{"id":4483,"date":"2014-11-11T17:33:06","date_gmt":"2014-11-11T17:33:06","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=4483"},"modified":"2020-02-26T09:17:27","modified_gmt":"2020-02-26T15:17:27","slug":"darkhotel-ciberespionaje-profesional-en-hoteles-de-lujo","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/darkhotel-ciberespionaje-profesional-en-hoteles-de-lujo\/4483\/","title":{"rendered":"DarkHotel: Ciberespionaje Profesional En Hoteles de Lujo"},"content":{"rendered":"

El ciberespionaje es el arma del siglo XXI. Es tan poderosa que incluso una aplicaci\u00f3n m\u00f3vil aparentemente inofensiva<\/a> es capaz de desenmascarar varios\u00a0secretos de un usuario distra\u00eddo. Pero si existen este tipo de herramientas para atacar usuarios ordinarios; entonces, \u00bfqu\u00e9 podemos esperar de los operativos dise\u00f1ados para espiar a representantes de las principales compa\u00f1\u00edas y organizaciones gubernamentales del mundo?<\/p>\n

En las \u00faltimas semanas, Kaspersky Lab descubri\u00f3 una compleja campa\u00f1a\u00a0de espionaje cibern\u00e9tico que lleva activa m\u00e1s de 7 a\u00f1os en distintos hoteles asi\u00e1ticos. Pero eso no es todo. Los esp\u00edas profesionales involucrados en esta operaci\u00f3n\u00a0\u2013bautizada con el nombre de Dark Hotel- crearon un conjunto de herramientas que les permit\u00edan infiltrarse\u00a0en las m\u00e1quinas de los usuarios por numerosas\u00a0v\u00edas de gran sofisticaci\u00f3n.<\/p>\n

Si bien el FBI hab\u00eda mencionado por primera vez los ataques de Dark Hotel en 2012, el malware utilizado por esta operaci\u00f3n de espionaje (conocido como Tapaoux) ha existido desde el 2007. Asimismo, los estudios realizados sobre los servidores C&C y los registros utilizados para manejar la campa\u00f1a determinaron que las primeras conexiones datan de enero de 2009. Por lo tanto, si tenemos en cuenta todos estos factores, lo m\u00e1s probable es que\u00a0la campa\u00f1a de Dark Hotel haya estado activa desde hace ya varios a\u00f1os.<\/p>\n

La campa\u00f1a de ciberespionaje #DarkHotel lleva activa m\u00e1s de 7 a\u00f1os<\/p>Tweet<\/a><\/blockquote><\/b><\/p>\n

Seg\u00fan revelan las investigaciones de nuestros expertos, el m\u00e9todo que\u00a0los criminales utilizaron con mayor frecuencia para infiltrarse\u00a0en las computadoras de las v\u00edctimas, fueron las redes Wi-Fi de varios\u00a0hoteles de lujo del continente asi\u00e1tico. Todo indica que los cibercriminales explotaron vulnerabilidades de d\u00eda cero<\/a> presentes en Adobe Flash y otros programas populares de importantes compa\u00f1\u00edas. Teniendo en cuenta que esas vulnerabilidades no son sencillas de encontrar, podemos conjeturar\u00a0dos cosas: o bien la operaci\u00f3n estuvo auspiciada econ\u00f3micamente por personas de much\u00edsimo dinero (las armas cibern\u00e9ticas<\/a> de alta complejidad son enormemente costosas) o los agentes involucrados en esta campa\u00f1a de espionaje son de un alt\u00edsimo nivel de profesionalismo. Lo m\u00e1s probable es que\u00a0ambos factores\u00a0hayan estado presentes.<\/p>\n

\"grey-The-Dark-Hotel\"<\/a><\/p>\n

Si bien el m\u00e9todo que acabamos de mencionar\u00a0fue probablemente el m\u00e1s utilizado, no fue\u00a0el \u00fanico que los cibercriminales emplearon para llevar adelante la operaci\u00f3n. Otros t\u00e1cticas alternativas incluyeron troyanos ocultos\u00a0en\u00a0archivos de comics para adultos\u00a0y\u00a0enlaces phishing enviados a los\u00a0correos electr\u00f3nicos de\u00a0empleados del Estado y organizaciones no lucrativas.<\/p>\n

Los criminales usaron un keylogger sofisticado que inclu\u00eda un m\u00f3dulo integrado para hurtar contrase\u00f1as guardadas en navegadores conocidos.<\/div>\n

Son muchas las causas, adem\u00e1s del uso de las vulnerabilidades de d\u00eda cero, que evidencian el alto nivel de conciencia de los cibercriminales. Llegaron tan lejos que incluso lograron crear\u00a0certificados de seguridad digitales para dar rienda suelta al malware. Y con el objetivo de espiar los canales de comunicaci\u00f3n utilizados por sus v\u00edctimas, estos ladrones digitales utilizaron un keylogger sofisticado que consisti\u00f3 en un m\u00f3dulo integrado para hurtar contrase\u00f1as guardadas en navegadores conocidos.<\/p>\n

Curiosamente, estos criminales fueron muy cautelosos, al punto de dise\u00f1ar una serie de medidas para evitar la detecci\u00f3n del malware. Lo primero que hicieron fue asegurarse de que el virus tuviera un \u201cper\u00edodo de incubaci\u00f3n largo\u201d: la primera entrada del troyano a los servidores C&C ocurri\u00f3 180 d\u00edas despu\u00e9s de haberse infiltrado en los sistemas. Luego, el malware se auto-destruy\u00f3 a trav\u00e9s de un protocolo que se habilitaba en caso de que el idioma del sistema cambiara a coreano.<\/p>\n

Los criminales operaban principalmente en Jap\u00f3n, Taiw\u00e1n y China. Sin embargo, Kaspersky Lab logr\u00f3 detectar ataques que tuvieron lugar en otros pa\u00edses, incluyendo aquellos alejados de lugares de su inter\u00e9s.
\n