Descubierta una gran red mundial de ciberespionaje

"El atacante está motivado por un ansia a gran escala de los secretos y la propiedad intelectual; esto es diferente de la gratificación financiera inmediata que impulsa gran parte de los delitos informáticos". Así resume el vicepresidente de investigación de amenazas de McAfee, Dmitri Alperovitch, la clave del mayor ciberataque de la historia por la importancia de los organismos afectados. La compañía de seguridad McAfee hizo público ayerun informe en el que se desvelan los ataques a 72 organizaciones de todo el mundo entre las que se encuentran gobiernos, ONG y multinacionales.

La investigación, catalogada como operación Shady RAT (RAT es el acrónimo de Remote Access Tool, la herramienta que utilizan los expertos en seguridad para acceder a las redes), detalla ataques a los gobiernos de EEUU, Taiwán, India, Corea del Sur, Vietnam y Canadá; organizaciones como la ONU, la Asociación de Naciones del Sureste Asiático, el Comité Olímpico Internacional (COI) y la Agencia Mundial Antidopaje; y una larga lista de empresas que no se ha detallado. El ámbito de actuación de estas últimas es heterogéneo, y abarca desde sedes de medios de comunicación a compañías de telecomunicaciones, defensa y energía.

No hay una motivación económica aparente para los ataques

Al contrario de los robos más populares del último año, que han tenido una motivación económica, el objetivo de esta red de ciberespionaje ha sido obtener una gran cantidad de información. "Lo que hemos presenciado en los últimos cinco o seis años ha sido una transferencia de la riqueza sin precedentes: secretos relacionados con la seguridad nacional, revelación de fuentes, bases de datos, correos electrónicos, planes de negociación y detalles para nuevas subastas de prospecciones de petróleo y gas", explica Alperovitch en el informe. En el caso de Naciones Unidas, los delincuentes entraron al sistema de la Secretaría de la ONU en Ginebra en 2008 y tuvieron acceso a documentos secretos durante casi dos años.

McAfee hace referencia a un "actor estatal" como responsable de la red de ciberespionaje, aunque no lo nombra. Varios expertos señalaban ayer a China como responsable de los ataques en función de los detalles dados a conocer y las fechas de realización de las intrusiones combinadas con diversos acontecimientos geopolíticos.

Los expertos apuntan a China como el autor más probable

"El interés en la información contenida en los comités nacionales olímpicos asiáticos y occidentales, así como en el Comité Olímpico Internacional y la Agencia Mundial Antidopaje en el período previo e inmediatamente posterior a los Juegos Olímpicos de 2008 [celebrados en Pekín], fue interesante y potencialmente señaló a un actor estatal detrás de las intrusiones", detalla el estudio, que complementa la información con una imagen que muestra los países atacados (ver gráfico).

El experto en ataques cibernéticos en el Centro de Estudios Estratégicos e Internacionales Jim Lewis apuntó ayer a Reuters que la presencia de Taiwán y del Comité Olímpico Internacional en la lista de las víctimas sugiere que China es el autor más probable.

La primera evidencia de violaciones de seguridad se remonta al año 2006. McAfee, que descubrió las dimensiones de la red el pasado marzo, especifica, no obstante, que algunos robos de datos podrían haber comenzado mucho antes. Para realizarlos, los delincuentes informáticos enviaron correos electrónicos a miembros de las organizaciones implicadas hasta que alguno de ellos pinchaba sobre el enlace que contenía el código malicioso. El usuario, sin ser consciente de ello, permitía que los intrusos pudieran acceder a su máquina e introducirse con posterioridad en la red a la que esta pertenecía.

Los delincuentes enviaban correos trampa a las organizaciones

Algunos de los ataques duraron menos de un mes y otros más de dos años. En el primer caso, el informe hace referencia a nueve entidades, entre las que se encuentran el COI, una compañía tecnológica del Gobierno de Vietnam o una agencia gubernamental canadiense. Los expertos advierten, no obstante, que este corto periodo de actuación no se debió necesariamente a que los equipos responsables de la seguridad reaccionaran con rapidez, sino a que el atacante podía estar interesado sólo en unos datos concretos. "El mayor peligro se registró en el comité olímpico de una nación de Asia, que se prolongó de manera intermitente durante 28 meses y finalizó en enero de 2010".

Desde McAfee se especifica que no se trata de un ataque nuevo y que, de hecho, la mayor parte las víctimas hace tiempo que remediaron los fallos. Antonio Ropero, directivo de la empresa especializada en seguridad informática Hispasec, explica que su sistema de recolección de muestras ha detectado más de mil variantes de los troyanos que McAfee especifica en el informe que fueron utilizados para realizar los ataques. "Es un sistema muy utilizado. Lo que sucede es que sólo sale a luz una mínima parte de los ataques que se realizan", añade Ropero.

"Sólo sale a la luz una mínima parte de los ataques", dice un experto

En este sentido, el estudio de McAfee apunta a que existe una divulgación mínima por parte de las víctimas en comparación con el número real de ataques. El informe no identifica a la mayoría de los objetivos (aunque la compañía ya se ha puesto en contacto con los afectados) y se limita a describir la industria a la que pertenecen. Casos excepcionales son los de los gobiernos y algunos organismos que sí aparecen citados. "Dar nombres se justifica en algunos casos [...] para reforzar el hecho de que prácticamente todo el mundo cae preso de estas intrusiones", añade Alperovitch. McAfee subraya que las únicas organizaciones exentas de esta amenaza "son aquellas que no tienen nada valioso que robar".