Lo que EE.UU. no ha dicho sobre Corea del Norte y el ataque a Sony

 Carlos Zahumenszky








El hack a Sony Pictures lleva camino de convertirse en el ataque informático más sonado de la historia, y no solo por su gravedad a nivel corporativo. Esta semana, el caso ha cobrado una dimensión completamente nueva cuando el FBI (y más tarde Obama) han implicado a Corea del Norte en el incidente. ¿Podemos fiarnos de esa acusación?

Sin entrar en consideraciones políticas ni teorías conspirativas, lo cierto es que culpar a Corea del Norte en este asunto es la conclusión más natural. Sony Pictures anuncia una película que claramente podía herir las sensibilidades de Corea del Norte, un país que no es muy popular precisamente por llevar bien los chistes sobre su líder. Meses después, la productora es el objetivo de un ataque informático sin precedentes.

A medida que el ataque se hace más virulento, un grupo autodenominado Guardians of Peace pide a Sony retirar el film. Dos más dos son cuatro, y Corea del Norte, directa o indirectamente, ha querido impedir el estreno de la película y devolverle la bofetada a Sony en el proceso. ¿O no? Lamentablemente, y a pesar de la navaja de Ockham, no siempre la conclusión más simple tiene por qué ser la correcta.

Lo que sabe el FBI

¿En qué se basa el FBI para decir que Corea del Norte está detrás del ataque a Sony Pictures? Los indicios son los siguientes:

Coincidencias en el malware utilizado

El FBI asegura que el malware utilizado en este ataque "revela conexiones con otros tipos de malware desarrollados antes por Corea del Norte". Concretamente, se han encontrado similitudes en varias líneas de código y algoritmos de cifrado.

El departamento de seguridad de HP detalla una cronología del ataque, y respalda las hipótesis del FBI. HP también ofrece más detalles sobre el malware utilizado por los atacantes para borrar información de los servidores de Sony.

Direcciones IP

Otro de los indicios que apuntan a Corea del Norte, según la agencia de investigación, son direcciones IP encontradas en el malware que coinciden con las de equipos utilizados en Corea del Norte en ataques anteriores.

El FBI no es el único en asegurar haber encontrado estos indicios. La compañía de seguridad CrowdStrike ha realizado su propia investigación paralela, y publica un post en su blog corporativo en el que ofrece detalles sobre el ataque a Sony. Según CrowdStrike:

CrowdStrike ha estado rastreando a los responsables de estos ataques, identificado bajo el pseudónimo Silent Chollima y es el mismo autor de ataques que se remontan a 2006. La mayoría de esos ataques se han realizado contra Corea del Sur, incluyendo intrusiones contra su gobierno e instituciones militares para robar información clasificada. También se efectuaron ataques destructivos contra instituciones financieras y medios de comunicación del país.                                                       

Sin embargo, el FBI ha sido muy poco concreto respecto a ejemplos concretos de estos datos. El hecho de que la investigación esté en curso es excusa suficiente, pero muchos analistas como el experto en seguridad Nicholas Weaver apuntan a que el FBI no puede dar detalles de su investigación, sencillamente porque esos detalles no los han obtenido por sí mismos, sino pidiéndoselos a la única agencia con suficiente poder y herramientas como para saber perfectamente de dónde vino el ataque: La NSA.

Después de los últimos escándalos de espionaje, a Washington no le interesa airear más herramientas de seguridad nacional que expliquen averigua las cosas que sabe, sobre todo cuando hay implicados otros países.

Escepticismo

Muchos otros expertos en seguridad se muestran escépticos sobre la falta de pruebas concretas más allá de "El FBI dice que". Robert Graham, experto en seguridad y director de la compañía Errata Security no entiende por qué el FBI no ha hecho público el malware norcoreano que dicen haber encontrado. El malware se suele publicar para ayudar a otros expertos en seguridad a combatirlo. Darlo a conocer no puede dañar más a Sony ni tiene por qué revelar los métodos por los que se ha conseguido.

A menos, claro que en realidad no tengan nada más que indicios.

Jeffrey Carr, CEO de otra compañía de seguridad llamada Taia Global se hace otra pregunta, y es cómo pueden estar seguros de que el hecho de que aparezcan direcciones IP norcoreanas implique al gobierno de ese país. La razón que apunta Carr es que en Corea del Norte no tienen infraestructura propia de Internet. La conexión depende de proveedores extranjeros situados en Thailandia. Carr considera muy aventurado que, de todas las explicaciones posibles, se haya elegido la que tiene las implicaciones más graves.

La lista de especialistas en seguridad que se muestran escépticos sobre la acusación a Corea del Norte es larga. Rik Ferguson, de TrendMicro explica a New Scientist que, aunque hay razones que apuntan al reclusivo país asiático, no se han mostrado evidencias firmes al respecto.

Inconsistencias

Por supuesto, el gobierno de Piong Yang ha negado tajantemente su participación en el ataque a Sony Pictures pero, a falta de pruebas, su palabra vale tanto como la del FBI ahora mismo. A finales de verano, Corea del Norte se quejó a Naciones Unidas por el estreno de la película y amenazó con una respuesta sin piedad si el film se estrenaba. Este tipo de retórica radical y un poco delirante es habitual en el gobierno del pequeño país. Esa misma semana también amenazaron con volar la Casa Blanca con una bomba nuclear. De momento parece que no ha ocurrido.


Martyn Williams, de la firma North Korea Tech que monitoriza las noticias tecnológicas que rodean al país asiático tiene muchas dudas de que realmente el gobierno norcoreano haya participado en el ataque.

Las principales dudas en torno al ataque a Sony se basan precisamente en el procedimiento de los atacantes. Los supuestos comunicados de Guardians of Peace enviados a algunos medios hablan de una serie de condiciones que el grupo de cibercriminaless envió a Sony para poner fin al ataque, pero esas condiciones nunca han sido hechas públicas ni por Sony, ni por el FBI, ni por los propios atacantes.

Por otra parte, nunca antes los ataques supuestamente lanzados desde Corea del Norte han sido reivindicados por asociación alguna como en este caso. En los ataques de 2013 contra instituciones y medios de comunicación de Corea del Sur nunca se habían elegido como objetivos los perfiles de directivos de esos medios en redes sociales o cuentas de correo personales como en este caso. Algo, en el modus operandi, no acaba de encajar.

Para hacer todavía más raro el caso, el 21 de noviembre, pocos días antes del ataque, un grupo muy selecto de altos ejecutivos de Sony Pictures recibieron un e-mail proveniente de un grupo autodenominado God'sApstls (algo así como los Apóstoles de Dios) amenazando con hacer mucho daño a la compañía si esta no se plegaba a sus exigencias. ¿Cuáles eran estas exigencias? Muy sencillo: dinero.

Symantec comenta en un post sobre las herramientas utilizadas en el ataque, que la referencia al grupo de hackers conocido como God'sApstls también aparece en los troyanos utilizados para sembrar el caos en los servidores de Sony. Hasta esa fecha no se habían realizado peticiones de retirar la película o chantajes de índole político. Todo eso llegó más tarde.


Un ataque muy conveniente

Todo esto, por supuesto, no descarta la participación del gobierno de Corea del Norte en el ataque, pero el propio Martyn Williams cree poco probable que el ataque haya sido directo, y más bien apunta, como mucho, a alguna clase de apoyo financiero a técnico los hackers.

¿Por qué entonces el FBI y la Casa Blanca se arriesgan a provocar un incidente internacional poniendo al gobierno de otro país en el punto de mira? En el caso de Washington, elevar un ataque informático puntual contra una empresa cuya seguridad era bastante descuidada, e iniciado por el puro afán de lucro, a la categoría de amenaza terrorista contra las libertades es un cheque en blanco para regular Internet. Pocos actores con influencia en debates como el de la neutralidad de la red o la privacidad frente al espionaje de la NSA pueden rebatir ese argumento a la Casa Blanca si decide introducir nuevas y restrictivas medidas de seguridad.

En cuanto al riesgo de incidente internacional, es bastante improbable. Corea del Norte lleva años amenazando con bombas nucleares y represalias terribles a medio mundo. También ha pedido colaborar con la investigación en otros casos en los que se la acusaba de ciberataques sin que nadie les hiciera el más mínimo caso. Es el chivo expiatorio perfecto.

Pasar página

De la noche a la mañana, todos parecen querer dar por terminado este asunto cuánto antes. El jueves 18, los supuestos atacantes enviaron un e-mail a Sony Pictures felicitándoles por su decisión de cancelar el estreno de The Interview y advirtiéndoles de que aún tienen más documentos confidenciales pero que los mantendrán a buen recaudo "a menos que causen más problemas".

El discurso de ese mensaje, de la noche a la mañana, ya no parece el de un integrista con convicciones políticas radicales que quiere dañar a la empresa que ha ofendido a su amado líder. Más bien parece la respuesta satisfecha de un criminal que ha logrado su objetivo económico.

En cuanto a Sony, es probable que la compañía esté más preocupada ahora mismo por el seguro que por el ataque en sí.

El especialista en seguridad Steve Ragan explica en CSO Online que Sony Pictures contrató varias pólizas de seguros en caso de ataque informático por un valor de 60 millones de dólares. La búsqueda de esas pólizas comenzó en 2013 y no fue nada fácil. Sony Pictures ya sufrió un ataque bastante duro en 2011 que se tradujo en la filtración de 37.000 documentos personales. La productora logró cobrar 1,6 millones de dólares, pero la compañía de seguros rechazó renovar la póliza después de aquello.

En una reciente entrevista a Reuters, Jim Lewis, del Centro Estratégico de Estudios Internacionales, estima que el incidente costará a Sony más de 100 millones de dólares. El antiguo investigador federal de ciber delitos Mark Rasch estima esta cifra en 70 millones. Sea una u otra, ya se pasa de largo de los 60 millones que Sony tenía contemplados en su póliza.

Si algo más falla en los sistemas informáticos de aquí a abril de 2015, no habrá seguro que lo cubra. Sony está completamente al descubierto en ese sentido, y es probable que lo único que quiera sea que la dejen en paz de una vez. La acusación del FBI a Corea del Norte, que ya está acostumbrada a que le echen la culpa de todo, y la nota de agradecimiento de los hackers parecen el broche de oro a una historia rocambolesca en la que la película The Interview ha sido la cortina de humo perfecta.

Fuente:Gizmodo