Google paró un ciberataque que encubría una operación de ciberespionaje activa de un país occidental

  • Los poderosos equipos de ciberseguridad de los de Mountain View han paralizado un hackeo que explotaba 11 vulnerabilidades para comprometer dispositivos iOS, Android y Windows.
  • Google corrigió este fallo, pero resultó que quien estaba detrás eran agentes de inteligencia occidentales. Algunos expertos critican la acción de la compañía tecnológica, que han tirado por tierra una misión antiterrorista de nueve meses.
  • El CNI publica una oferta de empleo en la que busca hackers para su departamento de ciberseguridad.
Sede de Google.
Sede de Google.
EFE

Ser Google y tener el dominio que tiene la compañía de Mountain View tiene sus pros y sus contras. Un pro sería que eres una organización con capacidad y conocimiento suficiente para paralizar el mayor ciberataque del Universo. Un contra, sin embargo, sería conducir y ejecutar una importante operación de ciberseguridad y que el resultado sea destapar una misión antiterrorista activa de ciberespionaje de un país occidental.

Google cuenta con dos unidades para mantener la seguridad en la red: Project Zero, un equipo que se dedica a destapar grandes vulnerabilidades de seguridad no identificadas, y Threat Analysis Group, cuyo objetivo es detectar y paralizar ciberataques respaldados por gobiernos ‘no aliados’, entre los que se incluyen, por ejemplo, Corea del Norte, China y Rusia.

En un esfuerzo conjunto, ambas unidades dieron con un problema al que poner remedio: encontraron un grupo de hackers que explotaba 11 vulnerabilidades de día cero para comprometer los dispositivos que ejecutan iOS, Android y Windows.

Según señala Chema Cuadrado, especialista en ciberseguridad en Hiberus Tecnología, este tipo de ‘exploits’ o vulnerabilidades “suelen utilizarse junto a troyanos, rootkits y diferentes tipos de malware para así poder propagarse e infectar los máximos equipos posibles”. “Un 0-day es cuando no existe ninguna revisión para mitigar el aprovechamiento de esa vulnerabilidad en cuestión”, añade.

El problema de Google

La historia no termina en la paralización del ataque, ya que en lugar de colgarse una gran medalla por el trabajo bien hecho Google ha recibido un tirón de orejas de la comunidad de inteligencia: según informa el MIT Technology Review, esos supuestos cibercriminales eran en realidad agentes gubernamentales de un país occidental que trabajaban activamente en una operación antiterrorista.

Ha sido precisamente la decisión de hacer pública la operación para paralizar el ataque lo que ha causado un mayor revuelo en el sector, ya que algunos opinan que esta acción de Google no solo ha bloqueado una misión activa de nueve meses y -probablemente- de mucho esfuerzo, sino que ha incapacitado a sus impulsores en la recolección de información, sin la posibilidad de reanudarla rápidamente.

Normalmente, cuando las empresas de seguridad detienen ‘exploits’ que están siendo utilizados por gobiernos de países aliados -algo que al parecer ocurre con más regularidad de la que pensamos-, esta información no suele hacerse pública para proteger la misión y a sus operadores.

Es cierto que la publicación en la que Google anunciaba que había detectado y detenido este ataque omitía algunos detalles clave, incluido quién fue el responsable del 'hackeo' y a quién estaba atacando, así como importante información técnica sobre el malware y los dominios utilizados en la operación. Pero, según apuntan los expertos, las operaciones occidentales son reconocibles.

Hay ciertos sellos distintivos en las operaciones occidentales que no están presentes en otras entidades... se pueden ver traducidos en el código”, indicaba al MIT un alto exfuncionario de inteligencia estadounidense que prefirió mantenerse en el anonimato.

¿En qué consistía el ciberataque?

El especialista en ciberseguridad en Hiberus Tecnología explica cómo se produjeron ataques como el de este grupo de hackers: “En primer lugar buscan las vulnerabilidades de las que hablamos, lo que pueden hacer de forma autónoma o mediante terceros, comprándolas en un blackmarket. Posteriormente se crea un programa de malware u otros medios técnicos para poder aprovechar la vulnerabilidad y se usan bots o escáneres automáticos para identificar los sistemas que sufren la vulnerabilidad”.

De esta forma, “se crea una estrategia detallada para penetrar de la manera más eficaz posible en el sistema vulnerable. Es un ataque no dirigido, mediante campañas de phishing e intentando acceder a la mayor cantidad de sistemas vulnerables”. “Una vez atravesadas las defensas perimetrales de la organización o dispositivos personales, los ciberdelincuentes pueden ejecutar código de forma remota”, indica Cuadrado.

En la investigación se descubrió que se habían visto afectados por el ataque diversos tipos de software, tanto de Google como ajeno a la compañía, entre ellos el navegador Safari en teléfonos iPhone, el navegador Chrome en los móviles Android y los ordenadores con Windows.

Google defiende su acción en virtud de la protección de los usuarios

El incidente ha tenido impacto no solo en la comunidad internacional, sino también entre las filas de Google. Mientras que algunos empleados opinan que este tipo de misiones gubernamentales sensibles no deberían divulgarse públicamente, otros creen que informar de ello protege a los usuarios y hace que Internet sea más seguro.

En este sentido, un portavoz de Google afirmaba en un comunicado que Project Zero “se dedica a encontrar y corregir vulnerabilidades de día cero y a publicar investigaciones técnicas diseñadas para avanzar en la comprensión de las nuevas vulnerabilidades de seguridad y técnicas de explotación en toda la comunidad de investigación” y que, por tanto, creen que “compartir esta investigación conduce a mejores estrategias defensivas y aumenta la seguridad para todos”.

Asimismo, Google justifica esta actuación pensando en el largo plazo: incluso aunque haya sido un gobierno occidental el que explotó esas vulnerabilidades en la actualidad, con el tiempo podrían llegar a ser utilizadas por otros, por lo que valoran que la opción correcta era corregir los problemas al momento.

No se sabe si la compañía de Mountain View notificó con antelación a las autoridades del gobierno en cuestión que harían público el método de ataque y que lo detendrían.

No es la primera vez

Como señalábamos antes, es habitual que las empresas de ciberseguridad detecten y bloqueen ataques de gobiernos ‘amistosos’, lo que no es tan habitual es que lo cuenten. No obstante, este no es el primer caso -y probablemente no será el último-.

Uno de los más sonados ocurrió en 2018 cuando la compañía rusa de ciberseguridad Kaspersky expuso una ciberoperación antiterrorista dirigida por Estados Unidos contra miembros de Al Qaeda e ISIS en el Medio Oriente. En aquella situación, de igual manera que ha pasado con el caso actual de Google, no se atribuyó a nadie explícitamente la amenaza, pero según las autoridades estadounidenses sí que se expuso y se inutilizó. Esto tuvo un efecto devastador en la misión, ya que se perdió el acceso a un importante programa de vigilancia.

Por su parte, Google también se ha visto en situaciones similares en el pasado: en 2019, publicó una investigación sobre lo que pudo haber sido un grupo de hackers estadounidenses, aunque nunca se hizo una atribución específica. Pero esa investigación fue sobre una operación pasada, no como la actual que pone el foco en una acción de ciberespionaje activa.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento