Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
VIRUS | CiberP@ís

Un malagueño tras la pista de un ciberataque a la seguridad de EE UU

Al menos uno de los atacantes hablaba chino y el objetivo no era solo la empresa de seguridad informática RSA. Dos organizaciones relacionadas con la seguridad nacional de Estados Unidos estaban también en el punto de mira.

La curiosidad de un analista de virus finlandés y del malagueño Bernardo Quintero, fundador del servicio VirusTotal, han sacado a la luz nuevos datos que dan un giro a esta ya de por sí novelesca historia.

En marzo, diversos empleados de la compañía RSA recibieron un correo con un archivo adjunto que les prometía un empleo. Al menos uno de ellos lo abrió y, en segundos, un programa malicioso instaló una puerta trasera en su ordenador. Sería la vía de entrada de un grupo de hackers a la red corporativa de RSA. Su objetivo era robar información secreta sobre los token SecureID, producto estrella de la compañía.

Un token es un aparato que genera contraseñas para autorizar la entrada en redes, por ejemplo de un banco, de forma que solo quien tiene el token sabe la contraseña. Pero la aventura de esta "tropa de élite", como la llamó RSA, no acababa en un simple espionaje industrial.

Robar el código que genera las contraseñas de los token les daba paso a las redes de los muchos e importantes clientes de RSA, entre ellos fabricantes de armamento para el Departamento de Defensa de Estados Unidos, como Lockheed-Martin y Northrop-Grumman.

Fue entonces cuando saltaron las alarmas en RSA y a alguien se le ocurrió mandar el correo malicioso a VirusTotal. Pero el informe de VirusTotal fue "no infectado", ya que el fichero era un 0day, un código malicioso tan nuevo que era desconocido para antivirus.

Rutinariamente, el mensaje y su adjunto se guardaron en los archivos de VirusTotal y, después de eliminar su procedencia, se compartieron con las empresas antivirus que colaboran con el servicio. Hasta que Timo Hirvonen, analista de la compañía finlandesa de seguridad F-Secure, dio con ellos en agosto.

Para Hirvonen, el ataque a la RSA era "uno de los mayores hacks de la historia" y estaba emperrado en analizar el correo que lo empezó todo. Nadie en la industria antivirus lo había visto, así que invirtió meses buscándolo en los archivos de F-Secure, donde se guardan decenas de millones de ficheros con virus procedentes de diversas fuentes, entre ellas VirusTotal.

A raíz del descubrimiento de Hirvonen, Bernardo Quintero rebuscó en VirusTotal y encontró dos ficheros más, idénticos al que infectó a la RSA, pero con distinto nombre: "Preguntas-encuesta_2011.xls". Ambos se enviaron a VirusTotal el 4 de marzo, un día después del ataque a RSA: "Debieron sospechar del fichero nada más recibirlo", supone Quintero. Esto demuestra que los atacantes fueron a la vez a diversos sitios.

"Tras correlacionar todos los datos, se identifica que los destinatarios de esos dos ataques, hasta ahora desconocidos, guardan relación directa con organismos de la seguridad nacional de EE UU", explica Quintero.

Su investigación ha dado también con el posible origen de los atacantes: el fichero infectado contiene un metadato que testifica que se creó con una versión en chino de Microsoft Excel, concretamente de Singapur.

Aunque se podría haber falseado para despistar, Quintero lo duda: "Una vez analizado en profundidad, se trataría de un simple descuido del atacante. No sería la primera vez que descubrimos así al autor de un virus".

* Este artículo apareció en la edición impresa del Jueves, 15 de septiembre de 2011