29 mar. 2021

Google unilateralmente detuvo una operación antiterrorista de EE.UU.

El pasado 18 de marzo, Google hizo público que, a través de sus equipos de ciberseguridad interceptó un ataque de APTs y Drive-by de "nivel experto". Según la compañía, los atacantes explotaron 11 vulnerabilidades en Safari y Chrome que afectaban a dispositivos con iOS, Android y Windows.

Lo que Google omitió en su reporte fue que el ataque era en realidad una operación antiterrorista llevada a cabo por aliados de Estados Unidos. La decisión unilateral del gigante de Mountain View comprometió una maniobra de inteligencia que llevaba nueve meses activa.

Un informe publicado por Technology Review, del MIT (Instituto Tecnológico de Massachusetts), asegura que la operación desmontada por Google, por medio de los equipos Project Zero y Threat AnalysisGroup, era llevada adelante por "agentes de gobiernos occidentales".

Pero la polémica más importante se dio en el interior de Google. La decisión de hacer pública la información tras la detención del hackeo provocó una división en la compañía. Un grupo de empleados sostenía que la divulgación de operaciones antiterroristas estaba fuera de los límites de la compañía.

Otra parte creía que el anuncio era clave para fomentar un internet más seguro y con usuarios protegidos, y que esto se encuadraba en los derechos de la empresa.

Google, hackers, antiterroristas y un informe plagado de omisiones

En su anuncio, Google omitió quiénes eran responsables del hackeo y quiénes resultaban blanco del mismo, así como información técnica más detallada del malware y los sitios utilizados para distribuirlos.

La falta de este tipo de información, que de un modo u otro siempre sale a la luz en situaciones "normales", hizo arquear las cejas de expertos en seguridad. Uno de los más fuertes fue Ryan Naraine, quien criticó el secretismo de Google y calificó el reporte sobre el ataque de los hackers como un "agujero negro".

En su boletín, Naraine se quejó del repentino secreto de Google en torno a los ataques de 0-Day en Chrome. Google no lanzó IOCs para ayudar a los cazadores de malware a buscar señales de este actor en sus redes. No hubo hashes. No hubo información sobre los dominios afectados. No hay detalles técnicos sobre los servidores de exploits. No hay reglas de YARA. Sin firmas IDS. Sin perfil de víctima ni distribución geográfica. Nada, en realidad. Ahora queda claro porqué.

La operación antiterrorista que detectó Google consistía en la distribución de malware a través de sitios web infectados. Lo que habría llamado la atención del equipo de ciberseguridad habría sido la escala, sofisticación y velocidad del ataque, usando técnicas "nunca antes vistas".

Project Zero se especializa en encontrar y reparar lo que se conoce como "Zero-Day exploits". Por su parte, el equipo Threat Analysis Group es el que se encarga de identificar a los hackers y atribuir los ataques. Como ambos trabajaron en conjunto para detener esta operación, los datos a disposición hacen entender que internamente Google sabía con quiénes estaban lidiando.

El informe de Technology Review cita a un exoficial de inteligencia de Estados Unidos remarcando que las operaciones realizadas por países occidentales son reconocibles. «Existen ciertos sellos en las operaciones occidentales que no aparecen en las de otras entidades. Se los puede ver traducidos en el código», manifestó.

No es la primera vez que equipos de seguridad de compañías privadas detienen hackeos realizados por agentes de países aliados. Lo que no es común es que se hagan públicas estas maniobras, menos si son de hackers de gobiernos allegados a su propio país. Si Google detenía la operación antiterrorista, pero no publicaba un informe al respecto, nada hubiese sucedido, al menos para el público. Puertas adentro se podía manejar de otra manera.

Las corporaciones tecnológicas están obligadas a brindar productos seguros para sus usuarios. El trabajo de equipos como Project Zero es fundamental para lograrlo, pero es cierto que las operaciones de inteligencia y contrainteligencia tienen límites muy borrosos (si es que poseen alguno). Tal es así que se generan discusiones éticas posiblemente interminables y más cuando existen situaciones de vida o muerte.

Si queda algún aprendizaje de este gran lío es que aún resta mucho por hacer para eliminar vulnerabilidades en productos de acceso masivo como Safari y Chrome. Y esto afecta tanto a ordenadores como a dispositivos móviles.

Fuente: Hipertextual

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!