Una guerra de inteligencias
El 'malware' actual, cada día más sofisticado, ya no persigue solo dinero, sino también, y sobre todo, información.
El cibercrimen ha evolucionado en unos pocos años desde un modelo de gamberrismo, que producía poco más que molestias, hacia un modus operandi mucho más profesional, basado fundamentalmente en el robo, para terminar por convertirse en todo un frente criminal, organizado y bien financiado, con fines mucho más ambiciosos.
El malware actual, cada día más sofisticado, ya no persigue solo dinero, sino también, y sobre todo, información. Información y control. Esta sofisticación llega hasta el punto de que en muchos casos, la víctima –sea un individuo o una organización– puede no ser siquiera consciente de ello, e incluso ser utilizada para delinquir.
Un buen ejemplo de ello puede ser el malware del tipo ransomware, que consiste en que los cibercriminales infectan las redes y codifican los archivos para luego exigir a sus propietarios un rescate por descifrarlos. Uno de los ejemplos más conocidos es CryptoLocker, un virus que se extendió a finales de 2013 infectando a más de medio millón de ordenadores. Este malware, por ejemplo, atacaba en Australia disfrazándose de la policía federal. Un ataque realmente inteligente.
Es curioso apreciar cómo, en los últimos años, cada vez se utiliza más la palabra inteligencia en el terreno de la ciberseguridad. Y es que de eso se trata, precisamente. No es suficiente ya con detectar malware conocido (como hacen los antivirus, por ejemplo, registrando la firma de cada malware para identificarlo luego en futuros ataques), sino también los ataques más temidos: los desconocidos (o ataques de día cero), que están capacitados para evitar las defensas de seguridad convencionales.
Para neutralizar este malware desconocido es necesario utilizar herramientas de ciberinteligencia que permitan detectarlo, no por su firma, sino por cómo se comporta. Este modelo de detección se basa en la prevención y actúa examinando patrones de conducta a partir de millones de datos extraídos de los sistemas informáticos de las empresas, así como de miles de dispositivos y sensores repartidos por todo el mundo. Así, por ejemplo, aunque un fichero malicioso no sea detectado por un antivirus convencional, su comportamiento será examinado y, si realiza cualquier acción considerada como sospechosa, será enviado a una zona aislada. Allí será puesto en cuarentena, analizado, desinfectado –si procede; si no, será eliminado– y reenviado al usuario rápidamente, ya como fichero seguro.
"Ya no es suficiente con detectar ‘malware’ conocido. También hay que prevenir ataques desconocidos, capacitados para evadir las defensas”
Otro vector de ataque que refleja la sofisticación a la que ha llegado el cibercrimen son las infraestructuras críticas. Los sistemas que controlan estas infraestructuras (plantas nucleares, centrales eléctricas, redes de suministro de agua o gas, etc.) permiten controlar y supervisar procesos industriales a distancia. No hace falta decir más: una intrusión maliciosa que permita tomar el control de uno de estos sistemas daría a los criminales un poder cuyas consecuencias podrían ser fatales. Un ejemplo, Conficker, un troyano que fue protagonista en todo 2015. ¿Adivinan dónde fue visto de nuevo hace solo unas semanas? Nada menos que en una central nuclear. Durante un control de rutina, la central alemana de Gundremmingen detectó que sus sistemas estaban infectados con este gusano. En un comunicado, la entidad señalaba que el propósito del malware había sido “establecer una conexión oculta a internet”.
Así las cosas, no es difícil apreciar que estamos, en realidad, ante una guerra de inteligencias. La inteligencia de los hackers, por un lado, y la de la industria de la seguridad, por otro. Y el siguiente capítulo ya ha comenzado, con un protagonista claro: el malware para dispositivos móviles. Un tipo que suele penetrar también a través de canales legales (por ejemplo, por medio de una app descargada desde una tienda de aplicaciones), y que se instala secretamente en los terminales accediendo a todos sus datos y tomando su control. No hay que remontarse mucho en el tiempo para encontrar un ejemplo: hace menos de un mes, los investigadores de Check Point descubrieron un troyano, Vicking Horde, calificado como “muy peligroso” porque puede afectar a cualquier dispositivo Android a través de aplicaciones disponibles en la tienda de Google. ¿El segundo país más afectado en el mundo?: España.
Si tenemos en cuenta esta situación, unida a la explosión en el uso de dispositivos móviles, no cuesta imaginar la magnitud del problema. Pero, como siempre, en este caso también la industria ha reaccionado y ya existen soluciones que permiten monitorizar cada dispositivo, analizar su actividad y detectar comportamientos anómalos. Algunos de estos sistemas son prácticamente transparentes para el usuario, que simplemente recibe una notificación sobre el riesgo y no tiene más que pulsar un botón para limpiar su terminal.
Es obvio que en esta guerra de inteligencias, que no ha hecho más que comenzar, no habrá un ganador. Cuanto más avance la tecnología, más avanzará la sofisticación de las herramientas utilizadas por los criminales para robar, extorsionar o destruir. Pero también avanzará la capacidad de neutralizarles, y para ello ya está en marcha una industria cada día más unida, cuya colaboración es imprescindible para enfrentarse de igual a igual con la inteligencia de los ciberdelincuentes.
Mario García es director general de Check Point para España y Portugal.