A finales de marzo, nuestro compañero Anton Cherepanov, investigador senior en el laboratorio de ESET, descubrió una muestra interesante de lo que parecía ser un malware en desarrollo que se aprovechaba de dos vulnerabilidades 0-day (sin disponer de parche de seguridad en ese momento) dirigidas hacia productos de Adobe y Microsoft. Tras informar a las dos empresas afectadas y trabajar de forma conjunta en el análisis de esta amenaza, se ha conseguido evitar lo que podría haber sido una peligrosa campaña de propagación de malware.
La importancia de la colaboración
Tanto en el artículo original publicado por Cherepanov a mediados de mayo como en el recientemente publicado por Matt Oh, investigador de Windows Defender, se hace hincapié en la peligrosidad que hubiera tenido una amenaza que aprovechase estas vulnerabilidades. Por una parte, el atacante hubiera podido utilizar un archivo PDF malicioso como vector de ataque saltándose la sandbox que incorpora el lector Adobe Reader, mientras que por otro lado hubiese podido conseguir una escalada de privilegios en un sistema Windows vulnerable para ejecutar malware con permisos de administrador.
Esquema de funcionamiento del exploit – Fuente: Microsoft
Cuando se descubren vulnerabilidades de este tipo es vital contactar con los desarrolladores de los sistemas o aplicaciones afectados para que se solucionen lo antes posible. Es en este punto donde una buena comunicación entre empresas resulta vital para actuar lo antes posible y es algo que destaca el investigador de Microsoft.
Para permitir esta colaboración entre empresas se establecen canales de comunicación entre departamentos de investigación, entre los que existe confianza mutua y unos acuerdos de colaboración de varios años. Además de la inteligencia sobre amenazas propia de cada compañía de seguridad, es posible contar con sistemas públicos para obtener muestras frescas de contrastada experiencia como Virustotal.
En ocasiones puede darse también el caso de que se esté analizando una amenaza muy específica, y que su compartición con otras empresas suponga un riesgo que permita que los delincuentes se den cuenta de que sus creaciones están siendo analizadas. No suele ser muy habitual pero, de la misma forma, también puede pasar que varias empresas de seguridad unan sus esfuerzos para analizar una compleja amenaza e incluso terminen descubriendo amenazas avanzadas usadas en ataques dirigidos como Industroyer.
Ayudando a detener el cibercrimen
Aunque buena parte de la sociedad continúa pensando que los delincuentes siguen gozando de cierta impunidad cuando hablamos de delitos informáticos, la realidad es que las operaciones contra este tipo de delitos se ha ido intensificando con el paso de los años. Hasta aquellos que llevaban operando con sus amenazas desde hace tiempo y se sentían intocables han caído en operaciones conjuntas exitosas, incluso dentro de nuestras fronteras.
No obstante, es cierto que todavía hace falta destinar muchos recursos para que las Fuerzas Y Cuerpos de Seguridad del Estado puedan hacer frente con garantías a la elevada cantidad de cibercriminales existentes actualmente, y que no deja de crecer. De la misma forma, las legislaciones se han de adaptar para castigar en su justa medida este tipo de delitos, pero sin criminalizar otras acciones y herramientas que permiten precisamente descubrir nuevos fallos para solucionarlos antes de que sean aprovechados por los delincuentes.
Operaciones conjuntas entre empresas de seguridad, fabricantes de software y fuerzas de seguridad son algo que suelen llevar mucho tiempo pero que, gracias a la mayor cantidad de información sobre amenazas que se va generando, permiten identificar a los responsables de los delitos para a continuación tratar de llevarlos ante la justicia. Tenemos como ejemplo bastante reciente el desmantelamiento de la botnet Gamarue, una de las más antiguas y que fue posible gracias a la colaboración de empresas como ESET, Microsoft y fuerzas policiales como Europol, Interpol y el FBI.
Conclusión
El futuro inmediato apuesta por seguir esta línea de colaboración, ya que es técnicamente imposible que una única empresa de seguridad sea capaz de lidiar con todas las amenazas que se generan actualmente. La mayoría de empresas de seguridad comparte esta visión, y aunque en los últimos años hayamos visto aparecer algunas soluciones que prometen una protección total, los resultados han demostrado que no existen las balas de plata, por mucho que algunos departamentos de marketing se empeñen en vender como nuevas algunas tecnologías que vienen utilizándose en la industria de la seguridad desde hace décadas.