia, tanto de las superpotencias como de países más pequeños, están operando en México. Yo diría que México es ahorita la capital latinoamericana de los ataques avanzados con este nivel de sofisticación”, dijo Dmitry.


                                    De acuerdo con el director del Equipo Global de Investigación y Análisis de Kaspersky Lab, en el caso de México, “muchos de estos ataques avanzados que realizan las agencias de inteligencia están dirigidos a afectar a actores internos”.


                                    <a href="http://rodrigo.riquelme@eleconomista.mx       " target="_blank">rodrigo.riquelme@eleconomista.mx       </a>


                                    erp










                                    Archivado en:








                                        Kaspersky

Be the first to comment on "¿Qué sabemos del conflicto entre Kaspersky y la NSA?"

Deja un comentario

A %d blogueros les gusta esto: