Descubren campaña de ciberespionaje centrada en América Latina

En el marco de la 4ta Cumbre de Analistas de Seguridad, que se desarrolla en Cartagena de Indias (Colombia), la compañía internacional del ramo y organizadora de la actividad, Kaspersky Lab, reveló la existencia de una campaña de ciberespionaje centrada en América Latina que ya ha atacado a 778 víctimas alrededor del mundo.

Se presume que desde 2010 estaría activa una campaña de ataques dirigidos titulada "Machete", cuya característica principal es que se dirige a víctimas de alto perfil, incluyendo gobiernos, fuerzas militares, embajadas y las fuerzas del orden público pertenecientes, en su mayoría, a Latinoamerica, pues gran parte de las víctimas son de Venezuela, Ecuador y Colombia.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab, explicó a la enviada especial de Cooperativa, Yanina Sepúlveda, que "Machete" es una campaña de ciberespionaje que busca atacar a las víctimas de América Latina.

"Nace en 2010 y en 2012 tuvo una mejora en su infraestructura. Lo descubrimos cuando uno de los clientes nos dijo que que tenía sospechas de que estaba infectado con un virus de China. Cuando lo vimos, detectamos un paquete extraño que reveló que era un programa de espionaje", explicó. 

El software malicioso es capaz de realizar diversas funciones y operaciones de ciberespionaje: desde capturar la actividad en el teclado al secuestro del contenido de la papelera de reciclaje, pasando por capturar fotos con la cámara web del equipo y captura de datos de localización geográfica.

"Es una herramienta poderosa hasta del espionaje físico", reveló Bestuzhev.

Dmitry Bestuzhev fue el primero que se topó con la evidencia de "Machete" en la casa de un general de un país latinoamericano no revelado por razones de seguridad.

Sin embargo, está claro que se trata de un país latinoamericano por el lenguaje utilizado en la conformación del paquete malicioso que se instaló en los dispositivos de las instituciones afectadas.

A pesar de que la amenaza ha sido reducida, los expertos aún no pueden asegurar que "Machete" no esté en actividad o que aún no queden computadores infectados de los cuales se pueda extraer información.

Más allá del misterio de su procedencia, "Machete" puede venir de un gobierno o de una organización cibercriminal que trabaje robando estos datos para venderlos a otros estados.

El objetivo detras de estas acciones es recopilar información sensible de las organizaciones comprometidas y se presume que hasta ahora los atacantes hayan podido robar gigabytes de datos confidenciales de manera exitosa.

Según Kaspersky, los ciberdelincuentes utilizan técnicas de ingeniería social para distribuir el malware. En algunos casos, los atacantes utilizaron mensajes de suplantación de identidad dirigidos (spear-phishing), en otros suplantación de identidad dirigido combinado con infecciones vía la web, especialmente por medio de la creación de blogs falsos previamente preparados.

"Los atacantes sabían muy bien lo que hacían y conocían a las víctimas. Podían ajustar las búsquedas y perfiles. Utilizaban la información y la procesaban", señaló.

Si bien la compañía detectó 778 víctimas de la campaña alrededor del mundo, todos los artefactos técnicos encontrados tienen una baja sofisticación técnica en comparación con otras dirigidas a nivel mundial. 

"Hablamos como de 800 víctimas en total y no computadores, sino instituciones. Se trata de documentos confidenciales e informacion que representa gran valor para un país porque es secreta y permite mantener la soberanía y los planes de desarrollo", aseguró el director del Equipo de Investigación y Análisis.

La infección ocurre bajo dos modalidades: una es el spear-fishing no masivo, que es un anzuelo incitando a un usuario individual a hacer click en un link malicioso. La otra manera opera mandando archivos de PowerPoint individualizados con contenidos que pueden interesar al usuario y lo llevan a pinchar. 

Por ejemplo, en la institución militar donde se descubrió "Machete" se usaron imágenes pornográficas que se reenviaban entre los hombres y con eso, cuando se abrían los archivos, se instalaba este programa en el computador disfrazado de Java, que finalmente posibiliataba el espionaje. 

"Muchas veces la víctima no sabe que es afectado. Esto permanece oculto por un tiempo largo. Si se sabe algo sobre la víctima, el atacante puede sacar una ventaja y el afectado nunca sabrá", dijo Dmitry Bestuzhev sobre las consecuencias del robo de estos datos. 

Además, de acuerdo a la investigación, la herramienta maliciosa usa el código de lenguaje Python copilado en archivos ejecutables de Windows. Asimismo, las pistas indican que los atacantes habrían preparado la infraestructura de la campaña para víctimas que utilizan OSX y Unix, aunque además de los componentes de Windows, se descubrió señales de un componente móvil para Android.

Los gobierno latinoamericanos no están preparados para este escenario, dijeron los expertos de Kaspersky ya que este es el primer ataque importante de este tipo que se identifica como tal en la zona. 

"Los gobiernos están en una posición de espera, mientras otros están operando. Desarrollan de una forma desproporcionada la fuerza cibernética: tiene una capacidad grande de atacar, pero no de defenderse. Si ahora la mesa se gira, ellos van a estar en la calidad de los atacados, probablemente serán atacados con éxito", señaló Bestuzhev.

En cuanto a Chile, no estuvo en el mapa de las víctimas, al menos como blanco de ataques. Sin embargo, el experto señala que nuestro país si está en la mira de otros cibercriminales interesados en el espionaje. 

"Los atacantes ven en Chile algo muy interesante. Quizás toman en cuenta temas como política y economía. Muchas veces es la única víctima de América Latina en ataques que provienen desde otras partes del mundo", reveló.

El futuro en materia de seguridad para las empresas que investigan y buscan soluciones a este tipo de delito en desarrollo es la creación de departamentos que ofrezcan asesoría a los gobiernos y las instituciones para que puedan reaccionar ante un ataque dirigido como es "Machete". Sin embargo, esto es algo que recién está comenzando a generarse en América Latina. 

En tanto, los expertos de Karspersky informaron que hay otros ataques dirigidos que están siendo investigados, uno de los cuales incluso apunta a medios periodísticos de importancia en el continente.