ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Gonzalo Fernández Rodríguez Creación de un proxy de alto rendimiento basado en paquetes para una Telco Durante hoy y mañana está teniendo lugar el Golab 2018 en Florencia, la conferencia más importante de desarrollo en Golang de Italia donde se están impartiendo una gran variedad...
ElevenPaths RSA Conference 2019 Todos los años marcamos en nuestro calendario de eventos una fecha muy especial: nuestra participación en la RSA Conference 2019. Desde su primera edición en 1991, el número de...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Área de Innovación y Laboratorio de ElevenPaths CARMA, nuestro conjunto gratuito de muestras de malware de Android para investigación Presentamos CARMA, nuestro conjunto gratuito de muestras de malware de Android para mejorar las investigaciones en detección de malware, adware y PUP.
ElevenPaths Enumeración y explotación de recursos internos mediante Javascript/AJAX (y II) Veamos la segunda parte de la entrada anterior en la que se describirán nuevos escenarios de explotación y un escenario de ataque. En ella, observamos que es factible identificar...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths De cómo el malware modifica ejecutables sin alterar su firma Microsoft acaba de arreglar (a medias) un método que permitía alterar un fichero firmado con Authenticode. Aunque el método fue descubierto en 2009, no ha sido hasta ahora, cuando se ha observado...
Gonzalo Álvarez Marañón Blockchain, criptomonedas, zkSTARKs y el futuro de la privacidad en un mundo descentralizado En la Italia renacentista eran comunes los duelos entre matemáticos, pero no cruzando aceros, sino problemas de difícil resolución. Uno de los huesos más duros de roer en la...
Kaspersky antivirus “confirmado como malicioso”. La guerra fría en la que perdemos todosSergio De Los Santos 18 junio, 2018 Según la Unión Europea, el software de Kaspersky Lab (y su antivirus) es malicioso. Así, literalmente. Ya no puede ser utilizado en sus instituciones oficiales. Se le aparta y ya no es una herramienta bienvenida. El último capítulo de una leyenda y extraño efecto dominó de acusaciones que, como bola de nieve, ha tomado tracción en los últimos años. Como en el imaginario cinematográfico durante la guerra fría de los 80, los rusos son los “sospechosos habituales”. Pero (como también se desprendía de “Juegos de guerra” en los 80), seguir presionando en esta contienda de tensiones reprimidas, culmina en un juego en el que no solo no hay ganadores, sino que todos pierden. Porque en un mundo de malware globalizado, descartar una tecnología como la de Kaspersky (que como tal, es neutra) no parece buena idea. Fuente: https://www.elmiracielos.com ¿Qué ha pasado? El Parlamento Europeo ha votado a favor de una moción relativa a la normativa en ciberdefensa en la que, literalmente, se puede leer: 76. Calls on the EU to perform a comprehensive review of software, IT and communications equipment and infrastructure used in the institutions in order to exclude potentially dangerous programmes and devices, and to ban the ones that have been confirmed as malicious, such as Kaspersky Lab; Una frase que empieza bien, pero acaba raro. Obviamente es necesario que la comunicación e infraestructura en las instituciones excluya programas potencialmente peligrosos, y que se eliminen los confirmados como tal. Hasta ahí, correcto. Pero el ejemplo explícito de Kasperksy Lab (que incluye lógicamente su antivirus) levanta alguna que otra ceja. Suena a una constatación innecesaria en ese contexto. “Malicioso” es una palabra muy fea. Podríamos pensar que: Es malicioso porque contiene actividad maliciosa en su código. Pero, podría apostar fuerte por ello, no parece el caso. Hubieran sido descubiertos, y no se juegan su prestigio por algo tan peregrino como código dañino en un producto así.Se considera malicioso porque a un antivirus se lo das todo. Confías a nivel técnico y estratégico. Confías porque tiene todo el poder sobre la infraestructura, y confías a nivel estratégico porque le estás dando la potestad de decidir qué es bueno y qué es malo en tu equipo. Puede ser un guardián eficaz, pero ¿y si está entrenado por alguien del que no te fías y que puede llegar a influir demasiado en él? Creemos que se trata del segundo supuesto, pero entonces no es que sea malicioso, sino que es inadecuado para unos intereses concretos. Y, al contrario que el malware, esto es bastante más subjetivo. En resumen, lo que se quiere decir con esa frase, no es que el problema esté en el software, sino evidentemente, de dónde viene. Lo que quieren decir es que no les gustaría que la información que tiene que utilizar un antivirus para realizar su trabajo, vaya a los servicios de inteligencia rusos y puedan usarla en su contra. O también teme que se sigan patrióticas instrucciones del gobierno Ruso para crear malware que Kaspersky no detecte a propósito, y espiar al resto que lo utiliza como herramienta protectora. Y es que Kaspersky podría, como antivirus instalado en una institución, además incluso tener acceso privilegiado a otro potencial malware creado por terceros. Imaginemos que alguien ataca a esa institución con un sofisticado APT. Kaspersky podría jugar con ventaja y cazarlo, estudiarlo, analizarlo y utilizar esa información como arma de espionaje incluso sin avisar al propio afectado. Y esto es lo que se ha votado en el Parlamento Europeo. No tanto sobre el software malicioso (en una horrible elección de adjetivos) sino que las herramientas de vigilancia contra el software malicioso, deben provenir de fuentes fiables. Y ¿qué es “fiable”? Puedes ser fiable tecnológicamente, pero no geoestratégica o políticamente. Y en el fondo, esta afirmación mancha la reputación de una tecnología, que, como tecnología, siempre es neutra. Lo que es inocuo para algunos, será mal visto por otros. Y así, perdemos todos. No solo se renuncia al software Como es lógico, la reacción de Kaspersky no se ha hecho esperar. Dejan de colaborar con la Europol y con NomoreRansom.org (organización en la que ElevenPaths también colabora). Con la renuncia a su software, a su tecnología, también se renuncia a sus conocimientos y experiencia. Y es que Kaspersky no es solo un antivirus con uno de los motores más potentes sino que es un laboratorio donde se detecta, investiga, y analizan las amenazas más relevantes de los últimos años. Desde Stuxnet, pasando por Duqu, Careto, TheFlame… En los últimos años, se ha convertido en una de las pocas casas de antivirus capaz de poner el foco en el software como sistema de espionaje, la ciberguerra, donde no todos los analistas pueden arrojar luz. Como afirman, venían colaborando con Europol y han ayudado a desenmascarar a cibercriminales de carne y hueso, además de campañas muy sonadas. ¿Otros podrán hacerlo? Sin duda. Pero Kaspersky lo hacía ya muy bien, y (como demostró con su experimento de 2010), es un claro referente tecnológico para otras casas antivirus. Se rompe así un equilibrio que no sabemos dónde acabará y, sobre todo, si aporta un beneficio mayor que la situación actual. De dónde viene esto: 2010, un pequeño experimento En la votación del Parlamento Europeo, hablando de “software malicioso” han manipulado el lenguaje. Han usado, siendo claros, la confusión como argumento. Pero esto viene de lejos… Kaspersky siempre estuvo en la polémica. Por empezar por algún sitio (y sin ánimo de ser exhaustivo), Kaspersky siempre ha sido claramente un referente en el mundo de la detección estática en casas antivirus. Y lo demostró con un experimento realizado en 2010. Creó unos cuantos ficheros benignos e hizo que su motor se detectara en VirusTotal como malware. Era una mentirijilla, un “falso positivo” controlado para ver cómo reaccionaban el resto de casas. Diez días después, 14 motores más detectaban este “no malware“, en un efecto dominó que dejaba claro quién se fijaba en quién a la hora de marcar con una firma un supuesto malware. Hicieron público el experimento y denunciaron la situación, no sin cierta polémica. Este juego, aunque sirviese como muestra, no “demostraba” por sí solo. Además empañaban la imagen de cara a los usuarios y desacreditaba en cierta manera la función de una herramienta de seguridad no infalible pero sí imprescindible para muchos. De dónde viene esto: 2014, un primer golpe técnico Kaspersky fue atacado y el atacante vivió en su red durante un buen periodo de 2014. En 2015, cuando descubrieron que llevaban meses con sus sistemas intervenidos y en un elogiable trabajo de transparencia, publicaron detalles muy concretos del ataque sin mencionar en ese momento que fueron los israelíes, como más tarde se confirmaría. De dónde viene esto: 2015, un segundo golpe al prestigio Dos antiguos trabajadores de Kaspersky acudieron a Reuters para denunciar (de forma anónima) que cuando trabajaban en el laboratorio Kaspersky mantenía un plan a gran escala mucho más sutil y maquiavélico que el anterior experimento puntual de 2010, para que los competidores cayeran en el falso positivo detectando ficheros importantes y/o comunes como malware. Microsoft, AVG y Avast confirmaron que, efectivamente, observaron estas tácticas de inducir a detectar falsos positivos pero quizás no solo de Kaspersky. Obviamente, ellos lo negaron. De dónde viene esto: 2017, todo mal viene de Rusia Comenzó el año con la acusación de espionaje y ciberataques por parte de Rusia a las elecciones de EEUU. A Kaspersky aquí no se le atribuía ninguna responsabilidad, pero el incidente ayudó a dibujar a los rusos en general (y cualquier herramienta suya) como un actor importante que ya aprovechaba las redes como armas donde influir políticamente. A finales de 2017 el New York Times publicaba un reportaje con un título que ya juzgaba a los actores: “How Israel Caught Russian Hackers Scouring the World for U.S. Secrets”. Afirma que espías israelíes detectaron a agentes del gobierno Ruso (espías), buscando en una especie de “buscador de malware” perteneciente a Kaspersky nombres de programas de inteligencia americano (tipo EternalBlue, para entendernos) y documentos clasificados. Espías israelíes vigilando a espías rusos que vigilaban a espías estadounidenses. Los israelíes avisaron a los estadounidenses y en septiembre de 2017 se decretó a Kaspersky como sistema de protección prohibido entre las agencias de inteligencia americanas. Kaspersky obviamente negó que ofreciera estos “servicios” a la inteligencia rusa y a partir de aquí, mucha especulación, porque nunca se evidenció nada. En realidad, nunca se ha mostrado una sola evidencia final de todo esto. Kaspersky se vio obligada a reaccionar. Lanzó su iniciativa de transparencia. En ella, fundamentalmente pondría a disposición de terceros el código de sus herramientas para que fuesen auditadas. Las injerencias rusas en todas las votaciones (tanto las de final de 2017 en Estados Unidos como incluso las españolas) también se hicieron populares. Rusia y el cibermal parecen ya una misma cosa en el imaginario colectivo. De dónde viene esto: 2018, la desconfianza salta el charco Ganada ya la desconfianza de Estados Unidos tras las elecciones y el choque diplomático entre servicios de inteligencia, avivado el intento de desprestigio entre las propias casas antivirus (a pesar de ser técnicamente reconocida) a través de una confesión anónima de dos supuestos extrabajadores, la desconfianza salta el charco. A finales de 2017, el Reino Unido también prohíbe el uso de Kaspersky en entornos secretos. Es totalmente legítimo verificar la seguridad de las herramientas a las que confías tu seguridad, pero el efecto dominó continúa sin pruebas. A mediados de 2018 el gobierno holandés se une al pacto y ahora, como hemos mencionado, toda la Unión Europea. Durante 2018, como parte de su iniciativa de transparencia y tras los comentarios de los holandeses, Kaspersky mueve su central a Zurich para intentar desvincularse de Rusia… conocedores de que las tensiones políticas relativas a su conexión con el bloque soviético son el centro de todos los rechazos. Conclusión Como en las parejas de enamorados, cuando la confianza se rompe, poco importa todo lo demás. Las habilidades técnicas no pueden borrar una herida (fundada en hechos o no) que tiene otro origen mucho más oscuro. Todos quieren pensar que Kaspersky está al servicio de su país, y no solo de sus dueños técnicos o estratégicos. En tiempos de revival de guerra fría, se trata de llevar el conocido argumentario, cercano a la propaganda (verdades a medias, o mentiras totales), al plano de la ciberseguridad. Pero no estamos en los 80, sino en un mundo mucho más conectado y globalizado. ¿Tiene sentido una “ciberguerra fría”? En un mundo globalizado, tanto un malware como una peligrosa vulnerabilidad puede acabar en segundos en manos de los analistas, y de ahí a proteger a otros clientes porque precisamente, así nos protegen mejor a todos, gracias a la inteligencia colectiva de los “end point security”. Y Kaspersky siempre ha sido un importante actor en todo este ecosistema global, tanto en el plano de la inteligencia como técnico. Como ocurre en la economía global, se supone que podría ser un estímulo para un mundo mejor bajo un capitalismo ideal… Pero no, la globalización es despiadada. En la vida real, esos ficheros, documentos, o exploits detectados, las “ciberarmas” vuelan en segundos hacia sistemas centralizados, y de ahí en manos de “cualquiera”… incluso en manos de quien no confías. Así que, en un mundo global, volvemos a los aranceles, a los recelos. Son los pros y los contras del mundo de las ciberarmas y el malware globalizado. Igual que la globalización económica que en un principio se funda bajo lo que se suponen argumentos bienintencionados, en el fondo esconde algunos aspectos que no son tan beneficiosos. Por otro lado, si Kaspersky retira su apoyo y deja de investigar, ¿quién los reemplazará? ¿Y si los sustitutos están también sometidos a presiones políticas que le obligan de alguna manera a ofrecer favores a cambio? ¿Están todas las casas antivirus preparadas desde el plano técnico para soportar esa responsabilidad? ¿El golpe económico que esto supone para la compañía, minará sus capacidades de protección para el resto del mundo? ¿Quién gana y quién pierde? Volvemos a bascular, de un plano técnico hacia otro político, en donde las respuestas comienzan a ser más polémicas y discutibles. Porque a nivel político no existe un única y correcta verdad. Este es un viejo dilema y no se está descubriendo nada nuevo en realidad: hablamos del mundo de la seguridad “física” de toda la vida, trasladado a la red, a las armas inteligentes y sus controversias. Aunque todo sea dicho: por fin, la ciberseguridad en las agendas políticas y gubernamentales. Qué hemos presentado en Security Day 2018 (II): mantente actualizado, mantente seguro: nuevos productosNuevo acuerdo por el que nos comprometemos, junto con más empresas, a combatir ciberataques
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...
Muy bueno Sergio, esto lo vengo diciendo hace rato.. que la ciberseguridad tomara un rol político y táctico mas allá de la tecnología, será cada día mas complejo. Gracias por compartir. saludos y sigue adelante ! Responder
Lo lo único que puedo asegurar,es que cualquier antivirus,sea cual sea,es un back door más….lamemtablemente Responder
Interesante, es bueno conocer todo en relación a este tema y más a los que nos dedicamos al mundo informático Responder
Era Lógico que la NSA se limpiaría el camino para así operar su herramientas limpiamente en la WEB sin que sean detectadas o puestas intencionalmente en un White List….Solo EU se cree con el derecho de espiar a todos . Responder
Excelente artículo, para mí Kaspersky es sin duda una de las mejores soluciones de seguridad que he tenido la oportunidad de probar. Responder