1

Reportaje exclusivo a Dimitry Bestuzhev (@dimitribest) de KASPERSKY lab

Dimitry Bestuzhev - Analista del Kaspersky Labs
Dimitry Bestuzhev – @dimitribest

 

 

¿En qué consistió la Operación Octubre Rojo?

El Octubre Rojo es una campaña de espionaje cibernético dirigida a los objetivos específicos y elegidos cuidadosamente en el mundo entero, incluyendo los países de América Latina cuyo objetivo es llegar a comprometer los equipos con la información crítica de carácter confidencial para sustraerla y luego rematar en el mercado negro al mejor postor. La campaña está operando por lo menos desde el año 2007 y a lo largo de los últimos 6 años antes de ser descubierta ha tenido mucho éxito para los que están detrás. Entre las víctimas constan centro de investigación científica, las embajadas, centros nucleares, compañías de petróleo y gas natural, entre otros.

¿Cómo se desarrolló esta operación?

Los ataques comenzaban vía email acompañados de la ingeniería social que contenían información de interés para cada víctima seleccionada cuidadosamente. El email malicioso contenía un adjunto de Word o Excel que venía acompañado con un exploit incorporado en el archivo, de modo que cuando la víctima abría el adjunto su equipo se infectaba. Pues, un programa de código malicioso se instalaba silenciosamente y luego los operadores del Octubre Rojo llegaban a tener acceso remoto a la máquina comprometida. Entre algunas funcionalidades que usaba el malware del Octubre Rojo se encuentra la búsqueda de los archivos eliminados en las memorias USB, es decir el malware recuperaba aun la información eliminada ya para robarla.

A nivel innovación, ¿Qué herramientas utilizaron los ciber-delincuentes?

Una de ellas es el punto mencionada el de recuperar los archivos eliminados para robarlos. Además hubo un módulo encargado de robar los datos de los dispositivos móviles una vez que estos fueran conectados a las Pcs. Es decir los operadores del Octubre Rojo no solamente querían los datos de las máquinas sino de todos los dispositivos móviles que se manejaban que fueran iPads, iPhones, Androids o cualquier dispositivo que sea celular o una tableta.

¿Cuáles son las medidas de seguridad que brinda la nueva versión de Kaspersky para combatir estos ataques?

Si recordamos que las infecciones se daban porque el adjunto enviado por el email explotaba las vulnerabilidades del Office instalado en las máquinas, Kaspersky trae una tecnología llamada AEP o Prevención automática de los exploits. De hecho esta misma tecnología permitió proteger a los usuarios de Kaspersky ante el Octubre Rojo antes de que lo conociéramos como tal. Más detalles sobre la tecnología se puede encontrar

en http://www.kaspersky.com/downloads/pdf/kaspersky_lab_whitepaper_automatic_exploit_prevention_eng_final.pdf

Además de lo mencionado manejamos la detección de las amenazas por la nube, los análisis heurísticos avanzados basados en el comportamiento, el whitelisting o el manejo de las listas blancas de las aplicaciones conocidas donde cualquiera aplicaciones que no sea conocida para Kaspersky por defecto recibe funcionalidad restringida en el sistema del usuario y finalmente tenemos la encriptación de datos en el disco duro del usuario.

Considerando que existe una guerra encubierta debajo de la dermis de internet, ¿cuál es su visión al respecto?

Si las cosas no cambian, si no se aprueban acuerdo y convenios internacionales que permitan restringir el uso de armas cibernéticas, no podemos esperar un buen futuro para la humanidad. El malware y el Internet son los medios que se utilizan para lograr objetivos políticos, comerciales y hasta militares. Si no existe control ni respeto, el futuro será incierto y hasta peligroso ya que se podría desatar fácilmente un conflicto armado en el cual las víctimas no serían los bites de la información sino la gente y sus vidas valiosas. Lo digo porque al causar un daño físico a una nación aunque sea a través de Internet, nadie puede garantizar que esa nación víctima no responda luego con un ataque pero ya militar.

Dentro de esta guerra no declarada ¿qué debería hacer Latinoamérica para tener seguridad de su información?

Trabajar desde ahora o mejor desde ayer mismo en las políticas de manejo de la información a nivel de los países. Además se tiene que trabajar en las mejores prácticas igualmente centralizadas y globales. Lamentablemente esto no se está haciendo por varias razones. Se podría usar de base de aprendizaje los ataques de Stuxnet, Duqu, Flame, Gauss, miniFlame, Octubre Rojo y otros.

Según su experiencia ¿Qué nivel de defensa tienen las corporaciones en la región?

En todo el mundo y en la región las corporaciones generalmente cuentan con una defensa por defecto, es decir aquella que es básica o establecida por un manual donde a uno le toca creer que su información se encuentra protegida por haber cumplido con una serie de requisitos descritos en el manual. Esta visión es errónea ya que como vimos en los años pasados, otros países víctimas del malware avanzado descrito anteriormente no fueron capaces de proteger su información. Todos los días los atacantes de alto perfil encuentran las nuevas vulnerabilidades del día-0 que son aprovechadas de una forma proactiva. Se debe hacer algo más que simplemente seguir los pasos de los manuales.

¿Cómo piensa Kaspersky posicionarse en el radar de las corporaciones como una solución para la seguridad empresarial?

Hablar de las amenazas TOP que encontramos y dar a conocer al público sus alcances. Todos deben entender que no es una ficción sino una realidad lo que está pasando el todo el mundo. Además queremos promocionar las tecnologías que otros no tienen, una de ellas es el AEP mencionado anteriormente. Finalmente confiamos en los partners de todo el mundo que harán su trabajo de una manera excelente.

 ¿Cómo pueden colaborar los medios especializados para ayudar a combatir en esta guerra?

Más hablemos de las amenazas gubernamentales, mejor será. Es importante que nadie subestime el peligro y todos lo conozcamos bien. Los medios al escribir más y a fondo sobre las operaciones como el Octubre Rojo permitirán a todos a entender y aceptar la grave situación en la cual se encuentra el mundo.

Movilidad es la próxima frontera: ¿qué está haciendo Kaspersky para garantizar la seguridad en un mundo móvil?

Trabajamos en la protección de los dispositivos móviles desde el punto de vista de los ataques de malware, del robo de los dispositivos o hasta de falta de gestión cuando estos se conectan a las redes corporativas. Con esto la nueva versión de Kaspersky EP 10 incorpora nuevas funcionalidades de gestión y protección para los dispositivos móviles.

Para CONSULTAS con el Analista por Twitter: @dimitribest

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.