Un Grupo de Hackers Crea Un Malware Indestructible

El Equipo de Investigación y Análisis Global de Kaspersky Lab (GReAT) publicó recientemente un informe sobre el grupo de ciberespionaje Equation, en donde reveló algunos detalles sorprendentes sobre las actividades

El Equipo de Investigación y Análisis Global de Kaspersky Lab (GReAT) publicó recientemente un informe sobre el grupo de ciberespionaje Equation, en donde reveló algunos detalles sorprendentes sobre las actividades maliciosas de estos personajes nefastos. Según el estudio, este grupo de hackers veteranos produjo un malware capaz de reprogramar el firmware de los discos duros, permitiendo que los “implantes” maliciosos se tornen invisibles e indestructibles.

Se trata de una de las historias de terror sobre seguridad informática más largamente anticipadas. Un virus incurable que permanece en el hardware de las computadoras, una leyenda urbana que existe desde hace décadas y que, al parecer, alguien decidió invertir millones de dólares para volverla realidad. Algunos reportes de prensa sobre la historia de Equation aseguran que las tecnologías creadas por este grupo podrían permitirles “espiar cualquier tipo de computadora del mundo“.

Desde Kaspersky Lab, no obstante, preferimos ponerle un freno a este drama. Lo cierto es que probablemente estas tecnologías pronto dejarán de ser únicas y exclusivas.

Comencemos por explicar qué significa la capacidad para “reprogramar el firmware de un disco rígido”. Los discos duros cuentan con dos componentes importantes: una memoria (los discos magnéticos en los HD y los chips de memoria flash en los SSD) y un microchip, que controla la lectura y la escritura del disco. A estos componentes se le suma una serie de procedimientos de servicio, tales como detectar y corregir errores.

Dado que estos procedimientos son complejos y numerosos, todos los chips necesitan de un programa sofisticado que los controlen, es decir, una pequeña computadora. El programa del chip se denomina “firmware” y cada empresa productora de hardware lanza, con cierta regularidad, actualizaciones que corrigen potenciales errores en sus productos.

Este mecanismo fue abusado por parte del grupo Equation, que logró descargar su propio firmware en 12 categorías diferentes de discos duros (marcas/variaciones). Las funciones modificadas por el firmware malicioso aún son desconocidas, pero lo que sí se sabe es que el malware que infecta las máquinas adquiere la capacidad para escribir y leer datos en el disco. Nosotros asumimos que esta área se vuelve completamente oculta para el sistema operativo e, incluso, para los softwares de seguridad. Además, es posible que los datos almacenados sobrevivan incluso al formateo del disco.

Además, el firmware malicioso cuenta con la capacidad de reinfectar el sector de arranque. Por lo tanto, por más que se instale un nuevo sistema operativo, éste se vería nuevamente comprometido, sin que nada pueda hacerse al respecto. Asimismo, los chequeos y reprogramaciones del firmware dependen exclusivamente del propio firmware, por lo que no es posible verificar externamente la integridad o la confiabilidad de este tipo de programas.

En otras palabras, una vez que un disco se infecta con este malware, la amenaza se vuelve técnicamente indetectable e indestructible. Es decir, que resultaría más barato y seguro deshacerse del disco, antes que intentar arreglarlo.

Sin embargo, no debes preocuparte. Seguramente esta nueva capacidad de infección no se transforme en una tendencia global. Lo más probable es que incluso el grupo Equation sólo haya utilizado esta técnica unas pocas veces. Principalmente, porque la reprogramación del firmware de un disco rígido es una tarea mucho más compleja que, por ejemplo, escribir un software de Windows. En simples palabras, para lograr un ataque exitoso, un hacker tendría que contar con documentación interna del hardware a infectar, conseguir unidades de ese mismo modelo, desarrollar y testear las funcionalidades requeridas y crear rutinas maliciosas dentro del firmware existente, mientras las funciones originales permanecen inalterables.

Es decir, se necesitaría de altísimos niveles de conocimiento técnico, meses de desarrollo y varios millones de dólares. Esto significa que este tipo de tecnologías difícilmente serán utilizadas para los crímenes cibernéticos tradicionales. A su vez, el desarrollo de un firmware malicioso es una metodología de ataque muy difícil de poner en marcha eficazmente. La mayoría de las empresas productoras de hardware lanza firmwares para múltiples dispositivos cada mes y decenas de nuevos dispositivos salen constantemente a la venta. Por lo tanto, intentar hackearlos todos resultaría prácticamente imposible.

En este sentido, si bien la aparición de un malware indestructible ya no es una leyenda urbana, el riesgo para los usuarios individuales es casi nulo. Por lo tanto, a menos que trabajes en una industria nuclear en Irán, no hay necesidad de que te pongas paranoico. Preocúpate por prestarle mayor atención a los riesgos más comunes, tales como las contraseñas débiles o los antivirus desactualizados.

Consejos