Contar con herramientas y programas de seguridad es importante. Siempre lo decimos. Un antivirus puede protegernos frente a posibles amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo. Sin embargo, como casi todo, también tiene una parte oculta. Un arma de doble filo, por decirlo de alguna manera. Es posible que en vez de protegernos pueda llegar a espiarnos. Ha habido casos y vamos a explicar cómo sucede.
El caso de Kaspersky
Seguro que recordamos toda la polémica con Kaspersky. Este software ruso ha sido acusado de espionaje. En algunos países, especialmente Estados Unidos, miran con recelo este software. Incluso lo han llegado a prohibir en algunas instituciones. Pero este solo es un caso conocido. Cualquier software de este tipo puede convertirse en nuestro enemigo.
El “problema” es que un antivirus tiene acceso privilegiado a la mayoría de programas, navegadores, correos, archivos… Además de que podría controlar el hardware. Su función es evaluar todo lo posible. Analizar que todo vaya correctamente.
Cuando descargamos un programa de seguridad siempre corremos el riesgo de que un fabricante sea poco fiable. Incluso que ese software esté manipulado. En este último caso, el ciberdelincuente podría rastrear todos nuestros movimientos. Tener acceso a nuestro sistema, en definitiva.
Es lo que pasó con el antivirus de Kaspersky, utilizado por espías rusos para conseguir documentos clasificados. Se calcula que este antivirus es utilizado por unos 400 millones de personas en todo el mundo.
Un antivirus puede acabar espiándonos
Sobre la manera en la que un programa de seguridad puede espiar a los usuarios ha trabajado Patrick Wardle. Es el jefe de una oficina de seguridad digital y ha realizado una investigación para demostrar que es factible un ataque así.
Wardle descubrió que el software antivirus de Kaspersky es muy complejo. A diferencia del software tradicional, que utiliza “firmas” digitales para buscar códigos maliciosos y patrones de actividad, las firmas de Kaspersky se actualizan fácilmente. Se pueden enviar automáticamente a ciertos clientes y contienen código que se puede ajustar para hacer cosas como escanear automáticamente y desviar los documentos clasificados.
En definitiva, este investigador descubrió que el antivirus podría ser una herramienta de ciberespionaje. Era relativamente fácil usar una vulnerabilidad en el software de Windows para manipular el software de Kaspersky.
Los funcionarios, en general, clasifican los documentos secretos con “TS/SCI”, en el caso americano. Wardle hizo la prueba y agregó una regla al antivirus Kaspersky para marcar cualquier documento que tuviera “TS/SCI”.
Posteriormente, en su ordenador, editó textos de libros para niños a los que incluyó la marca “TS/SCI” y esperó a ver si el antivirus lo detectaba. Eso fue lo que ocurrió. El antivirus puso en cuarentena esos archivos.
“No es una gran sorpresa que esto haya funcionado”, dijo Wardle, “pero sigue siendo bueno confirmar que un producto antivirus puede ser trivial, usado para detectar documentos clasificados“.
Aceptamos los términos
Wardle añade que, cuando instalamos Kaspersky o cualquier otro programa de este tipo, aceptamos que se pueda enviar cualquier cosa desde nuestro ordenador. Esto significa que esos archivos en cuarentena podrían ir a parar a servidores de la compañía. Todo aceptado previamente por nosotros, los usuarios.
Esto último lo utilizan los antivirus para evaluar si representa una amenaza esos archivos y actualizar sus firmas.
Explica que un proveedor poco fiable o un espía con acceso a los sistemas de ese proveedor podría convertir ese antivirus en una herramienta para espiar a los usuarios.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad