Traducido para Rebelión por Ricardo García Pérez
Según dicen los expertos, Flame es algo nuevo en la guerra informática. Es capaz de tomar imágenes de la pantalla y registrar el audio de los ordenadores infectados. El software malicioso fue casi con toda seguridad creado por una nación soberana.
Stuxnet se marcha. Expertos en seguridad informática anunciaron el lunes el descubrimiento de Flame, un programa de software malintencionado del que una empresa ha afirmado que «se podría decir que es […] el software malicioso más complejo que hemos encontrado hasta el momento».
En esta fase inicial de análisis solo se comprenden todavía unas cuantas funciones de Flame, según informa el laboratorio Kaspersky, la empresa dedicada a la seguridad informática con sede en Moscú que lo descubrió. Los expertos añaden que, debido al tamaño y la complejidad de Flame, podría costar años desplegar por completo lo que el programa es capaz de hacer y ha hecho. [Nota del editor: la versión original de este reportaje erraba en el lugar donde se encuentran los laboratorios Kaspersky.]
Sin embargo, por lo que se sabe hasta el momento, Flame puede propagarse a través de un dispositivo USB, Bluetooth u otros aparatos conectados a una red. En las máquinas afectadas puede esperar a que se activen determinados programas de interés, tomar imágenes de la pantalla, activar el micrófono interno para registrar conversaciones e interceptar correo electrónico, chats u otro tráfico de la red. Puede empaquetar estos datos, encriptarlos y remitirlos a los ordenadores de cualquier lugar del mundo que estén designados como puestos de mando y control.
«Redefine en buena medida el concepto de guerra y espionaje informáticos», ha escrito en su blog Alexander Gostev, jefe del equipo de investigación y análisis global de Kaspersky.
Kaspersky ha descubierto que Flame lleva serpenteando por las redes informáticas (sobre todo, en Oriente Próximo) desde hace al menos dos años, pero probablemente más. Los expertos afirman que su forma de operar y lo que obtiene hacen pensar que Flame fue creado por un Estado… y solo hay cuatro candidatos con los conocimientos técnicos y prácticos para crear semejante software : Estados Unidos, Rusia, China e Israel.
«Flame se podría describir fácilmente como una de las amenazas más complejas jamás descubiertas -escribe Gostev-. Es grande e increíblemente sofisticado.»
En realidad, con sus 20 megas, Flame es unas veinte veces más voluminoso que el arma digital de Stuxnet que sembró el caso en el programa de enriquecimiento de uranio de Irán en torno al año 2009.
Al igual que Stuxnet, Flame ha sido depositado (nadie sabe cómo) en unos cuantos miles de ordenadores de Oriente Próximo, lo que significa que es una blanco muy buscado. El defecto fundamental de Stuxnet fue que se propagó demasiado, a una cifra estimada de cien mil máquinas de todo el mundo… como consecuencia de lo cual destapó su secreto. Los creadores de Flame, según parece, algún gobierno con mucho interés en Irán, la Cisjordania palestina, Hungría y Líbano, deben de haber tratado de aprender de aquel tropiezo.
Aunque la estructura interna de Flame le permite propagarse a través de dispositivos USB, aparatos con Bluetooth o redes, está programado para evitar propagarse de forma indiscriminada.
George escribe: «Si bien sus características son distintas [de las de Stuxnet], la geografía y la cuidadosa selección de blancos de ataque, unidos a la utilización de vulnerabilidades de software específicas, parece situarlo junto a esas «super-armas» desplegadas en la actualidad en Oriente Próximo por autores desconocidos».
Otra empresa de seguridad informática, Symantec, refirió haber visto aparecer también a Flame en Austria, Rusia, Hong Kong y Emiratos Árabes Unidos. Sus investigadores decían que «el carácter modular de este software malicioso hace pensar que lo ha creado un grupo de desarrolladores que tenía por objetivo mantener el proyecto durante un periodo de tiempo largo; muy probablemente, junto con el hecho de que un conjunto de individuos muy dispar utilizara el software malintencionado».
En jerga tecnológica, Flame actúa como un «gusano», lo que quiere decir que se propaga sin necesidad de intervención humana, creando canales clandestinos para sacar de la red datos robados y hacérselos llegar a quienes lo manejan y recibir actualizaciones y nuevos módulos espías que le ayuden a seguir siendo eficaz durante muchos años.
Symantec informó de que el software de Flame permite a sus autores «modificar la funcionalidad y la conducta dentro de un elemento sin tener que adaptar o, siquiera, preocuparse de los otros módulos que estén empleando los controladores del software malicioso».
Flame fue descubierto por los expertos de los laboratorios Kaspersky únicamente cuando la Unión Internacional de Telecomunicaciones (UIT) les hizo una visita para hacer averiguaciones sobre otro software malicioso destructivo y todavía desconocido que había borrado datos de ordenadores de Asia occidental. Entonces, Kaspersky descubrió archivos de Flame anteriormente no detectados que llevaban instalados varios años en las bases de datos de la propia Kaspersky.
Kaspersky dice que no hay muchas dudas de que ha sido un Estado quien ha creado Flame. No solo es tremendamente complejo, sino que se centra en el espionaje, en lugar de en algo relacionado con un desenlace más rápido, típico de la actuación de los delincuentes informáticos.
Uno de los socios de la UIT en la investigación coincide con esta valoración. CrySys Lab, con sede en la Universidad de Budapest de Tecnología y Economía, en Hungría, hizo público su propio análisis de Flame, al que denomina «sKy Wiper» [«Barredor de cielos»].
«Los resultados de nuestro análisis técnico apoyan la hipótesis de que sKyWiper fue desarrollado por un organismo gubernamental de una nación con un presupuesto y empeño significativos, y puede guardar relación con las actividades de guerra informática», ha concluido CrySys. Se trata, «sin duda, del software malintencionado más sofisticado que hemos encontrado desde que iniciamos nuestras actividades; se puede decir que es el más complejo que se haya visto jamás».
De hecho, Flame puede estar relacionado con Stuxnet y otro célebre programa malicioso conocido por el nombre de Duqu, del que los expertos afirman que seguramente fue desarrollado por el mismo equipo gubernamental de algún país, si bien afirman que solo es una suposición fundada en un par de semejanzas técnicas superficiales entre Flame y otros programas.
«Situaríamos a Flame como un proyecto paralelo a Stuxnet y Duqu», dijeron desde los laboratorios de Kaspersky en su comentario del lunes en el blog, dando a entender que Flame actuaría como una especie de reserva en caso de que se descubriera Duqu.
Hasta el momento, los investigadores reconocen que buena parte de Flame sigue siendo un misterio, al igual que algunos segmentos de Stuxnet. Sepultado en el interior de Stuxnet, por ejemplo, el archivo denominado Myrtus sigue suscitando especulaciones.
Del mismo modo, enterrados en lo más hondo del código de Flame hay archivos con los siguientes nombres: Boost [«estímulo»], flame [«llama»], flask [«frasco»], Jimmy, munch [«mastica»], snack [«bocado»], spotter [«observador»], transport [«transporte»], euphoria [«euforia»] o headache [«dolor de cabeza»]. A esta lista hay que sumar todo un almacén de archivos con nombres crípticos enterrados aún más profundamente: gator [«cocodrilo»], goat [«cabra»], frog [«rana»], microbe [«microbio»], weasel [«comadreja»] y Beetlejuice [«zumo de escarabajo»].
«No podemos concluir en este momento tan prematuro que esto [Flame] haya sido concebido estrictamente para el espionaje», declaró John Bumgarner, director de investigación de la Unidad de Consecuencias Cibernéticas de Estados Unidos [US Cyber Consequences Unit], un grupo de especialistas en seguridad sin ánimo de lucro que asesora al gobierno y a las empresas. «Hay cierta probabilidad de que tenga otros componentes que podrían haber sido diseñados para cometer sabotaje. Sencillamente, todavía no sabemos lo que es capaz de hacer.»