De secretos de Estado a estafas callejeras: cómo el spyware de élite se escapó al mundo

En un giro más extraño que la ficción, las mismas ciberarmas que antes empuñaban las agencias de inteligencia ahora circulan libremente por internet, empoderando a todos, desde hackers de estados-nación hasta pequeños ciberdelincuentes. Las recientes filtraciones de Coruna y DarkSword, dos sofisticados kits de explotación para iOS, han derribado las barreras entre espionaje, crimen organizado y hackers oportunistas, elevando el riesgo para organizaciones de todo el mundo.

La saga comienza con Coruna, un kit de explotación móvil de alta gama repleto de vulnerabilidades de día cero. Según los investigadores, fue creado originalmente por el brazo de hacking de un contratista militar estadounidense, y Coruna apareció por primera vez en la infame campaña Operación Triangulación: un audaz esfuerzo de espionaje que comprometió a miles de objetivos en Rusia, incluido personal de Kaspersky Lab y misiones diplomáticas. El FSB ruso señaló a la NSA, insinuando incluso la complicidad de Apple, pero la atribución sigue siendo confusa.

Paralelamente, DarkSword surgió desde la región del Golfo, probablemente obra de la ya desaparecida firma de vigilancia DarkMatter Group. Ambas herramientas estaban destinadas a operaciones de inteligencia de élite, pero todo se salió rápidamente de control. Coruna y DarkSword llegaron al mercado secundario: se vendieron, revendieron y finalmente fueron adquiridos por el enigmático actor estatal ruso UNC6353. El grupo desató estos kits en ataques de tipo watering hole por toda Ucrania, apuntando a todo, desde proveedores industriales hasta agencias de noticias en el Donbás devastado por la guerra.

El verdadero desastre ocurrió cuando DarkSword se filtró en GitHub, poniendo el poder de los hackers estatales en manos de cualquiera con conexión a internet. Los analistas de amenazas de Google y los investigadores de iVerify rastrearon cómo Coruna y DarkSword evolucionaban en libertad. Redes criminales chinas eliminaron las restricciones geográficas y reutilizaron los exploits para campañas masivas de robo de criptomonedas, mientras que ambos kits fueron personalizados por distintos actores de amenazas para todo, desde espionaje hasta fraude financiero.

La sofisticación técnica es asombrosa: solo Coruna aprovecha 23 vulnerabilidades a través de cinco cadenas de explotación, un conjunto de herramientas que costaría decenas de millones desarrollar desde cero. Pero ahora, incluso los “humildes” ciberdelincuentes tienen acceso a estas armas. Las consecuencias son inmediatas: iPhones comprometidos, credenciales robadas y posibles brechas corporativas a una escala nunca antes vista. Expertos en seguridad advierten que, a menos que las organizaciones actualicen los dispositivos y adopten herramientas avanzadas de defensa móvil, seguirán siendo blancos fáciles, sin importar cuánto gasten en ciberseguridad tradicional.

La línea entre secretos gubernamentales y herramientas criminales nunca ha sido tan delgada. A medida que estos exploits de élite se derraman en el dominio público, toda organización - por pequeña que sea - debe enfrentarse a amenazas antes reservadas para espías y soldados. En la nueva carrera armamentista cibernética, la complacencia no es una opción.

WIKICROOK

• Zero: Una vulnerabilidad de día cero es una falla de seguridad oculta desconocida para el fabricante del software, sin solución disponible, lo que la hace sumamente valiosa y peligrosa para los atacantes.
• Exploit kit: Un exploit kit es un software que escanea dispositivos en busca de vulnerabilidades y entrega malware automáticamente si encuentra una debilidad, permitiendo ciberataques eficientes.
• Watering hole attack: Un ataque de tipo watering hole ocurre cuando los hackers infectan sitios web de confianza para atacar a usuarios específicos, propagando malware a los visitantes sin que lo sepan.
• Payload: Un payload es la parte dañina de un ciberataque, como un virus o spyware, entregado a través de correos o archivos maliciosos cuando la víctima interactúa con ellos.
• Credential theft: El robo de credenciales ocurre cuando los hackers sustraen nombres de usuario y contraseñas, a menudo mediante phishing o brechas de datos, para acceder ilegalmente a cuentas en línea.