Encuentran malware espía en gobierno de México

En el 2012, activistas opositores al gobierno sirio fueron espiados a través del malware Xtreme RAT (Troyano de Acceso Remoto, por su sigla en inglés), en una serie de ciberataques dirigidos presuntamente por el gobierno de Siria. En el 2014, el sistema de Defensa de Israel se vio infiltrado a través de este mismo troyano, presuntamente por hacktivistas palestinos. Y Xtreme RAT ha sido localizado en los sistemas informáticos del gobierno de México.

Este hallazgo se desprende de un análisis que realizó la firma de seguridad informática Arbor Networks entre octubre del 2016 y febrero del 2017. Por cuestiones de confidencialidad, la firma no detalló cuáles son las entidades afectadas, pero el consultor en Seguridad Informática de Arbor Networks en Latinoamérica, Carlos Ayala, aseguró a El Economista que el análisis se realizó en la infraestructura de las principales instituciones del gobierno federal.

Hay muchos compromisos en instituciones gubernamentales. Encontramos artefactos maliciosos como RATs que encontramos en otro tipo de operaciones de alto impacto de organizaciones gubernamentales como en Israel, en operativos en Siria y en otros países , explicó el experto en entrevista.

La firma de ciberseguridad FireEye explica que el Xtreme RAT permite al atacante el interactuar con la víctima a través de una consola remota para ejecutar comandos; subir y descargar archivos; interactuar con los registros; manipular los procesos y servicios en ejecución: capturar imágenes del escritorio de la computadora y grabar desde dispositivos conectados como una cámara web o un micrófono.

NOTICIA: WannaCry, llamado de urgencia para Estrategia Nacional de Ciberseguridad

Encontramos keyloggers (software para interceptar y guardar las pulsaciones realizadas en el teclado de un equipo infectado); encontramos mucha captura de video y audio exfiltrado que habían sido obtenidos por dispositivos comprometidos a través de estos RATs y, por ejemplo, exfiltración de información a través de protocolos tradicionales como FTP , dijo el experto de Arbor Networks.

La detección de Xtreme RAT es sólo una de las más de 15 actividades maliciosas encontradas en la infraestructura tecnológica del Estado mexicano. Entre los hallazgos también se encuentra Bayrob, un troyano espía descubierto en el 2007 pero que el año pasado generó una nueva oleada de infecciones sobre todo en América Latina.

Tiene la capacidad de enviar información del sistema en que se encuentra y la lista de procesos que actualmente estén corriendo, así como de actualizarse a una nueva versión, descargar y ejecutar archivos. Por lo tanto, si un equipo se encuentra comprometido por esta amenaza estaría formando parte de una botnet, ya que el código malicioso es capaz de interpretar comandos remotamente , explicó la firma de ciberseguridad ESET.

Arbor Networks también encontró la presencia de Dirt Jumper, una familia de malware que realizan ataques DDoS (ataque de denegación de servicio distribuido). Un ataque de esta naturaleza fue el que atacó al proveedor de Sistema de Nombres de Dominio (DNS) Dyn, y que dejó sin servicio a Amazon, Netflix o Twitter en octubre del año pasado.

NOTICIA: Los objetos zombies atacaron Internet

Pero Arbor Network detalló en su reporte que Dirt Jumper ha estado activo en ataques de sitios web con motivaciones políticas, de extorsión, o de competencia.

La firma de seguridad además encontró actividad de ransomware (código malicioso que secuestra las máquinas al encriptar la información y exige un pago en bitcoins para entregar las llaves de descifrado); así como código malicioso para dispositivos móviles relacionados con botnets.

Una infección de bot a menudo significa que un atacante tiene el control total sobre el dispositivo móvil infectado y, por lo tanto, está presente una variedad de actividades maliciosas y amenazas a la seguridad , detalló el reporte, cuyos resultados principales fueron compartidos a El Economista.

Carlos Ayala explicó que los resultados de este análisis fueron entregados a las entidades de gobierno, pero la eliminación de estas amenazas y las correcciones de seguridad es responsabilidad de los equipos de seguridad informática de las mismas entidades. Aunque el panorama no es alentador.

Sólo el 25% de organizaciones (públicas y privadas) tienen un proceso de respuesta a incidentes con recursos suficientes, pues de pronto es: genero un proceso de respuesta a incidentes en papel que presento a un auditor pero no tienen nada de instrumentación tecnológica, no tienen ni gente , explicó Ayala.

NOTICIA: México fue uno de los más afectados por WannaCry en el mundo

Las motivaciones de ataque

Sin un intercambio de información en ciberseguridad e inteligencia, como ocurre en México, resulta difícil conocer las motivaciones de los atacantes. Si bien pueden ser motivos como el robo de identidad, el financiero o la obtención de información confidencial de inteligencia y seguridad nacional, o que pueda colocar en una mejor posición a participantes de una licitación, lo cierto es que tampoco se pueden descartar motivos políticos y electorales de cara a las elecciones presidenciales del 2018.

Si estás hablando que en una vertical (gobierno) hay una motivación, que vienen las elecciones y todo el mundo quiere información de un tercero y estrategia, toda esa información es muy valiosa y alguien más le sirve por lo que hace todo lo posible por obtenerla , alertó el especialista.

La máxima autoridad electoral en el país, el Instituto Nacional Electoral (INE) ya ha alertado sobre posibles ataques cibernéticos durante el proceso electoral. Durante la celebración Día de Internet, convocada por la Asociación Internet.MX la semana pasada, el consejero electoral Benito Nacif dijo que un ciberataque, el espionaje, o el robo de información puede utilizarse para incidir en las elecciones como sucedió en Estados Unidos.

NOTICIA: Fake news, ciberataques y espionaje: panorama electoral para 2018

Los problemas que conocemos como robo de identidad, suplantación de identidad que pueden afectar los mecanismos de participación ciudadana a través de internet", dijo entonces.

Cifras de la Policía Federal detallan que, en lo que va de la presente administración, se han atendido 170,864 incidentes de seguridad informática, el 60% aproximadamente tiene que ver con malware (código malicioso).

julio.sanchez@eleconomista.mx