La cara oculta del «hackeo» a CCleaner: entre guerras comerciales y ataques a la cadena de suministros

Existe una leyenda (más urbana que otra cosa) que cree entender que la difusión de virus informáticos es cosa de las propias marcas propietarias de antivirus. Las empresas de desarrolladoras se han encargado de poner el cortafuegos de esta percepción social (por no decir conspiranoia social) asegurando que nada más lejos de la realidad. En plena era de la hiperconectividad, el temor a ser «hackeado» está al mismo nivel que sufrir un robo a mano armada. Pero de vez en cuando trascienden fallos informáticos y ciberataques que nos hacen bajar a la realidad y pensar, en cierto modo, que vivimos en un constante capítulo de «Black Mirror».

La revelación de un «hackeo» a la popular herramienta de gestión de archivos y limpieza de los equipos CCleaner está repleta de dudas e incertidumbres. De claroscuros. De posibles bulos y mentiras. Con más de cinco millones de descargas mensuales, el software, propiedad de la multinacional Avast desde julio después de la adquisición de Piriform, creadora del programa, ha permitido desde agosto la instalación de código malicioso o «malware». Según los datos de la propia compañía, 2.27 millones de usuarios de la herramienta «antimalware» instalaron una versión del software que había sido «hackeada» para incluir «malware». Desde la Oficina de Seguridad del Internauta (OSI) confirman que las versiones instaladas de las herramientas CCleaner 5.33.6162 y/o CCleaner Cloud: versión 1.07.3191. son las afectadas.

Una acción que puede haber dado acceso a cualquier ciberdelincuente a controlar y acceder a la información del equipo informático que tiene instalada la aplicación, también disponible para dispositivos Android. ¿Realmente el programa ha permitido que los equipos se infecten? Existen lagunas en el relato. Los ciberdelincuentes han pasado al ataque desde hace mucho más tiempo del que creemos. No es nada nuevo, pero se han sofisticado las técnicas. Incluso ciberataques clásicos como el «ransomware» o secuestro de datos han demostrado, como en el caso del reciente WannaCry, que aún puede provocar estragos y más si se logra convertirlos en un gusano capaz de propagarse a la velocidad del trueno.

Pero hay más: han logrado ocultar «malware» en las propias descargas de servicios, en teoría, de confianza, logrando introducir virus antes de la propia instalación. Es el ejemplo que nos concierne ahora. Este supuesto ataque ha traicionado incluso la confianza más férrea de los consumidores no solo en la empresa Avast, sino en las empresas de software de seguridad al vincular un programa oficial con «malware».

La propia compañía ha reconocido los datos que «se quedaba» el «malware», entre otros, el nombre de la computadora, la lista del software instalado o la lista de procesos de ejecución, así como si se trata de un sistema basado en la arquitectura de 64 bits. Es decir, el software malintencionado «permite al atacante identificar un ordenador de una forma muy precisa, además de ejecutar código remoto», relata a este diario, Lorenzo Martínez, director técnico de Securizame.

El ataque ha destapado, de nuevo, las teorías conspiranoicas y los posibles autores. Este experto duda acerca de quién puede estar detrás de algo así, quién puede tener interés en controlar totalmente el equipo de un usuario que se descarga un software de borrado de actividad. Son muchas las preguntas: ¿Quién tiene la capacidad y los medios de acceder al código fuente de un software y generar una compilación que resulte comprometida? ¿Alguna agencia de algún gobierno para espiar globalmente?

Precisamente, la forma de operar es lo que ha llamado la atención a Yago Jesús, experto en seguridad informática. «Meterle mano a un repositorio e instalar malware está a la orden del día. Falta la información de cómo han entrado. Llama la atención de cómo se ha producido la intromisión. Solo han reelado la magnitud del destrozo», lamenta. Respecto al modus operandi, Jesús descarta que se los posibles autores cuenten con una estructura profesional como la de otras ocasiones. «Puede que les faltaba a una visión global de lo que querían hacer y parece que le fata ese punto de profesionalización. Da la impresión que se trate más de una prueba de concepto, pero a la hora de gestionar una estrutura no advierto una motivación económica. Por la foma que han querido orquestar lo que tenían entre manos les ha faltado visión comercial», sugiere.

Tendencia al alza

Los expertos en seguridad informática apuntan a una tendencia al alza; atacar la cadena de suministros de los productos. Es la opinión de Craig Williams, jefe del equipo Talos de Cisco, que en un comunicado asegura: «Los ciberatacantes se están dando cuenta que si encuentran objetivos fáciles, las empresas sin muchos esfuerzos en seguridad, pueden secuestrar a sus clientes y usarlos como su propia base de instalación de malware».

Que CCleaner, que sirve para eliminar basura residual en Windows, haya sido comprada por una compañía antimalware como Avast «es una buena compra», sostiene Martínez. En su opinión, no es la primera ni última vez que se compromete un software que tiene descargas masivas. «La mejor forma de infectar múltiples equipos es hacerlo a partir de una actualización que parece legítima. En muchos casos se ha dado que otros han comprometido el código fuente de determinado software y de partes de un sistema operativo, haciendo que todos aquellos que lo han instalado se han contaminado», sostiene este experto. Para un usuario normal -manifiesta- es casi imposible detectarlo.

«Si yo quiero un montón de gente contaminada, una buena acción es forzar a una actualización que parece inocua dentro de un programa que la gente tiene confianza, incluso descargado desde la página del fabricante. Es una jugada muy buena. Es menos dirigido [que otros ataques] a una persona individual, pero sí a un colectivo que en este caso quiere eliminar actividad informática», añade.

Ese ataque se produce dos meses después de que los ciberdelincuentes utilizaran una vulnerabilidad similar dentro de la cadena de suministro para producir una infección masivamente dañina (NotPetya) a cientos de objetivos enfocados en Ucrania. Ese software, que se hacía pasar por «ransomware», pero algunas teorías apuntan a que se concibió como una herramienta de borrado de dato. Un mes más tarde, investigadores de la empresa de seguridad rusa Kaspersky descubrieron otro ataque a la cadena de suministro al que llamaron «Shadowpad».