A lo largo de los dos últimos años los gobiernos de países de oriente medio han sido el objetivo de sofisticados programas de software espía creados por investigadores de talla mundial a quienes estados-nación desconocidos están pagando para atacar datos sensibles e infraestructuras. Sin embargo, el último programa de software malicioso que está espiando a bancos, departamentos gubernamentales y empresas en Irán y los países adyacentes es casi ridículamente amateur. Los expertos creen que el software, llamado Mahdi, lo pueden haber creado activistas. Esta posibilidad sugiere que Estados Unidos y otros países a los que les preocupa su vulnerabilidad ante la ciberguerra (ver "El Departamento de Defensa quiere ejercer un mayor control sobre Internet") quizá tengan que inquietarse por algo más que otros países.

“Una de mis primeras reacciones fue: ¿Es una broma?”, afirma Roel Schouwenberg, de la empresa de seguridad informática Kaspersky, refiriéndose al burdo software malicioso. Mahdi, que ha sido bautizado así por los investigadores que descubrieron el programa en la empresa de seguridad israelí Seculert, es torpe, burdo y está escrito usando técnicas que sugieren que sus creadores tienen bastante menos talento que los que están detrás de Stuxnet, Flame, o Gauss, sostiene Schouwenberg. Estos últimos fueron programas de software malicioso dirigidas a Oriente Medio que asombraron a los investigadores por su sofisticación (ver "Una forma de atacar las centrales nucleares"y "La era antivirus toca a su fin" ).

A pesar de todo, Mahdi ha resultado eficaz. Una vez infiltrado en un ordenador, envía datos de forma secreta a quienes lo operan: documentos, registros de tecleado, grabaciones de audio y tomas de pantalla de actividades tales como un usuario accediendo a un correo electrónico. “Ha conseguido infiltrarse en empresas del sector financiero y de infraestructuras clave”, según Schouwenberg. Otros objetivos incluyen departamentos gubernamentales e investigadores en ingeniería y estudiantes de ingeniería.

A pesar de que herramientas como Stuxnet, Flame, and Gauss, supuestamente apoyadas por naciones, atacaron objetivos similares, el crudo diseño de Mahdi hace pensar en la posibilidad de que ningún gobierno haya pagado por su creación, según Aviv Raff, cofundador de Seculert. “Como es un trabajo rápido y sucio, creemos que podría ser obra de hackers activistas, no un grupo patrocinado directamente por un estado-naci muy conocidositulares el año padadfo acl atacar websa habilidad de James Bond para participar en el espiona’e a alto nivel. Gruón”, explica.

Demostrar eso sería prácticamente imposible, pero Mahdi sí demuestra que en la actualidad no hacen falta ni los recursos ni la habilidad de James Bond para participar en el espionaje a alto nivel. Grupos de hackers activistas como Anonymous y LulzSec coparon los titulares el año pasado al atacar varios sitios web conocidos para llamar la atención sobre causas como Wikileaks. El éxito de Mahdi sugiere que este tipo de grupos podría hacer algo más que llevar a cabo el equivalente cibernético a las manifestaciones de protesta.

Mahdi se difunde a través de un adjunto a un correo electrónico que abre una presentación que pide al usuario que vea una serie de diapositivas y en última instancia activa un programa que va incrustado en una de ellas. Por contraste, el software malicioso más sofisticado, como Flame o Gauss, puede infectar una máquina sin que sea necesaria la intervención directa del usuario, a través de vulnerabilidades del software que los hackers más hábiles tardan meses en descubrir. Flame también implica criptografía muy compleja que muy pocas personas en el mundo son capaces de crear, explica Schouwenberg, y logró lo “impensable” al comprometer el sistema de actualización de Windows de Microsoft. “Flame lo hicieron los mejores del mundo”, afirma. “Mahdi no se puede comparar siquiera”.

Y sin embargo Mahdi sigue infectando nuevos objetivos con éxito, mientras que Stuxnet, Flame y Gauss fueron desactivados en cuanto los investigadores de seguridad informática los cercaron. Seculert identificó Mahdi por primera vez en febrero de este año y junto a Kaspersky lo dio a conocer el 17 de julio. pero el software malicioso sigue operando y mejorándose. “Siguen trabajando activamente para infectar máquinas”, sostiene Raff. “También intentaron añadir nuevas características para evitar la detección por parte de las empresas antivirus”.

Schouwenberg explica que Mahdi ha pasado de un megabyte a 10 megabytes. Pero según él, incluso un programa así de torpe puede ser eficaz cuando las empresas y organizaciones gubernamentales tienen malos protocolos de seguridad y no consiguen aislar debidamente sus redes más valiosas de aquellas que se usan para tareas menos importantes.

Incluso con la oportunidad de vigilar el software malicioso estando en funcionamiento, es improbable que se descubra el auténtico origen de Mahdi. En un principio lo controlaba un servidor en Irán, pero ahora se maneja usando varios servidores en Canadá, según Raff. Y estos probablemente estén pagados para usar credenciales falsas o los han tomado con el objeto de llevar a cabo el ataque. Si se emprendiera una acción contra ellos, los operadores de Mahdi simplemente crearían más o desaparecerían y volverían con una nueva herramienta, afirma Schouwenberg. Así pues, saber si Mahdi es la herramienta de hackers activistas o de un estado-nación haciéndose el tonto seguirá siendo un misterio.