Empleados de Kaspersky Lab en las oficinas en Mosc煤. Funcionarios de inteligencia de Estados Unidos creen que el software antivirus de Kaspersky fue convertido en una herramienta para espionaje. Credit
Es un secreto conocido desde hace mucho por las agencias de inteligencia 鈥攑ero rara vez revelado a los consumidores鈥 que el software de seguridad puede ser una poderosa herramienta de espionaje.
El software de seguridad est谩 m谩s cerca de las partes esenciales de una computadora y tiene acceso privilegiado a casi todos los programas, aplicaciones, exploradores web, correos electr贸nicos y archivos. Hay una muy buena raz贸n para esto: los productos de seguridad tienen el prop贸sito de evaluar todo lo que toca tu m谩quina en b煤squeda de cualquier programa maligno o incluso vagamente sospechoso.
Al descargar el software de seguridad, los consumidores tambi茅n corren el riesgo de que un fabricante de antivirus poco confiable 鈥攐 un ciberatacante o esp铆a con acceso a su sistema鈥 pueda abusar de ese acceso profundo para dar seguimiento a todos los movimientos digitales de los clientes.
鈥淓n la batalla contra el c贸digo malicioso, los productos antivirus son b谩sicos鈥, dijo Patrick Wardle, investigador en jefe en Digita Security, una empresa de seguridad. 鈥淚r贸nicamente, estos productos comparten muchas caracter铆sticas con los implantes avanzados de ciberespionaje de recolecci贸n que buscan detectar鈥.
Wardle lo sabe, pues es un antiguo聽hacker聽de la Agencia de Seguridad Nacional (NSA, por su sigla en ingl茅s) y hace poco logr贸 subvertir un software de antivirus que vende Kaspersky Lab, y lo convirti贸 en una poderosa herramienta de b煤squeda para documentos clasificados.
La curiosidad de Wardle aument贸 con las noticias recientes de que esp铆as rusos hab铆an utilizado los productos antivirus de Kaspersky para extraer documentos clasificados de la computadora personal de un desarrollador de la NSA y pudieron haber desempe帽ado un papel esencial en una recolecci贸n rusa de inteligencia m谩s extensa.
Durante a帽os, las agencias de inteligencia sospecharon que los productos de seguridad de Kaspersky ofrec铆an una puerta trasera de entrada para la inteligencia rusa. Un borrador de un informe ultrasecreto filtrado por Edward Snowden, el antiguo contratista de la NSA, describi贸 una iniciativa ultrasecreta de la NSA en 2008 que concluy贸 que el software de Kaspersky recolectaba informaci贸n delicada de las m谩quinas de los clientes.
Los documentos mostraron que Kaspersky no fue el 煤nico blanco de la NSA. Sus siguientes blancos incluyeron casi dos decenas de fabricantes extranjeros de antivirus, entre ellos Checkpoint de Israel y Avast de la Rep煤blica Checa.
En la NSA, los analistas ten铆an prohibido utilizar el software antivirus de Kaspersky debido al riesgo de darle al Kremlin acceso extendido a sus m谩quinas y datos. Sin embargo, con la excepci贸n de la sede de la NSA en Fort Meade, Kaspersky logr贸 asegurar contratos con casi dos decenas de agencias gubernamentales en Estados Unidos a lo largo de los 煤ltimos a帽os.
En septiembre, el Departamento de Seguridad Nacional les orden贸 a todas las agencias federales que dejaran de utilizar los productos de Kaspersky debido a la amenaza de que 鈥減roporcionaran acceso a archivos鈥.
En octubre, The New York Times聽inform贸聽que la orden de Seguridad Nacional se bas贸, en gran medida, en la informaci贸n compartida por los funcionarios israel铆es de inteligencia que atacaron inform谩ticamente con 茅xito Kaspersky Lab en 2014. Observaron durante meses mientras los聽hackers聽del gobierno ruso escaneaban las computadoras pertenecientes a clientes de Kaspersky en todo el mundo en busca de programas clasificados ultrasecretos del gobierno estadounidense.
En por lo menos un caso, los funcionarios de Estados Unidos afirmaron que los funcionarios de la inteligencia rusa lograron utilizar el software de Kaspersky para extraer documentos clasificados de la computadora personal de Nghia H. Pho, un desarrollador de la NSA que hab铆a instalado el software antivirus de Kaspersky en su m谩quina. Pho se declar贸 culpable de llevar a casa documentos y escritos clasificados en 2017, y ha dicho que lo hizo solo para intentar expandir su curr铆culum.
Kaspersky sigue diciendo que no sab铆a del escaneo de programas clasificados de Estados Unidos y neg贸 haber permitido que sus productos antivirus fueran utilizados por la inteligencia rusa. Eugene Kaspersky, el director ejecutivo de la empresa, ha dicho que permitir铆a que el gobierno estadounidense inspeccione el c贸digo fuente de su empresa para despejar la desconfianza hacia sus productos antivirus y de ciberseguridad.
Sin embargo, al aplicar ingenier铆a inversa al software antivirus de Kaspersky, Wardle descubri贸 que una simple revisi贸n de su c贸digo fuente no har铆a nada por comprobar que sus productos no hab铆an sido utilizados como herramienta de recolecci贸n de inteligencia por parte de Rusia.
Wardle hall贸 que el software antivirus de Kaspersky es incre铆blemente complejo. A diferencia del software tradicional antivirus, que utiliza 鈥渇irmas鈥 digitales para buscar c贸digo malicioso y patrones de actividad, las firmas de Kaspersky se actualizan con facilidad, pueden sacarse autom谩ticamente de las computadoras de ciertos clientes y contienen un c贸digo que puede modificarse para hacer cosas como escanear autom谩ticamente y extraer documentos clasificados.
En suma, seg煤n los hallazgos de Wardle, 鈥渆l antivirus podr铆a ser una herramienta de ciberespionaje por excelencia鈥.
Wardle dijo que era relativamente f谩cil utilizar un punto d茅bil en el software Windows de Microsoft para manipular el software de Kaspersky. Debido a que los funcionarios clasifican de manera rutinaria documentos ultrasecretos con la marca 鈥淭S/SCI鈥, que significa 鈥淯ltrasecreto/Informaci贸n Compartimentada Delicada鈥, Wardle agreg贸 una regla para que el programa antivirus de Kaspersky marcara cualquier documento que tuviera esa etiqueta.
Despu茅s edit贸 un documento en su computadora con el texto de la serie de libros para ni帽os de Winnie the Pooh para que incluyeran la marca y esper贸 para ver si el producto antivirus modificado de Kaspersky lo encontraba.
Desde luego, en cuanto el texto de Winnie the Pooh qued贸 guardado en su m谩quina, el software antivirus de Kaspersky marc贸 el documento y lo puso en cuarentena. Cuando agreg贸 la misma marca TS/SCI a otro documento con el texto: 鈥淭he quick brown fox jumps over the lazy dog鈥, el software modificado del antivirus de Kaspersky tambi茅n lo marc贸 y lo puso en cuarentena.
鈥淣o es muy sorprendente que esto haya funcionado鈥, dijo Wardle, 鈥減ero a煤n as铆 es 煤til confirmar que un producto antivirus puede utilizarse de manera trivial, pero encubierta, para detectar documentos clasificados鈥.
Foto
La siguiente pregunta fue: 驴qu茅 sucede con esos archivos una vez que son marcados? Aunque estuvo a punto de hacerlo, Wardle decidi贸 no聽hackear聽los servidores de la nube de Kaspersky, a donde constantemente se suben archivos sospechosos.
Sin embargo, se帽al贸 que los clientes de programas antivirus, entre ellos los de Kaspersky, aceptaron por omisi贸n permitir que los vendedores de productos de seguridad enviaran cualquier archivo desde su m谩quina hasta los servidores de los proveedores para contribuir a su investigaci贸n.
Hay motivos leg铆timos para hacerlo: al cargar esos archivos a la nube de Kaspersky, los analistas de seguridad pueden evaluar si plantean una amenaza y actualizar sus firmas como resultado.
Kaspersky Lab dijo que la investigaci贸n de Wardle no reflejaba c贸mo funciona el software de la empresa. 鈥淓s imposible para Kaspersky Lab entregar una firma espec铆fica o actualizar los datos de un solo usuario de manera secreta y dirigida porque todas las firmas siempre est谩n disponibles de manera abierta a todos nuestros usuarios; adem谩s, las actualizaciones se firman digitalmente, por lo que se hace aun menos posible crear una actualizaci贸n falsa鈥, se帽al贸 la empresa en una declaraci贸n.
