Un bazar de armas para hackers promueve los ciberdelitos globales

Ellos tienen como un club del vino, pero de armas cibernéticas. El martes pasado, mientras el mundo se tambaleaba por el impacto de WannaCry, uno de los ciberataques más virulentos de la historia de Internet, el grupo que lo inició se tomó un momento para disfrutar de lo que había provocado: una tercera parte del Servicio Nacional de Salud de Gran Bretaña estaba paralizado; los estudiantes chinos tenían bloqueado el acceso a sus archivos de la universidad; y docenas de empresas multimillonarias desde FedEx hasta Telefónica no podían operar.

Para junio, TheShadowBrokers está anunciando el servicio de suscripción mensual denominado The ShadowBrokers Data Dump of the Month, dice un posteo en Steemit, una plataforma social. Todos los meses se podrá pagar para recibir exploits (programas maliciosos, o partes de un programa, que tratan de forzar alguna deficiencia o vulnerabilidad del sistema).

En otras palabras, una amenaza de que se viene más daño.

TheShadowBrokers un grupo online anónimo que apareció de la nada en agosto pasado se convirtió en una de las fuerzas más peligrosas del ciberespacio. En abril lanzó una serie de armas cibernéticas online. Un mes más tarde, una de las herramientas de hackeo se había transformado en WannaCry después de ser reciclada por otros grupos en turbios foros de la web oscura la internet profunda, áreas del ciberespacio no cubiertas por motores de búsqueda regulares.

Para el gobierno de Estados Unidos, la amenaza es particularmente grave: las armas que ShadowBrokers está promocionando son suyas, aparentemente substraídas el año pasado de la Agencia Nacional de Seguridad (NSA por sus siglas en inglés) en la violación más seria de sus sistemas desde las filtraciones de Edward Snowden, el ex empleado de la CIA.

Los oficiales de inteligencia occidentales creen que ShadowBrokers es un proxy ruso una agresiva unidad de la guerra de información cada vez más estridente contra Washington y sus aliados. Sin embargo, no hay evidencia total que vincule a los activistas-hackers con el Kremlin. De hecho, Rusia se encuentra entre los países más golpeados en la epidemia de WannaCry. Se paralizaron más de 1000 computadoras de su Ministerio del Interior. Moscú niega enérgicamente cualquier conexión. El presidente Vladimir Putin esta semana despotricó contra la comunidad de inteligencia de Estados Unidos por haber permitido que se produjera el ataque de WannaCry.

Independientemente de quién tiene la culpa, el incidente de WannaCry refleja en duros términos las complejidades de las nuevas amenazas del ciberespacio. Llama la atención el cambiante paisaje de participantes de la web oscura, algo que han descripto más de una docena de oficiales de inteligencia occidental y analistas de ciberseguridad del sector privado.

Si bien ShadowBrokers liberó la herramienta de hackeo de la NSA sobre la cual se basó el WannaCry, fue otro grupo o individuo el que utilizó esa arma para más usos maliciosos. Y es probable que un tercer grupo luego lo haya convertido en un ransomware malware que impedía a los usuarios infectados acceder a sus propios discos rígidos y exigía un pago a cambio de las llaves digitales para devolverles el acceso, el cual se extendió en todo el mundo a la velocidad de la luz.

Los rastros digitales también vinculan a Corea del Norte. El Lazarus Group, una unidad cuasicriminal conducida por Pyongyang, podría haber desarrollado un precursor del WannaCry.

Este inframundo es también un mercado altamente desarrollado un bazar de ciberarmas que vende de todo, desde equivalentes digitales de barretas hasta bombas inteligentes que se convirtió en la sala de máquinas del crimen organizado global.

"He visto evolucionar a estos grupos (de la web oscura) en los últimos 20 años", dijo Anthony Ferrante, director gerente de medicina forense y litigios en la consultora FTI y fue director de respuesta a ciberincidentes de la Casa Blanca durante la administración de Obama.

"La realidad es que algunas de estas amenazas siempre han existido, pero lo que ha evolucionado es el acceso a los medios para entregarlas. Internet permite a los actores cibermaliciosos entregar herramientas que se convierten en armas; y el alcance y la escala de las mismas no tienen precedentes".

Los gobiernos están perdidos, no saben cómo abordar el problema. Los críticos hace tiempo que advierten sobre la posibilidad de que pierdan el control sobre las tecnologías de las ciberarmas desarrolladas por el Estado. Las divulgaciones de ShadowBrokers no son el primer ejemplo pero están cerca de ser el peor escenario.

"La comunidad de inteligencia en su mayor parte todavía no puede creer que haya sucedido", contó un ex oficial de inteligencia estadounidense. "Están en modo caos tratando de reparar el daño", agregó.

En la web oscura, ShadowBrokers encontró terreno fértil donde sembrar discordia. "Hay un complejo ecosistema de cibercriminales y otros actores de ataques cibernéticos que a veces colaboran, hacen los ataques o ponen en dominio público información sobre cómo hacer los ataques", dijo Ciaran Martin, director del Centro de CiberSeguridad Nacional del Reino Unido, un brazo de la agencia de inteligencia GCHQ. "Es un mercado global. Fundamentalmente, el crecimiento de esta amenaza tiene que ver con el retorno sobre la inversión", agregó

Las autoridades británicas estiman que el 48% de todos los delitos en Gran Bretaña tienen una ciberdimensión. Europol cree que los ingresos provenientes del cibercrimen global es superior al proveniente de los narcóticos ilegales. A un nivel más básico, casi cualquiera puede acceder a las plataformas de hackeo disponibles en la web oscura. No se requieren conocimientos técnicos. Las plataformas de malware vienen con menúes desplegables para que los potenciales hackers puedan elegir la naturaleza del acto delictivo que quieren emprender.

Las plataformas de malware más sofisticadas que usan herramientas de hackeo más poderosas se pueden comprar, alquilar y hasta franquiciar. La sugerencia de que ShadowBrokers es como un "club del vino" es más acertada de lo que parece. Algunas plataformas de malware en la web oscura incluso vienen con soporte para los usuarios aplicaciones de chat que conectan a los compradores con programadores para recibir ayuda en sus esfuerzos por robar o defraudar. Los foros de hackers brindan sistemas de calificaciones para los usuarios. Así como sucede en eBay, los vendedores de malware pueden ser calificados en base a la calidad de sus productos. A los estafadores no les gusta que los estafen.

Pero son los nichos premium más oscuros del mercado cibernético los que más preocupan a los gobiernos.

"Entre los de mejor calidad hay un estrato mucho más pequeño de comunidades cerradas ellas son las que hacen las cosas peligrosas de las que realmente nos ocupamos, pero comprenderlas es mucho más difícil", contó Steve Stone, director global del servicio de inteligencia de la división de Servicios de Inteligencia y Respuesta a Incidentes X-Force de IBM. "Esos son círculos de confianza; grupos de individuos altamente capaces que intercambian ideas, se apoyan entre sí y desarrollan capacidades."

IBM estima que la web oscura alberga "docenas" de esos grupos. Algunos están motivados por el dinero, algunos por curiosidad intelectua y otros por intereses más anárquicos. "Tendemos a pretender ubicar las amenazas en diferentes categorías; es decir, éste es delincuente, éste es gobierno, o lo que sea", explicó Stone. "Pero en general no es así. Algunos de esos grupos o personas que los componen pueden hacer cuatro cosas diferentes por cuatro razones distintas. Nada es rígido".

Para los funcionarios de inteligencia occidentales en particular, ese contorno borroso es una preocupación. Y aseguran que los adversarios lo aprovechan activamente.

"En Rusia, hay mucho de superposición entre los servicios de inteligencia y el crimen organizado", comentó un funcionamiento de ciberseguridad británico.

"No lo describiría como simbiótico sino como una explotación mutua. Es muy difícil separar a los dos, el gobierno sanciona comportamiento o se hace el distraído, incluso dentro de Rusia y, a cambio, exige servicios."

La situación está lejos de ser única. Irán desarrolló lazos con redes criminales, cuenta, y tiene una comunidad activa de hackers que explotan y adaptan tecnologías que se negocian y discuten en la web oscura.

El grupo Lazarus de Corea del Norte quizás sea el ejemplo por excelencia: comete delitos como el ataque al sistema bancario Swift y ejecuta operaciones estratégicas incluyendo el intento de destruir Sony en 2014.

Para algunos, especialmente en Silicon Valley, el gobierno norteamericano es igual de culpable que cualquiera por las ciberarmas ilícitas del inframundo. ShadowBrokers quizás esté filtrando las herramientas de hackeo, señalan, pero primero que nada Estados Unidos las desarrolló. Una ciberarma es simplemente una vulnerabilidad de software. Si EE.UU. fuera a revelar a los aliados la debilidad que había descubierto, los adversarios también la repararían.

Stuart McClure, CEO de la compañía de ciberseguridad Cylance, dijo que WannaCry era su "mayor escenario de pesadilla", y la pregunta en realidad es cuándo surgirá otra vulnerabilidad seria. "Los gobiernos de todo el mundo están descubriendo vulnerabilidades todo el tiempo y sabemos que no las están divulgando a vendedores, a Microsoft, a Apple."

El control de la proliferación de ciberarmas es difícil. A diferencia de los armamentos regulares, los gobiernos a menudo no se dan cuenta cuando desaparecen sus herramientas de hackeo: el código se pueden copiar fácilmente. Un arsenal entero cabe dentro de un pendrive.

"Este es un momento aleccionador. Necesitamos detenernos y pensar esto de manera diferente a otros tipos de amenazas", dijo Edward Stroz, fundador de Stroz Friedberg, que responde a ciberataques.

Otros son más optimistas y ven un proceso de adaptación necesaria y cambio rápido aunque un proceso que corre el riesgo de perder el control.

"Esas vulnerabilidades existen nos guste o no", dijo Ferrante, que participó de la evaluación que hizo el gobierno norteamericano de las vulnerabilidades del software.

"Al menos en mi experiencia, en Estados Unidos, las herramientas de hackeo sólo se usaron con el propósito de salvar vidas. Pero debemos entender su poder deben ser mantenidas y utilizadas de una manera extremadamente responsable . . cuando las partes no lo hacen, entonces suceden cosas malas."

Traducción: Mariana Inés Oriolo