¿Qué pasaría si tu computadora ejecuta un software Antirrobo que tú nunca activaste; un software que puede volver tu PC remotamente accesible; un software que no puedes eliminar, ni siquiera si reemplazas físicamente tu disco duro? Suena como una leyenda urbana, sin embargo, es cierto.
El encargado de este perturbador hallazgo fue Sergey Belov, un investigador de malware de Kaspersky Lab. Belov descubrió se encontró con este sorpresivo programa mientras investigaba algunos errores en la laptop de su esposa. En este momento, un proceso sospechoso captó la atención de Belov. Lo primero que pensó Belov es que había encontrado un rootkit. Sin embargo, el proceso resultó ser legítimo –era parte de un software llamado Absolute Computrace, una popular solución Antirrobo para laptops-. Lo realmente llamativo de Computrace es la posición exclusiva que posee en las computadoras de los usuarios. Computrace se aloja parcialmente en el BIOS y en la UEFI, un chip con una secuencia codificada que se ejecuta en el arranque del sistema, incluso antes de que se inicie el sistema operativo. Esto, en definitiva, ayuda a que Computrace sobreviva a los formateos y hasta los reemplazos físicos de los discos duros. Lo inquietante acerca de Computrace es que la esposa de Belov nunca activó este software y ni siquiera sabía de su existencia. Un análisis posterior reveló malas noticias: por medio de un software malicioso es posible hackear Computrace e intervenir remotamente la PC de la víctima.
Las soluciones Anti-Robo son cruciales para los dispositivos móviles, ya que los delincuentes tienen una gran preferencia por estos pequeños y valiosos aparatos. Diseñar un software Anti-Robo no es una tarea sencilla. Debe ser pequeño y sigiloso. Debe mantener una conexión con algún servidor HQ para reportar su localización o llamar a la acción si es robado. Además, debe resistir los intentos del ladrón de eliminar el software. Todos estos requisitos significan que, por un lado, un software Anti-Robos mantiene un perfil bajo y, en segundo lugar, que debe poseer grandes privilegios en el dispositivo del usuario. Entonces ¿Qué sucedería si una poderosa aplicación como ésta tiene una vulnerabilidad? En pocas palabras, un hacker podría hacer lo que quisiera con la PC del usuario.
Desafortunadamente, no estoy teorizando. La semana pasada fui testigo de una demostración conducida por Vitaly Kamluk y Sergey Belov de Kaspersky Lab, durante la Cumbre de Analistas de Seguridad 2014 (SAS, por sus siglas en inglés). Ambos investigadores desempaquetaron una laptop Asus recién comprada, llevaron adelante una serie de procedimientos y, luego, utilizaron otra PC para activar remotamente la cámara de la laptop y eliminar archivos. Este “hackeo” simulado consitió en la interceptación de unos paquetes de red no encriptados, envío de datos e imitación de la comunicación con un servidor original de Computrace.
Lo más probable es que ahora sientas la urgencia de comprobar si tu laptop tiene instalado Computrace. Si estás planeando realizar una limpieza brutal de tu computadora para eliminar este programa, no te molestes, es realmente complicado. El software combate los intentos de ser eliminado, algo que es lógico debido a su condición natural de software antirrobo. Para evitar ser eliminado, la parte de Computrace que se ejecuta en el BIOS comprueba si el software está presente en cada arranque de la computadora. Si el BIOS descubre que el software fue eliminado, un pequeño programa se instala desde el BIOS al sistema operativo y comienza a descargar la versión completa del programa desde Internet, si éste está activo. Este paso específico es el que presenta la vulnerabilidad, según lo demostrado en la SAS 2014.
El análisis completo está disponible de la demostración en Securelist junto con la lista de indicadores de la actividad de Computrace. Un informe de Kaspersky Security Network (KSN) indica que 150 mil de clientes de KL tienen Computrace activo en sus equipos. Vitaly Kamluk estima que Computrace está activo en más de 2 millones de computadoras en todo el mundo. En este punto, es imposible saber cuántas de estas personas activaron este programa voluntariamente.
La parte del BIOS de Computrace viene preinstalada en la mayoría de los chips BIOS y UEFI y es posible encontrarlo en laptops Acer, Asus, Sony, Toshiba, HP, Lenovo, Samsung y otras. Algunas de estas computadoras ingluyen una opción visible que permite activar o desactivar Computrace. Otras no. En algunos casos, aunque el software esté instalado en el BIOS, permanece inactivo. Los investigadores de Kaspersky Lab compraron varias laptops nuevas y descubrieron que muchas de ellas ejecutan Computrace en el primer arranque. Por qué se activa y quién lo controla, aún resulta un misterio.
Traducido por: Guillermo Vidal Quinteiro