Foto: Asistentes a una presentación de la conferencia Black Hat 2014.

Un estudio del malware que opera en las redes empresariales y gubernamentales sugiere que los patrones de comunicación de estos programas podrían servir para avisar de grandes conflictos.

Investigadores de la empresa de seguridad FireEye han analizado millones de mensajes de malware enviados a lo largo de los últimos 18 meses y han encontrado picos de tráfico entre Rusia y Ucrania según iba aumentando la tensión entre los dos países a principios de este año. Se ha descubierto un patrón parecido en tráfico de malware a Israel antes de que el país iniciara las hostilidades recientes contra Hamas.

El estudio de FireEye se ha hecho con datos recogidos de más de 5.000 clientes empresariales y gubernamentales en todo el mundo. El software de FireEye captura mensajes de "devolución de llamada" o retrollamadas enviados por el malware dentro de una red, ya sea informando de su estado a sus operadores o recibiendo nuevas órdenes. Estos mensajes se usan para establecer la localización del ordenador que controla el malware.

Lo más probable es que estos patrones los hayan producido las agencias gubernamentales que redoblaban sus esfuerzos para reunir información o atacar a sus adversarios, explica Kenneth Geers, quien ha trabajado en el proyecto. "En los días previos a la crisis de Crimea, se vio un aumento de las retrollamadas de malware tanto en Rusia como en Ucrania", declaró en la conferencia de seguridad informática Black Hat celebrada la semana pasada en Las Vegas.

Aunque es posible que la actividad revele la actividad de hackers afines a los países involucrados pero no contratados por estos, ahora muchos países usan los ataques informáticos de forma rutinaria con fines de inteligencia y militares.

Geers explicó que los patrones de las comunicaciones de malware se pueden usar para predecir cuándo se preparan los países para entrar en conflicto: "Si EEUU, o Corea, o Japón estuvieran a punto de iniciar una guerra, se vería un aumento de las retrollamadas, es un procedimiento habitual en las medidas de seguridad nacional actuales". Geers, que dejó hace poco FireEye para trabajar como consultor independiente, ha trabajado anteriormente en seguridad informática internacional en la Agencia de Seguridad Nacional y en la OTAN.

A veces los operadores de malware ocultan su localización haciendo que los mensajes de retrollamada salten entre ordenadores de distintos países y el estudio de FireEye sólo registró el primer salto. Sin embargo, Geers afirma que los creadores de malware no siempre se molestan en instalar este sistema de relevos. Así, explica, con una serie de datos lo suficientemente grande, aparecen patrones geográficos precisos.

Gran parte del tráfico registrado en Israel mientras se preparaba para atacar a Hamas en la franja de Gaza, provenía de malware instalado en ordenadores de Canadá y Estados Unidos. "Posiblemente indica que las organizaciones de seguridad nacional de Israel están aprovechando infraestructura en Canadá y Estados Unidos", afirma Geers.

Emparejar el tráfico de malware con los eventos del mundo real también puede servir para desvelar las herramientas que usan las naciones estado. Parte del tráfico que sale de Canadá, por ejemplo, parece venir de malware desconocido hasta la fecha y que FireEye se dedica a investigar ahora.

FireEye tiene intención de seguir adelante con las investigaciones. "Podemos ver el equivalente digital del desplazamiento de tropas a las fronteras", afirmó a MIT Technology Review Kevin Thompson, el analista de amenazas de la empresa. "Pero nos gustaría poder analizar todo un año de datos para intentar correlacionarlos con todo lo sucedido en el mundo en el mismo periodo".

Según el director de investigación de F-Secure, que se dedica a estudiar el malware creado y usado por las naciones estado, Mikko Hyppönen, cada vez es más frecuente que los gobiernos hagan uso de malware. Países de todos los tamaños usan malware porque es relativamente barato y consigue resultados, afirmó en una conferencia en Black Hat. "Existen paralelismos con la carrera nuclear", explicó. "Pero en el caso de las armas nucleares su poder era el de la disuasión, algo que no existe en el caso de las ciberarmas".

Y, como señaló Geers, existe un conflicto entre el entusiasmo de los gobiernos por estas nuevas amas y su obligación de asegurar la seguridad en internet. "El problema del malware en todo el mundo es muy difícil de resolver, pero además, ¿acaso los gobiernos quieren resolverlo?" afirmó. "Los gobiernos se benefician bastante de proteger la soberanía y proyectar poder a través de ataques en la red".