El software de seguridad está más cerca de las partes esenciales de una computadora y tiene acceso privilegiado a casi todos los programas, aplicaciones, exploradores web, correos electrónicos y archivos. Hay una muy buena razón para esto: los productos de seguridad tienen el propósito de evaluar todo lo que toca tu máquina en búsqueda de cualquier programa maligno o incluso vagamente sospechoso.
Al descargar el software de seguridad, los consumidores también corren el riesgo de que un fabricante de antivirus poco confiable —o un ciberatacante o espía con acceso a su sistema— pueda abusar de ese acceso profundo para dar seguimiento a todos los movimientos digitales de los clientes.
“En la batalla contra el código malicioso, los productos antivirus son básicos”, dijo Patrick Wardle, investigador en jefe en Digita Security, una empresa de seguridad. “Irónicamente, estos productos comparten muchas características con los implantes avanzados de ciberespionaje de recolección que buscan detectar”.
Wardle lo sabe, pues es un antiguo hacker de la Agencia de Seguridad Nacional (NSA, por su sigla en inglés) y hace poco logró subvertir un software de antivirus que vende Kaspersky Lab, y lo convirtió en una poderosa herramienta de búsqueda para documentos clasificados.
La curiosidad de Wardle aumentó con las noticias recientes de que espías rusos habían utilizado los productos antivirus de Kaspersky para extraer documentos clasificados de la computadora personal de un desarrollador de la NSA y pudieron haber desempeñado un papel esencial en una recolección rusa de inteligencia más extensa.
Durante años, las agencias de inteligencia sospecharon que los productos de seguridad de Kaspersky ofrecían una puerta trasera de entrada para la inteligencia rusa. Un borrador de un informe ultrasecreto filtrado por Edward Snowden, el antiguo contratista de la NSA, describió una iniciativa ultrasecreta de la NSA en 2008 que concluyó que el software de Kaspersky recolectaba información delicada de las máquinas de los clientes.
Los documentos mostraron que Kaspersky no fue el único blanco de la NSA. Sus siguientes blancos incluyeron casi dos decenas de fabricantes extranjeros de antivirus, entre ellos Checkpoint de Israel y Avast de la República Checa.
En la NSA, los analistas tenían prohibido utilizar el software antivirus de Kaspersky debido al riesgo de darle al Kremlin acceso extendido a sus máquinas y datos. Sin embargo, con la excepción de la sede de la NSA en Fort Meade, Kaspersky logró asegurar contratos con casi dos decenas de agencias gubernamentales en Estados Unidos a lo largo de los últimos años.
En septiembre, el Departamento de Seguridad Nacional les ordenó a todas las agencias federales que dejaran de utilizar los productos de Kaspersky debido a la amenaza de que “proporcionaran acceso a archivos”.
En octubre, The New York Times informó que la orden de Seguridad Nacional se basó, en gran medida, en la información compartida por los funcionarios israelíes de inteligencia que atacaron informáticamente con éxito Kaspersky Lab en 2014. Observaron durante meses mientras los hackers del gobierno ruso escaneaban las computadoras pertenecientes a clientes de Kaspersky en todo el mundo en busca de programas clasificados ultrasecretos del gobierno estadounidense.
En por lo menos un caso, los funcionarios de Estados Unidos afirmaron que los funcionarios de la inteligencia rusa lograron utilizar el software de Kaspersky para extraer documentos clasificados de la computadora personal de Nghia H. Pho, un desarrollador de la NSA que había instalado el software antivirus de Kaspersky en su máquina. Pho se declaró culpable de llevar a casa documentos y escritos clasificados en 2017, y ha dicho que lo hizo solo para intentar expandir su currículum.
Kaspersky sigue diciendo que no sabía del escaneo de programas clasificados de Estados Unidos y negó haber permitido que sus productos antivirus fueran utilizados por la inteligencia rusa. Eugene Kaspersky, el director ejecutivo de la empresa, ha dicho que permitiría que el gobierno estadounidense inspeccione el código fuente de su empresa para despejar la desconfianza hacia sus productos antivirus y de ciberseguridad.
Sin embargo, al aplicar ingeniería inversa al software antivirus de Kaspersky, Wardle descubrió que una simple revisión de su código fuente no haría nada por comprobar que sus productos no habían sido utilizados como herramienta de recolección de inteligencia por parte de Rusia.
Wardle halló que el software antivirus de Kaspersky es increíblemente complejo. A diferencia del software tradicional antivirus, que utiliza “firmas” digitales para buscar código malicioso y patrones de actividad, las firmas de Kaspersky se actualizan con facilidad, pueden sacarse automáticamente de las computadoras de ciertos clientes y contienen un código que puede modificarse para hacer cosas como escanear automáticamente y extraer documentos clasificados.
En suma, según los hallazgos de Wardle, “el antivirus podría ser una herramienta de ciberespionaje por excelencia”.
Wardle dijo que era relativamente fácil utilizar un punto débil en el software Windows de Microsoft para manipular el software de Kaspersky. Debido a que los funcionarios clasifican de manera rutinaria documentos ultrasecretos con la marca “TS/SCI”, que significa “Ultrasecreto/Información Compartimentada Delicada”, Wardle agregó una regla para que el programa antivirus de Kaspersky marcara cualquier documento que tuviera esa etiqueta.
Después editó un documento en su computadora con el texto de la serie de libros para niños de Winnie the Pooh para que incluyeran la marca y esperó para ver si el producto antivirus modificado de Kaspersky lo encontraba.
Desde luego, en cuanto el texto de Winnie the Pooh quedó guardado en su máquina, el software antivirus de Kaspersky marcó el documento y lo puso en cuarentena. Cuando agregó la misma marca TS/SCI a otro documento con el texto: “The quick brown fox jumps over the lazy dog”, el software modificado del antivirus de Kaspersky también lo marcó y lo puso en cuarentena.
“No es muy sorprendente que esto haya funcionado”, dijo Wardle, “pero aún así es útil confirmar que un producto antivirus puede utilizarse de manera trivial, pero encubierta, para detectar documentos clasificados”.
La siguiente pregunta fue: ¿qué sucede con esos archivos una vez que son marcados? Aunque estuvo a punto de hacerlo, Wardle decidió no hackear los servidores de la nube de Kaspersky, a donde constantemente se suben archivos sospechosos.
Sin embargo, señaló que los clientes de programas antivirus, entre ellos los de Kaspersky, aceptaron por omisión permitir que los vendedores de productos de seguridad enviaran cualquier archivo desde su máquina hasta los servidores de los proveedores para contribuir a su investigación.
Hay motivos legítimos para hacerlo: al cargar esos archivos a la nube de Kaspersky, los analistas de seguridad pueden evaluar si plantean una amenaza y actualizar sus firmas como resultado.
Kaspersky Lab dijo que la investigación de Wardle no reflejaba cómo funciona el software de la empresa. “Es imposible para Kaspersky Lab entregar una firma específica o actualizar los datos de un solo usuario de manera secreta y dirigida porque todas las firmas siempre están disponibles de manera abierta a todos nuestros usuarios; además, las actualizaciones se firman digitalmente, por lo que se hace aun menos posible crear una actualización falsa”, señaló la empresa en una declaración.