bienvenido a t-cert
Ser Google y tener el dominio que tiene la compañía de Mountain View tiene sus pros y sus contras. Un pro sería que eres una organización con capacidad y conocimiento suficiente para paralizar el mayor ciberataque del Universo. Un contra, sin embargo, sería conducir y ejecutar una importante operación de ciberseguridad y que el resultado sea destapar una misión antiterrorista activa de ciberespionaje de un país occidental.
Este fallo también afecta a los usuarios que tengan activado el sistema de autenticación de doble factor. Un agujero de seguridad en WhatsApp permite bloquear tu cuenta solo con tu número de teléfono Google cuenta con dos unidades para mantener la seguridad en la red: Project Zero, un equipo que se dedica a destapar grandes vulnerabilidades de seguridad no identificadas, y Threat Analysis Group, cuyo objetivo es detectar y paralizar ciberataques respaldados por gobiernos ‘no aliados’, entre los que se incluyen, por ejemplo, Corea del Norte, China y Rusia.
En un esfuerzo conjunto, ambas unidades dieron con un problema al que poner remedio: encontraron un grupo de hackers que explotaba 11 vulnerabilidades de día cero para comprometer los dispositivos que ejecutan iOS, Android y Windows
La historia no termina en la paralización del ataque, ya que en lugar de colgarse una gran medalla por el trabajo bien hecho Google ha recibido un tirón de orejas de la comunidad de inteligencia: según informa el MIT Technology Review, esos supuestos cibercriminales eran en realidad agentes gubernamentales de un país occidental que trabajaban activamente en una operación antiterrorista.
Normalmente, cuando las empresas de seguridad detienen ‘exploits’ que están siendo utilizados por gobiernos de países aliados -algo que al parecer ocurre con más regularidad de la que pensamos-, esta información no suele hacerse pública para proteger la misión y a sus operadores.
Es cierto que la publicación en la que Google anunciaba que había detectado y detenido este ataque omitía algunos detalles clave, incluido quién fue el responsable del 'hackeo' y a quién estaba atacando, así como importante información técnica sobre el malware y los dominios utilizados en la operación. Pero, según apuntan los expertos, las operaciones occidentales son reconocibles.
“Hay ciertos sellos distintivos en las operaciones occidentales que no están presentes en otras entidades se pueden ver traducidos en el código”, indicaba al MIT un alto exfuncionario de inteligencia estadounidense que prefirió mantenerse en el anonimato.
El especialista en ciberseguridad en Hiberus Tecnología explica cómo se produjeron ataques como el de este grupo de hackers: “En primer lugar buscan las vulnerabilidades de las que hablamos, lo que pueden hacer de forma autónoma o mediante terceros, comprándolas en un blackmarket. Posteriormente se crea un programa de malware u otros medios técnicos para poder aprovechar la vulnerabilidad y se usan bots o escáneres automáticos para identificar los sistemas que sufren la vulnerabilidad”.
Los cables submarinos reciben el nombre de ‘Echo’ y ‘Bifrost'. ¿Está tu información personal entre los datos filtrados de Facebook? Con esta herramienta puedes comprobarlo De esta forma, “se crea una estrategia detallada para penetrar de la manera más eficaz posible en el sistema vulnerable. Es un ataque no dirigido, mediante campañas de phishing e intentando acceder a la mayor cantidad de sistemas vulnerables”. “Una vez atravesadas las defensas perimetrales de la organización o dispositivos personales, los ciberdelincuentes pueden ejecutar código de forma remota”, indica Cuadrado.
En la investigación se descubrió que se habían visto afectados por el ataque diversos tipos de software, tanto de Google como ajeno a la compañía, entre ellos el navegador Safari en teléfonos iPhone, el navegador Chrome en los móviles Android y los ordenadores con Windows.
.jpg){kind=small}