Por qué el virus que le enviaron a Nisman y Lanata podría conducir a sus autores
Clarín
El periodista Jorge Lanata reveló ayer que el mismo día que Nisman recibió un mail con el documento adjunto "Estrictamente secreto y confidencial.pdf", él también lo recibió en su cuenta de Gmail. Ese archivo simulaba ser un pdf, pero en realidad escondía un programa espía muy poderoso en cuanto a las acciones de espionaje que podía hacer en las computadoras, pero bastante "bobo" en cuanto a los rastros que deja, y que ahora puede ser aprovechado para que los investigadores logren ubicar a los autores del espionaje digital. Es probable que con el mismo virus también hayan intentado espiar a otras personas.
Una de las principales claves de la vulnerabilidad de este virus es que envía la información recolectada a un "centro de control", que no es otra cosa que un servidor (una computadora) ubicado físicamente en algún lugar. Pero no será tan fácil encontrarlo, porque los atacantes apuntaron el virus hacia un sistema de "DNS dinámico", que les permite ir cambiando la ruta hacia la computadora a su voluntad.
Clarín habló con hackers que "abrieron" el virus y lo estudiaron en profundidad. Ahí vieron que el virus apunta hacia la dirección deyerp24.ddns.net, que pertenece al proveedor de servicios de DNS dinámicas estadounidense DDNS.net. "Es común que los autores de troyanos usen los DNS dinámicos, de esta forma presentan una capa de dificultad en el caso de que sean descubiertos", dijo a Clarín Nicolás Waisman, experto de seguridad informática de la empresa estadounidense Immunity. DDNS.net es gratuito y los atacantes bien pudieron haberse suscripto con una identidad falsa.
De todos modos, los investigadores de la causa pueden requerir información a la empresa DDNS.net para que les muestre la actividad que tuvo la cuenta deyerp24 para saber, así, a qué lugar o empresa apunta. Pero aquí puede haber una segunda "capa de dificultad o protección", en el caso que los autores del ataque hayan ido cambiando de computadoras. "Hay que investigar, para ir llegando hasta el punto de acceso de la información".
Las fuentes consultadas por Clarín se sorprenden del hecho de que el software espía haya sido armado con la herramienta Alien Spy, barata, de baja calidad y que se vende online, que permite armar troyanos espías. Esa solución se consigue por entre 19,90 dólares y 219 dólares, entre la opción más básica y la que ofrece mayores prestaciones. La de mayores prestaciones ofrece una completa plataforma que facilita el armado del virus: desde qué documento adjunto utilizar hasta hacia qué DNS dinámico apuntar.
Lo que hicieron los atacantes de Nisman y Lanata fue comprar este troyano y adaptarlo para sus objetivos. Los hackers consultados afirman que este procedimiento no es común entre los servicios de inteligencia profesionales, que desarrollan sus propias herramientas de espionaje informático, que casi no dejan rastros. Por eso se sospecha que la mano de obra detrás del espionaje puede ser alguien de un servicio sin mucha experiencia en este tipo de intrusiones o que haya querido ocultarse haciéndose pasar por inexperto.
Denuncia de Lanata
Un dato a tener en cuenta es que en el código del virus de Nisman y Lanata hay palabras en español, como "documentos" o "instalar", algo que no es habitual cuando se usa esta herramienta. "Es un dato a tener en cuenta, se podría rastrear qué tipo de español se usó y podría dar algunos indicios. Aunque no necesariamente brinde esto información relevante", dice Waisman.
Alien Spy es, de todos modos, un poderoso software espía. "Este software puede ser usado para recolectar información de las comunicaciones de una persona, como sus e-mails, sus mensajes de chat. También tiene la capacidad de registrar lo que se hace con el teclado, toma capturas de pantalla, abre el micrófono para tomar audio y permite espiar por la webcam. Es bastante diferentes a los troyanos que la gente normalmente recibe", le dijo a Clarín Morgan Marquis-Boire, uno de los más reconocidos expertos en seguridad informática relacionada con asuntos públicos, que hizo una presentación especial de este caso en la convención de hackers Black Hat en Las Vegas, y cuyo testimonio fue recogido primero por el periodista Ariel Torres y publicado por el diario La Nación el miércoles pasado.
El periodista Jorge Lanata reveló ayer que el mismo día que Nisman recibió un mail con el documento adjunto "Estrictamente secreto y confidencial.pdf", él también lo recibió en su cuenta de Gmail. Ese archivo simulaba ser un pdf, pero en realidad escondía un programa espía muy poderoso en cuanto a las acciones de espionaje que podía hacer en las computadoras, pero bastante "bobo" en cuanto a los rastros que deja, y que ahora puede ser aprovechado para que los investigadores logren ubicar a los autores del espionaje digital. Es probable que con el mismo virus también hayan intentado espiar a otras personas.
Una de las principales claves de la vulnerabilidad de este virus es que envía la información recolectada a un "centro de control", que no es otra cosa que un servidor (una computadora) ubicado físicamente en algún lugar. Pero no será tan fácil encontrarlo, porque los atacantes apuntaron el virus hacia un sistema de "DNS dinámico", que les permite ir cambiando la ruta hacia la computadora a su voluntad.
Clarín habló con hackers que "abrieron" el virus y lo estudiaron en profundidad. Ahí vieron que el virus apunta hacia la dirección deyerp24.ddns.net, que pertenece al proveedor de servicios de DNS dinámicas estadounidense DDNS.net. "Es común que los autores de troyanos usen los DNS dinámicos, de esta forma presentan una capa de dificultad en el caso de que sean descubiertos", dijo a Clarín Nicolás Waisman, experto de seguridad informática de la empresa estadounidense Immunity. DDNS.net es gratuito y los atacantes bien pudieron haberse suscripto con una identidad falsa.
De todos modos, los investigadores de la causa pueden requerir información a la empresa DDNS.net para que les muestre la actividad que tuvo la cuenta deyerp24 para saber, así, a qué lugar o empresa apunta. Pero aquí puede haber una segunda "capa de dificultad o protección", en el caso que los autores del ataque hayan ido cambiando de computadoras. "Hay que investigar, para ir llegando hasta el punto de acceso de la información".
Las fuentes consultadas por Clarín se sorprenden del hecho de que el software espía haya sido armado con la herramienta Alien Spy, barata, de baja calidad y que se vende online, que permite armar troyanos espías. Esa solución se consigue por entre 19,90 dólares y 219 dólares, entre la opción más básica y la que ofrece mayores prestaciones. La de mayores prestaciones ofrece una completa plataforma que facilita el armado del virus: desde qué documento adjunto utilizar hasta hacia qué DNS dinámico apuntar.
Lo que hicieron los atacantes de Nisman y Lanata fue comprar este troyano y adaptarlo para sus objetivos. Los hackers consultados afirman que este procedimiento no es común entre los servicios de inteligencia profesionales, que desarrollan sus propias herramientas de espionaje informático, que casi no dejan rastros. Por eso se sospecha que la mano de obra detrás del espionaje puede ser alguien de un servicio sin mucha experiencia en este tipo de intrusiones o que haya querido ocultarse haciéndose pasar por inexperto.
Denuncia de Lanata
Un dato a tener en cuenta es que en el código del virus de Nisman y Lanata hay palabras en español, como "documentos" o "instalar", algo que no es habitual cuando se usa esta herramienta. "Es un dato a tener en cuenta, se podría rastrear qué tipo de español se usó y podría dar algunos indicios. Aunque no necesariamente brinde esto información relevante", dice Waisman.
Alien Spy es, de todos modos, un poderoso software espía. "Este software puede ser usado para recolectar información de las comunicaciones de una persona, como sus e-mails, sus mensajes de chat. También tiene la capacidad de registrar lo que se hace con el teclado, toma capturas de pantalla, abre el micrófono para tomar audio y permite espiar por la webcam. Es bastante diferentes a los troyanos que la gente normalmente recibe", le dijo a Clarín Morgan Marquis-Boire, uno de los más reconocidos expertos en seguridad informática relacionada con asuntos públicos, que hizo una presentación especial de este caso en la convención de hackers Black Hat en Las Vegas, y cuyo testimonio fue recogido primero por el periodista Ariel Torres y publicado por el diario La Nación el miércoles pasado.