La noticia del hallazgo de un malware supuestamente tan avanzado que sólo podría haber sido desarrollado por un estado, ha pasado por la prensa sin causar mayor impresión, a tal punto estamos acostumbrados a desayunarnos con un troyano e irnos a la cama con otro no menos dañino que el de la mañana. ¿Por qué este nuevo virus, bautizado Regin, no ha hecho pestañear a casi nadie? En primer lugar, porque no es tan avanzado, ya que forma parte de una familia conocida, la de Duqu/Stuxnet, que se hizo célebre por su uso en el sabotaje de plantas nucleares iraníes y que por inferencia fue atribuido a los servicios secretos de Estados Unidos e Israel. Los mismos de los que se presume son autores y/o patrocinadores de Regin.
Asumimos con fatalismo que las amenazas nos rodean. El mes pasado, en Londres, tuve ocasión de conversar nuevamente con Art Gilliland, director de la división de seguridad de HP, quien me lo explicó de la manera más simple: “tantas cosas que han existido durante cientos de años se están digitalizando, que no tiene nada de particular que aspectos oscuros de la sociedad, como el espionaje, se digitalicen con normalidad”. En la práctica – matizó Gilliland – las llamadas APT (Advanced Persistent Threats) son más persistentes que avanzadas: las arquitecturas se repiten a lo largo de los años, con las variantes necesarias para dificultar la investigación forense: aunque se detecte su actividad, lleva mucho tiempo analizar su modo de actuar, primera condición para bloquearlo.
El blog The Intercept afirma, sin aportar pruebas, que el origen de Regin se remonta a 2003, pero lo reconocido es que su primera identificación se debe a Microsoft, que lo catalogó como troyano en 2008 y le puso el nombre. Hasta 2011 hubo infecciones esporádicas, luego desapareció abruptamente y reapareció en diciembre de 2013, fecha en que Symantec registró por primera vez su actividad. Por alguna razón, Microsoft no lo comunicó públicamente en seis años, y Symantec sólo lo hizo el 22 de noviembre, eso sí, con gran despliegue de propaganda.
¿Cómo se explican tantos años de discreción por parte de una industria que vive precisamente de hacer que empresas y usuarios se sientan seguros online? Es que se descubren tantos códigos maliciosos cada día que lo sensato es esperar hasta que manifiesten su peligro antes de pulsar el botón de alerta. Esta parece haber sido una de las razones por las que Regin ha podido actuar impunemente durante años: tampoco ha sido masivo ni a sus autores les interesaba que lo fuera: se han observado 100 infecciones de diversos países, más de la mitad en Rusia y Arabia Saudí.
Ha habido, que se sepa, un solo ataque en Europa, del que fue víctima el operador Belgacom. Al parecer, el servicio británico GCHQ lanzó hace tiempo una operación clandestina para implantar troyanos en los ordenadores de empleados de Belgacom, valiéndose de una falsa página de LinkedIn, para capturar datos de clientes del operador, entre los que se encuentran las instituciones de la Unión Europea.
Como ocurrió en el pasado con el legendario Stuxnet, Symantec y Kaspersky Labs se han disputado la primacía de comunicar el hallazgo, pero esto tiene más que ver con el marketing que con la eficacia técnica. Cabe una reflexión a partir de este incidente. En principio, la industria antimalware ha hecho bien su trabajo de identificación rutinaria, pero falló estrepitosamente en la compartición de información con sus colegas, que pudiera haber facilitado una detección activa. Es un problema clásico en esta industria: la necesidad de coordinación suele tropezar con la conveniencia de ocultar los secretos para mejor competir.
Este problema, lejos de corregirse, puede agravarse con una nueva ola de startups de seguridad que han salido a la luz este año y que, en varios casos, han sido fundadas por antiguos hackers de la NSA. Virtru y Synack son dos ejemplos, pero ninguno tan representativo como IronNet, creada por el general Keith Alexander, ex jefe de la agencia de espionaje. Estos especialistas del espionaje cibernético no tienen reparos en presumir de ello porque – dicen – mientras Snowden se ha pasado al lado oscuro, ellos son los buenos de la película.