El siguiente texto es una adaptación del artículo escrito por nuestro compañero Cameron Camp, investigador de ESET Norteamérica, al cual hemos añadido nuestras propias opiniones sobre este tema.
Durante los últimos días hemos leído noticias donde se decía que “el Spyware FinFisher, programado por la compañía basada en el Reino Unido Gamma Group, puede tomar el control de varios dispositivos móviles incluyendo el iPhone de Apple y las BlackBerry de RIM…”. Tras leer el artículo que publicó Bloomberg la semana pasada, muchos de nuestros usuarios contactaron con nosotros para preguntarnos cómo de peligroso era FinSpy y si deberían preocuparse.
Podríamos pensar que la respuesta de Gamma Group, la empresa responsable de FinFisher y de una gran variedad de software de vigilancia para ordenadores de sobremesa y portátiles, así como también para dispositivos móviles, es que sus productos no tienen nada de peligrosos siempre que seamos un ciudadano que respeta la ley, así que no deberíamos preocuparnos. Ahora mismo, en la web de la empresa se anuncia lo siguiente: “El programa FinFisher solo se ofrece a las fuerzas y cuerpos de seguridad del Estado, así como también a las agencias de inteligencia”.
¿Se puede contener un software como FinFisher?
Si alguna vez ha gestionado un laboratorio de malware, sabrá que confinar una muestra de software a un determinado grupo de personas es muy difícil. Así pues, algo llamado “software de intrusión en móviles” suscita varias preguntas en los círculos de los investigadores de malware: ¿puede y/o debería el software malicioso ser usado para detectar y atrapar a delincuentes? ¿Qué pasaría si este software cayese en malas manos?
La respuesta depende probablemente del grupo de gente al que se le pregunte. Aquellos que han invertido mucho tiempo y esfuerzo luchando contra el malware, como los gerentes de TI y los desarrolladores de software, puede que no vean el lado bueno de las aplicaciones instaladas de forma secreta que permiten acceder a datos confidenciales sin autorización. Por ejemplo, nuestro compañero Stephen Cobb opinó hace unos meses sobre los malware desarrollados por naciones como Stuxnet y Flame: “No hay malware bueno”.
Mientras que la empresa desarrolladora de FinFisher afirma que solo está ayudando a las fuerzas de la ley a hacer su trabajo, la posibilidad de que los delincuentes lo usen con malas intenciones está presente. Pongamos como ejemplo lo que sucedió con DarkComet RAT hace unos meses. Como FinFisher, DarkComet RAT tiene amplias capacidades de espionaje y el autor afirma que no tienen intenciones maliciosas. No obstante, el régimen genocida de Assad en Siria no dudó en usar DarkComet RAT contra aquellos sirios que buscaban liberarse de la opresión.
Sí, su teléfono puede espiarle
Así pues, ¿que funciones realiza el software de Gamma Group para permitir el espionaje? Seguramente no nos lo lleguen a decir, pero los investigadores (tras analizar las muestras) afirman que, como mínimo, permite grabar las conversaciones realizadas en teléfonos móviles, localizarlos, leer sus emails, escuchar las llamadas grabadas y capturar SMS. Y sí, también permite activar cámaras en el dispositivo. ¿Qué dispositivos se ven afectados? En este punto, Gamma no es muy específico, muy probablemente para no dar pistas a aquellos que realizan ingeniería inversa de esta tecnología. Los investigadores han encontrado muestras de este malware en plataformas iPhone y Blackberry, pero podría estar disponible para otros sistemas operativos móviles.
Desde una perspectiva técnica, las acciones descritas anteriormente no son muy difíciles de realizar, basándose en el nivel de acceso que se tenga al dispositivo físico. De acuerdo con Stephen Cobb, el servicio secreto de los Estados Unidos ya estaba confiscando “teléfonos espía” a mediados de los 90, teléfonos que aparentaban ser normales, pero que habían sido rediseñados para ser controlados de forma remota y escuchar conversaciones de forma ilegal. Todo lo que el delincuente tenía que hacer era dejar el teléfono en manos del objetivo (probablemente como un regalo, aprovechándose del alto coste de los móviles de entonces).
Las diferencias con la situación actual son: a) la gran cantidad de información personal y confidencial que pasa a través de un smartphone, y b) la habilidad de engañar a los usuarios de smartphones para que instalen spyware desde sitios web.
Pero, ¿qué sucede cuando esta tecnología va por mal camino? Bueno, actualmente se está realizando un gran esfuerzo intentando comprender cómo las muestras llegaron a Bahrain, una zona en la que esta empresa afirma que no vendió ninguna copia de su software. Investigadores de Citizen Lab, un laboratorio interdisciplinar con sede en la escuela Munk de Asuntos Globales de la Universidad de Toronto, Canadá, han estado vigilando el caso Bahrain durante algún tiempo.
Basándonos en lo que hemos visto en el pasado, de la misma forma que cualquier código malicioso que se propaga con fines maliciosos, como Stuxnet, está destinado a convertirse en algo de conocimiento y propiedad pública, permitiendo que criminales, naciones, organizaciones o hacktivistas puedan hacer uso de él. Lo mismo se aplica a otro tipo de malware gubernamental, tal y como informaron en marzo nuestros investigadores Robert Lipovsky, escribiendo sobre el troyano alemán, y Alexis Dorais-Joncas, cuando habló de los posibles códigos maliciosos chinos.
Y luego tenemos el matiz de que las fuerzas del orden de varios países donde se vende este tipo de software no están por la labor de informar acerca de en qué contexto se están usando estas funciones de espionaje. Hablando de eso, varios países tienen una legislación que prohíbe las escuchas ilegales, incluyendo los Estados Unidos, y se requiere una orden judicial para poder realizar estas escuchas. En este punto, Gamma afirma que cumple con todas las regulaciones de exportación, así que, supuestamente, solo intentan vender su software en zonas donde sea legal hacerlo.
Si no se dispone de un dispositivo móvil, también disponen de un software que puede ser usado en un PC, lo que nos vuelve a remitir a las políticas de detección de las empresas fabricantes de antivirus. El siguiente punto en el debate sobre “malware bueno” es si la tecnología antimalware debería poder detectarlo y cómo hacerlo. Es decir, este tipo de software actúa como lo haría un malware tradicional, interfiriendo con el micrófono de la cámara, registrando las pulsaciones, etc. Estaba previsto que algo así sucediese a corto plazo pero esta sucediendo ahora en nuestros bolsillos.
Por supuesto, la diferencia está en que el flujo de información que se obtiene de nuestro dispositivo móvil es más privada e interesante si la comparamos con la que se puede obtener de un ordenador en una habitación compartida que solamente se usa para jugar. Al fin y al cabo, nuestro dispositivo móvil se encuentra casi siempre encendido, conectado e informando.
¿Qué suponen FinFisher y FinSpy para usted y su empresa?
La respuesta, como sucede muchas veces en el caso de nuevos desarrollos de malware, está en la vigilancia mejorada. Asegurémonos de que estamos ejecutando un antivirus actualizado en todos nuestros dispositivos, ya sean ordenadores de sobremesa, portátiles o móviles (los soluciones de ESET detectan este malware como el troyano Win32/Belesak.D). Asegúrese también de que sus empleados han sido formados recientemente en los vectores de infección y en estrategias de protección, como el pulsar sobre enlaces incluidos en emails (algo desaconsejable) e informar si se detecta algún tipo de actividad sospechosa (algo muy recomendable).
Como conclusión, no estamos al tanto de que este software se esté distribuyendo de forma masiva. Es más probable que se instale enviando un enlace malicioso al objetivo y, ahora mismo, no parece que forme parte de ataques masivos a grandes empresas, sino más bien parece que se está usando en ataques dirigidos muy específicos. Si su empresa hace negocios en Oriente Medio, es probable que ya se encuentre en estado de máxima alerta para evitar ataques de este tipo.
Seguiremos vigilando de forma global las infecciones realizadas por spyware como FinFisher e iremos proporcionando más información si el nivel de estas amenazas se incrementa.
Conclusiones desde ESET España
La existencia de un programa antivirus ha evolucionado mucho más allá de los virus. Barrotes o Viernes 13 ya son paleoinformática, pero la filosofía del programa sigue siendo la misma: proteger a los usuarios de todo tipo de programa que pueda llevar a cabo una tarea no deseada a espaldas del que lo sufre.
Si antes eran solo unos cuantos virus, hoy ESET protege contra millones de códigos distintos, y no solo virus. Esos códigos maliciosos suelen provenir de ciberdelincuentes que se aprovechan de los datos que manejamos, básicamente cuentas bancarias, usuarios de redes sociales, etc. Todo aquello de lo que los delincuentes puedan sacar algún beneficio aprovechándose de incautos usuarios no protegidos.
Sin embargo, en ocasiones el código no ha sido generado tan claramente por un ciberdelincuente. Hay casos, como se ha visto recientemente, en el que una gran sombra de duda planea sobre el origen de determinados ejemplares de malware. ¿Ha sido un Gobierno? ¿Ha sido una central de inteligencia? Nunca lo sabremos. Desde el punto de vista del fabricante de seguridad, no podemos hacer excepciones a la hora de detectar esos códigos. Si atenta contra la seguridad de un usuario mientras usa un ordenador o un móvil, debemos detectarlo.
Los códigos maliciosos, como su propio nombre indica, son malos para el usuario y el sistema, así que ESET los detectará, evitará su entrada en el ordenador y, si es necesario, lo desinfectará. Da igual su origen, un chaleco antibalas detendrá cualquier tipo de bala, sea de un atracador o de un policía. Está diseñado para proteger contra amenazas, independientemente de dónde vengan.
Josep Albors
Fernando de la Cuadra