Así es como un antivirus puede convertirse en una herramienta de espionaje

Cristina Fernández,
Hacker pirateando un ordenador

Ha sido un secreto, conocido desde hace tiempo para las agencias de inteligencia, pero rara vez para los consumidores, que el software de seguridad puede ser una poderosa herramienta de espionaje.

El software de antivirus se ejecuta más cerca del hardware de una computadora, con acceso privilegiado a casi todos los programas, aplicaciones, exploradores web, correos electrónicos y archivos. El motivo de esto, es que los productos de seguridad están destinados a evaluar todo lo que toca su máquina en busca de algo malicioso, o incluso vagamente sospechoso.

Al descargar el antivirus, los consumidores también corren el riesgo de que un fabricante poco fiable, o un pirata informático con un punto de apoyo en sus sistemas, pueda abusar de ese acceso profundo para rastrear cada movimiento digital de los clientes.

En línea con esto hace unos meses saltaba la noticia de que los espías rusos habían utilizado los productos antivirus de Kaspersky para extraer documentos clasificados estadounidenses. Así lo hacían saber los agentes Israelíes que habían conseguido acceder al antivirus y se dieron cuenta de que este escaneaba buscando archivos clasificados de la potencia americana.

Kaspersky es un famoso software antivirus que es utilizado por al menos 400 millones de personas en todo el mundo, aunque un 60% de esos usuarios se sitúan en Estados Unidos. En septiembre pasado, el Departamento de Seguridad Nacional ordenó a todas las agencias federales que dejaran de usar los productos de Kaspersky debido a la amenaza de que estos pudieran “brindar acceso a archivos” clasificados.

Pero cómo un antivirus puede convertirse en una potente herramienta de espionaje.  Ahora según informa The New York Times parece conocerse la forma en que este software ha podido llevar a cabo la tarea de escaneo de archivos clasificados.

Patrick Wardle, jefe de una oficina de seguridad digital ha querido saber si “si este era un mecanismo de ataque factible” y ha realizado una investigación que podría mostrar cómo un antivirus puede utilizarse como herramienta de espionaje.

“No quería entrar en las complejas acusaciones. Pero desde el punto de vista técnico, si un creador de antivirus lo quería, se lo coaccionaban, se lo pirateaba o se lo subvierte de algún modo, ¿podría crear una firma para marcar documentos clasificados?, añadía Wardle.

Así, tras sus investigaciones, Wardle descubrió que el software antivirus de Kaspersky es increíblemente complejo. A diferencia del software antivirus tradicional, que utiliza “firmas” digitales para buscar códigos maliciosos y patrones de actividad, las firmas de Kaspersky se actualizan fácilmente, se pueden enviar automáticamente a ciertos clientes y contienen código que se puede ajustar para hacer cosas como escanear automáticamente y desviar los documentos clasificados.

En resumen,  Wardle descubrió, “el antivirus podría ser la última herramienta de ciberespionaje” y que era relativamente fácil usar una vulnerabilidad en el software Windows de Microsoft para manipular el software Kaspersky.

Cómo es el proceso

Debido a que los funcionarios clasifican rutinariamente los documentos secretoscon la marca “TS / SCI”, que significa “información secreta / altamente confidencial compartimentada”, Wardle agregó una regla al programa antivirus de Kaspersky para marcar cualquier documento que contuviera el “TS / SCI” como marcador.

Luego editó un documento en su ordenador que contenía texto de los libros para niños de Winnie the Pooh a los que incluyó la marca “TS / SCI” y esperó a ver si el producto antivirus ajustado de Kaspersky lo atrapaba.

Efectivamente, tan pronto como se guardó el texto de Winnie the Pooh en su ordenador bajo dicho marchador, el software antivirus de Kaspersky marcó y puso en cuarentena el documento. Cuando agregó el mismo marcador TS / SCI a otro documento que contenía el texto “El veloz zorro marrón saltó sobre el perro perezoso”, también este fue marcado y puesto en cuarentena por el programa antivirus ajustado de Kaspersky.

“No es una gran sorpresa que esto haya funcionado”, dijo Wardle, “pero sigue siendo bueno confirmar que un producto antivirus puede ser trivial, aunque subrepticiamente, usado para detectar documentos clasificados“.

 

La siguiente pregunta  que se formuló fue: ¿Qué sucede con estos archivos una vez que están marcados? Wardle no llegó a piratear los servidores en la nube de Kaspersky, donde los archivos sospechosos se cargan rutinariamente. Sin embargo, señaló que los clientes de antivirus, incluido Kaspersky, acuerdan de forma predeterminada  en las condiciones a aceptar, el permitir que los proveedores de seguridad envíen cualquier cosa desde su ordenador a los servidores de los vendedores para una mayor investigación.

Existen razones legítimas para esto: al cargar estos elementos en la nube de Kaspersky, los analistas de seguridad pueden evaluar si representan una amenaza y actualizar sus firmas como resultado.

Pero ante esta afirmación desde la compañía del antivirus afirmó en un comunicado que “es imposible para Kaspersky Lab entregar una firma específica o una actualización a un solo usuario de forma secreta y específica porque todas las firmas están siempre disponibles para todos nuestros usuarios; y las actualizaciones están firmadas digitalmente, lo que hace que sea imposible falsificar una actualización “.

La compañía agregó que aplicaba los mismos estándares de seguridad y mantenía los mismos niveles de acceso que otros proveedores de seguridad, y reiteró que estaba dispuesto a hacer que su código fuente, reglas de detección de amenazas y actualizaciones de software estén disponibles para la auditoría de expertos independientes.

Pero, como demostró la investigación del experto en seguridad digital, un proveedor poco confiable, o un pirata informático o espía con acceso a los sistemas de ese proveedor, puede convertir el software antivirus en una herramienta de búsqueda dinámica, no diferente de Google, para escanear documentos de los clientes que contienen ciertas palabras clave. “Y nadie lo sabría”, agregó. “Es el cibercrimen perfecto”.

Conoce cómo trabajamos en Business Insider.