Programa de espías con acento hispano
¿Quién está detrás de La Máscara?
¿Está un gobierno detrás de uno de los ataques de ciberespionaje más sofisticados que se haya visto nunca? ¿Es realmente el ataque obra de un hispanohablante? ¿O fue una frase vulgar en español mezclada entre sus ceros y sus unos puesta ahí solo para despistar a cualquier detective digital?
¿Por qué se centró específicamente en 46 computadoras en Cuba? ¿Por qué hay tantas víctimas en Marruecos y en Brasil del ataque conocido como “Careto” o “The Mask” (La Mascara)? Y, aunque se puede entender que se centrara en gobiernos y empresas, ¿por qué se centró también en “activistas”?
Estas y muchas otras preguntas permanecen sin respuesta aunque Kaspersky Lab, la compañía rusa de seguridad cibernética que fue la primera en detectar el spyware, o software espía, ha hecho una autopsia de sus entrañas informáticas y publicado un informe de 65 páginas para clavarle una estaca en el corazón y sacarlo de circulación.
Kaspersky dijo que ellos consideran que el ataque de ciberespionaje es obra de un gobierno debido a su sofisticación y el profesionalismo de su modus operandi, como borrar sus huellas y rechazar sondeos de ciberinvestigadores conocidos.
Activo desde el 2007, el spyware usa dos niveles de cifrado y busca por varias extensiones de nombres de archivo que según Kaspersky no se conocen pero pudieran estar relacionadas con herramientas de cifrado a nivel militar o gubernamental.
“Esto se combina para... hacerlo una de las amenazas más avanzadas en estos momentos. Este nivel de seguridad operacional no es normal para grupos de cibercriminales”, dijo Costin Raiu, jefe del Equipo de Investigación y Análisis Globales de la compañía, al anunciar sus conclusiones .
Careto está diseñado para interceptar virtualmente todo tipo de información digital, incluyendo tráfico en internet, Skype y Wi-Fi, golpes de tecla, capturas de pantalla e incluso claves de cifrado de PGP, un sistema de cifrado abierto al público, de acuerdo con el informe de Kaspersky fechado el 10 de febrero.
Pero el ataque selecciona cuidadosamente a sus víctimas: no ataca a cualquiera que se ponga en su camino, sino a instituciones estatales, embajadas, grupos de expertos ( think tanks), firmas de capital privado, compañías energéticas, de petróleo y gas, y “activistas”, señaló el informe.
No se dieron más detalles de los “activistas” en el informe, pero Dmitry Bestuzhev, experto de Kaspersky Lab, dijo en un correo electrónico a El Nuevo Herald que “en algunos casos pueden ser de derechos humanos”.
Kaspersky dijo que ha encontrado a más de 1000 víctimas, muchos de ellos en Marruecos y Brasil pero otros en Argelia , Argentina, Bélgica, Bolivia, China, Colombia, Costa Rica, Cuba, Egipto, Francia, Alemania, Gibraltar, Guatemala, Irán, Irak, Libia, Malasia, México, Noruega, Pakistán, Polonia, España, Sudáfrica, Suiza, Túnez, Turquía, el Reino Unido, Estados Unidos y Venezuela.
Tal vez la característica más inusual del ataque son los muchos indicios que hay en su código de que fue obra de un hispanohablante, la primera vez que se haya visto palabras españolas mezcladas en un programa de espionaje cibernético de alto nivel, según el informe de la compañía.
Una parte del código incluye la palabra Careto, que significa máscara o cara fea, de donde proviene el nombre que Kaspersky le puso al ataque. En otra se usa la palabra “Pruebas”, y una tercera usa “recetas”.
Lo que es más, la configuración del spyware incluía el término “Caguen1aMar”, una contracción de la tradicional expresión obscena de España “Me c... en la mar”, reportó la compañía.
The Mask ademas atrapó a muchas de sus víctimas cuando visitaron websites maliciosos diseñados para que parecieran parte de los periódicos españoles El País y El Mundo, dijo la compañía, así como páginas que imitaban a The Washington Post y The Guardian en Londres.
Kaspersky no culpó a gobierno o persona alguna, diciendo que el español se habla en 21 países y hasta en Miami. “No debemos excluir la posibilidad de una operación de bandera falsa, donde los atacantes hayan plantado intencionalmente palabras en español para confundir el análisis”, escribió Bestuzhev.
La compañía concluyó que The Mask había infectado a tres instituciones separadas en Cuba y comprometió un total de 46 computadoras en la isla, agregó el experto ruso, así como una institución en Venezuela. Kaspersky no identificó a ninguna de las entidades infectadas.
Todos los ataques de spyware “buscan información muy específica. La víctima es seleccionada con mucho cuidado”, dijo Bestuzhev. “Eso significa en esencia que los atacantes detrás de Careto estaban interesados en algo específico localizado en esas máquinas y en esos países”.
El ataque operó a través de un método conocido como spear-phishing: correos electrónicos que atraen al destinatario a los periódicos falsos y otras páginas igualmente falsas. El spyware entonces descargaba información crítica y de seguridad y luego reenviaba a los destinatarios con rapidez a páginas verdaderas que no despertarían sospechas.
Kaspersky dijo que habían confirmado que Careto atacó computadoras con los sistemas operativos Windows y Linux, y que sospechaban que había versiones para iPhone/iPad y Android. Algunos de los servidores involucrados parecían tener direcciones en Dallas, Panamá, Costa Rica, Argentina, Austria, Singapur, Malasia y la República Checa.
La compañía descubrió a Careto el año pasado cuando trató de atacar uno de los programas de seguridad de Kaspersky. Ellos también descubrieron a Flame, una de las herramientas de ciberespionaje más avanzadas hasta que apareció The Mask, en el 2012.
Kaspersky dijo que ellos habían logrado tomar el control de varios servidores de mando y control (C&C) de Careto, para interrumpir el flujo de tráfico malicioso y examinar las entrañas del spyware.
Los atacantes empezaron a sacar los servidores de línea el mes pasado, dijeron, y todos los servidores de C&C de The Mask están ahora fuera de línea. Pero la compañía dijo que no podía descartar un retorno de los ataques más adelante.
Esta historia fue publicada originalmente el 24 de febrero de 2014, 5:07 a. m. with the headline "Programa de espías con acento hispano."