Tengo buenas y malas noticias
Las malas noticias
Recientemente descubrimos un ciberataque avanzado en nuestras redes internas. Era extremadamente complejo, sigiloso y explotaba varias vulnerabilidades de día cero. Tenemos razones para creer que el ataque, al que decidimos llamar Duqu 2.0, contó con el apoyo de un Estado Nación. ¿Por qué elegimos este nombre? ¿Qué similitudes tuvo este ataque con el Duqu original? Las respuestas a estas preguntas las puedes encontrar aquí.
Las buenas noticias – 1) Descubrimos el ataque
La primera buena noticia es que detectamos algo realmente grande. De hecho, el costo de desarrollo y mantenimiento de un ataque de este tipo es colosal. Me atrevería a decir que el trabajo intelectual detrás de Duqu 2.0 se encuentra una generación por delante de todo lo que hemos visto hasta ahora. Utiliza una serie de trucos que hacen que sea muy difícil detectar y neutralizar el ataque. Parece que los creadores de Duqu 2.0 estaban totalmente seguros de que sería imposible revelar su actividad clandestina. Sin embargo, nosotros la detectamos con la versión alfa de nuestra solución anti-APT, diseñada para combatir los ataques dirigidos más sofisticados.
Las buenas noticias – 2) Nuestros clientes están a salvo
Lo más importante es que ninguno de nuestros productos o servicios fueron comprometidos, por lo que nuestros clientes no enfrentan ningún riesgo en absoluto.
Los detalles
Nuestros primeros avances en la investigación nos indicaron que los atacantes buscaban aprender sobre nuestras tecnologías, particularmente Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network y nuestra solución anti-APT. Los delincuentes también querían conocer nuestras investigaciones en curso y aprender sobre nuestros métodos de detección y capacidades de análisis. Dado que Kaspersky Lab es reconocido a nivel mundial por su lucha exitosa contra las amenazas más sofisticadas, ellos pretendían emplear esta información para permanecer fuera de nuestro radar. Imposible.
Lo cierto es que atacarnos no fue una maniobra inteligente. Los atacantes acaban de perder una estructura tecnológica muy avanzada que probablemente estuvieron desarrollando por años. Además, lo hicieron para espiar nuestras tecnologías… a las que cualquier persona puede acceder comprando una licencia (al menos, a la mayoría ellas)
#DuquVolvió. #Duqu2 intentó robar tecnología de @kaspersky y meter la nariz en las investigaciones en curso para permanecer fuera del radar.
Tweet
Descubrimos que el grupo detrás de Duqu 2.0 también espió a varios objetivos importantes a nivel mundial, incluyendo a los participantes de las negociaciones internacionales sobre el programa nuclear de Irán, y del evento del aniversario número 70 de la liberación de Auschwitz.
Si bien la investigación interna está todavía en curso, estamos seguros de que el marco de este ataque es mucho más amplio e incluye objetivos de primer nivel de varios países. No obstante, también creo que es muy probable que, después de que detectamos Duqu 2.0, los criminales detrás de esta campaña seguramente borraron su presencia en las demás redes infectadas para evitar la exposición.
Por nuestra parte, nosotros utilizaremos este ataque para mejorar nuestras tecnologías defensivas. Todo conocimiento nuevo es útil, y las amenazas de inteligencia avanzada nos ayudan a desarrollar una mejor protección. Por supuesto, ya hemos añadido la detección de Duqu 2.0 a nuestros productos. Así que, de hecho, no hay realmente ninguna mala noticia aquí.
Como hemos mencionado, nuestra investigación está todavía en curso; harán falta unas cuantas semanas más para tener todos los detalles. Sin embargo, ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes.
Tal vez ustedes se pregunten por qué decidimos divulgar esta información, o si tenemos miedo de que esto pueda dañar nuestra reputación.
Bueno, en primer lugar, no revelar esta noticia sería como no informar a la policía de un accidente de tránsito con víctimas “porque puede afectar mi historial”. Además, conocemos la anatomía de los ataques dirigidos bastante bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera. Recuerda, sólo hay dos tipos de empresas: las que han sido atacadas y los que no saben que han sido atacadas.
Además, al revelar el ataque: enviamos una señal al público; cuestionamos la validez y la moralidad de los ataques que creemos orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular. Y compartimos nuestros conocimientos con otras empresas para ayudarles a proteger sus activos. Si esto daña nuestra ‘reputación’, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones.
¿Quién está detrás de este ataque? ¿Qué nación?
Lo diré nuevamente: nosotros no atribuimos a nadie los ataques. Somos expertos en seguridad, los mejores, y no queremos perjudicar nuestro principal atributo por entrar en temas de política. De todas maneras, como partidarios comprometidos en nuestra responsabilidad de divulgación, hemos denunciado esto a las autoridades competentes en varios países para que empiecen las investigaciones penales. También hemos informado del ataque de día cero a Microsoft, que a su vez ha parcheado sus sistemas (no se olviden de instalar la nueva actualización de Windows).
Sólo quiero dejar que todos hagan su trabajo y ver cómo el mundo cambia para mejor.
Para finalizar este comunicado, me gustaría compartir una preocupación personal.
Que los gobiernos ataquen a las empresas de seguridad informática es simplemente indignante. Se supone que debemos estar en el mismo lado que las naciones responsables, compartiendo un objetivo común: un mundo cibernético protegido y seguro. Compartir nuestros conocimientos para luchar contra la delincuencia y ayudar a que las investigaciones sean más eficaces. Hay muchas cosas que hacemos conjuntamente para que este mundo cibernético sea un lugar mejor. Pero ahora nos damos cuenta de que algunos miembros de esta “comunidad” no tienen ningún respeto por las leyes, la ética profesional o el sentido común.
Para mí, es otra clara señal de que necesitamos que las normas del juego sean aceptadas a nivel mundial para frenar el espionaje digital y evitar la guerra cibernética. Si varios grupos, a menudo relacionados con el gobierno, tratan Internet como el salvaje oeste, sin reglas y fuera de control, con total impunidad, el progreso global sostenible de las tecnologías de la información estará en un grave riesgo. Así que, una vez más, hago una llamada a todos los gobiernos responsables para que se reúnan y lleguen a un acuerdo sobre este tema, y para luchar contra la delincuencia cibernética, no para patrocinarla y promoverla.
@kaspersky pide a los estados que respeten las normas, la ética profesional y el sentido común en el ciberespacio. Y no es la primera vez.
Tweet
Traducido por: Guillermo Vidal Quinteiro