Con el objetivo de resumir el tema, el director de investigación de Kaspersky Lab, Costin Raiu, ha afirmado que la mayoría de las estafas cibernéticas pertenecen a una categoría llamada “crimeware”. Son programas informáticos que roban credenciales, datos, recursos y hasta dinero de sus víctimas. En segundo lugar, encontramos aquellos softwares diseñados, exclusivamente, para el ciberespionaje, los cuales atacan a estados, instituciones o infraestructuras. Y, por último, existe una categoría más pequeña, compuesto por un malware realmente destructivo: el wiper.
Es sabido que los primeros malwares eran completamente destructivos. A finales de los noventa, Internet no era el repositorio de datos tan inmenso que es hoy en día. Además, las bandas de crimen organizado ya se habían percatado del valor financiero que albergaba la Red. Así, los primeros hackers desarrollaron diferentes tipos de malware que comprometían los discos duros encriptados o infectaban los equipos a través de virus, antepasados de los actuales troyanos.
El destructivo malware Wiper nunca ha desaparecido por completo a decir verdad; pero, últimamente, recuperó protagonismo con ataques a diferentes estados o naciones. De hecho, en los últimos tres años, nuestros amigos de Viruslist han analizado más de cinco ataques de estas características.
El primer Wiper fue tan efectivo que se auto-eliminó de los miles de equipos iraníes que había infectado. De esta manera, nadie pudo examinar ni una muestra del malware. Comparado con otros programas maliciosos similares, esta amenaza resultó bastante innovadora al dirigirse contra un gran número de máquinas de forma aleatoria. Sin embargo, el mayor logro de Wiper fue ser inspirador de futuras muestras maliciosas.
De hecho, Shamoon desciende del misterioso Wiper. En agosto de 2012, este destructivo programa se descubrió en la red de una de las compañías más importantes del planeta, la petrolera Saudi Aramco. En un tiempo récord, destruyó más de 30.000 equipos de trabajo de la empresa. No obstante, este malware creado en Irán por un grupo de hackers no fue capaz de eliminar su huella como lo había hecho Wiper y gracias a esto, los investigadores pudieron analizar su método de ataque. Un método, por cierto, crudo y efectivo.
Tiempo después apareció Narilam, un malware cuyo blanco eran las bases de datos de algunas aplicaciones financieras iraníes. Éste difería del resto por su modus operandi, que era más lento y estaba específicamente diseñado para realizar un sabotaje a largo plazo. Kaspersky Lab identificó diferentes versiones del Narilam, remontándose algunas de ellas al año 2008. A pesar de actuar de forma pausada, sus efectos destructivos se prolongaron en el tiempo.
Tampoco podemos olvidar a Groovemonitor (o Maya), un malware que expertos en emergencias cibernéticas de Irán reportaron hacia el año 2012 como Maher. Es una amenaza bastante sencilla que ataca equipos de una forma violenta. Este malware intentaba borrar todos los archivos en un periodo determinado guardados en el drive D.
La amenaza más reciente, llamada Dark Seoul, se usó durante un ataque coordinado contra diferentes entidades bancarias y compañías productoras de Seúl, en Corea del Sur. Este ataque difería de los anteriores porque no se dirigía contra un país árabe, como Irán o Arabia Saudí, y sus responsables intentaban alcanzar la fama más que el sabotaje clandestino.
“El poder de eliminar miles de equipos en un solo clic representa una gran oportunidad para cualquier ejército cibernético”, escribió Raiu en un informe de Viruslist. “Esto puede resultar incluso más devastador si se paralizan las infraestructuras de una nación, además”.
Por suerte, Wiper no es un programa “para preocuparnos”, por decirlo de alguna manera. Después de todo, hay muchas cosas que los usuarios pueden hacer para proteger sus servicios de agua y electricidad frente a un malware malicioso que pueda, probablemente, eliminar los datos de los sistemas de control industriales. Para estos tipos de problemas es necesario que las compañías de seguridad especializadas y los gobiernos monitoreen y mitiguen dichas amenazas.
La buena noticia es que, para usuarios estadounidenses y sus más cercanos aliados por lo menos, el Congreso de Estados Unidos ha votado por un plan de ciberseguridad a nivel nacional para proteger infraestructuras críticas. La idea es promover información sobre estas amenazas y sobre el manejo de ellas para las compañías. Esfuerzos y leyes similares se están considerando en otros países del mundo también.
Traducido por: Berenice Taboada Díaz