La nueva arma de la guerra cibernética

El ‘malware’ Gauss ataca las cuentas y rastrea operaciones de clientes de bancos libaneses; los expertos creen que el código malicioso fue diseñado por un Estado, al igual que Flame y Stuxnet.
virus ciberarma  (Foto: Cortesía CNNMoney)
David Goldman
NUEVA YORK -

Una nueva arma cibernética que roba secretamente información de cuentas bancarias de sus víctimas fue expuesta el jueves.

El sofisticado malware o código malicioso, descubierto por la firma de seguridad de Internet Kaspersky, ha estado capturando credenciales de ingreso a cuentas en línea de víctimas desde septiembre de 2011. No hay evidencia de que haya sido utilizado para robar dinero.

En lugar de eso, el virus parece ser un espía interesado en rastrear fondos: recoge la información de inicio de sesión bancaria, la envía a un servidor y se autodestruye rápidamente.

Apodado ‘Gauss', un nombre tomado de algunos de los nombres de archivo únicos en su código, el malware parece ser un arma de espionaje cibernético diseñada por un país para atacar y rastrear a individuos específicos. Aún no se sabe quién lo creó, pero Gauss comparte mucho del mismo código y características con otras famosas armas cibernéticas patrocinadas por un Estado, incluyendo Stuxnet, Duqu y Flame.

Se cree que estos virus han sido desarrollados por el Gobierno de Estados Unidos. Pero a diferencia de Stuxnet y Flame, que tenían como blanco una instalación nuclear iraní y espiaban a funcionarios del Gobierno de Irán, Gauss parece haber apuntado principalmente a gente en Líbano.

De los alrededor de 2,500 casos descubiertos de Gauss en todo el mundo, alrededor de 1,660 de ellos fueron encontrados en Líbano. El virus está diseñado específicamente para apuntar a clientes de bancos libaneses, así como de Citibank y PayPal de eBay, que son ampliamente utilizados en Líbano.

Kaspersky también encontró 483 casos de Gauss en Israel y 261 en los territorios palestinos. Sólo 43 casos Gauss fueron encontrados en Estados Unidos, y sólo un puñado fueron descubiertos en otras partes del mundo.

Cuando ciertas regiones son definidas específicamente como blancos, es un indicador que revela que una pieza de malware ha sido creada por un Gobierno. Los virus desarrollados por criminales financieramente motivados están diseñados para atacar a tanta gente como sea posible.

Otra señal de que un Gobierno está detrás del ataque es que Gauss no se autopropaga. Kaspersky no había podido descifrar cómo había llegado a los sistemas de destino en primer lugar. Gauss se autodestruye una vez que ha hecho el daño - otra evidencia de que éste no es un virus informático común.

Gauss es probablemente la primer ciberarma patrocinada por un Estado para atacar específicamente cuentas bancarias, indicó Kaspersky. Aunque la mayoría del malware busca información financiera de una forma u otra, no es algo en lo que los atacantes cibernéticos patrocinados por el Gobierno hayan estado típicamente interesados.

El objetivo de Gauss es desconocido, pero su fecha de activación podría ser un indicio: fue puesto en marcha el 1 de septiembre de 2011, la misma fecha en que el arma de ciberespionaje Duqu fue descubierta públicamente. Vitaly Kamlyuk, un experto en antivirus de Kaspersky Lab, dijo que es posible que, después de que Duqu fuera hallado, los desarrolladores simplemente sacaron otra flecha de su carcaj.

"No sabemos si Gauss tomó el lugar de Duqu, pero es una fuerte posibilidad", dijo.

Kasperky Labs descubrió a Gauss en mayo, cuando fue comisionado por la Unión Internacional de Telecomunicaciones de la Organización de las Naciones Unidas (ONU) para buscar aplicaciones maliciosas similares al potente virus Flame descubierto a principios de este año. Al igual que Flame, Duqu y Stuxnet, Gauss está escrito en un lenguaje informático llamado 'C', y comparte una estructura similar y el código base. El indicio más claro: Gauss y Flame contienen ambos exactamente la misma línea "?Avnxsys_uwip@@".

Gauss es aún ‘más inteligente' que Flame, cree Kamlyuk. Aprovecha una vulnerabilidad encontrada en Windows de Microsoft para entrar al navegador del usuario. Incluso si un usuario apaga la función ‘autoejecutable' de Windows, Gauss se inicia cuando la computadora arranca y sale al ataque.

Una de las funciones de Gauss sigue siendo un misterio: tiene una carga útil cifrada, cuyo código Kasperky no ha podido quebrar.

"La carga útil es operada por memorias USB infectadas, y está diseñada para atacar quirúrgicamente a un determinado sistema (o sistemas) que tengan instalado un programa específico", escribió la empresa en su análisis. "Sólo podemos especular sobre el propósito de esta misteriosa carga útil".

La compañía ha pedido a expertos en criptografía que traten de descifrar el código.

¿Quieres más noticias como esta?
Conoce las innovaciones y las tendencias tecnológicas más relevantes.

"Ésta es una ciberarma, y no sabemos cómo podría ser utilizada", dijo Kamlyuk. "Podría ser utilizada para causar un gran desastre".

Gauss fue descubierta tan sólo unos meses después del descubrimiento de Flame. Y prepárate: ahora que los investigadores saben qué buscar, Kamlyuk dijo que espera que los analistas encuentren muchas más piezas adicionales de malware tipo Gauss patrocinados gubernamentalmente allá afuera.

Ahora ve
Los mexicanos tienen 10 años sobreviviendo con el mismo salario
No te pierdas
×