Los espías de China utilizaron un código desarrollado en primer lugar por la Agencia de Seguridad Nacional de EE.UU. para apoyar sus operaciones de piratería informática, según afirmaron investigadores israelíes el lunes, otro indicio de cómo el software malicioso desarrollado por los gobiernos puede volverse en contra de sus creadores.
Check Point Software Technologies, con sede en Tel Aviv, emitió un informe en el que señala que algunas características de una pieza de malware vinculada a China que apoda “Jian” eran tan similares que solo podrían haber sido robadas de algunas de las herramientas de intrusión de la Agencia de Seguridad Nacional filtradas en Internet en 2017.
Yaniv Balmas, jefe de investigación de Checkpoint, llamó a Jian “una especie de imitación, una réplica china”.
El hallazgo se produce cuando algunos expertos sostienen que los espías estadounidenses deberían dedicar más energía a arreglar los fallos que encuentran en el software en lugar de desarrollar y desplegar software malicioso para explotarlo.
La NSA declinó hacer comentarios. La embajada china en Washington no respondió a las solicitudes de comentarios.
Una persona familiarizada con el asunto dijo que Lockheed Martin -a quien se le atribuye haber identificado la vulnerabilidad explotada por Jian en 2017- la descubrió en la red de un tercero no identificado.
En un comunicado, Lockheed dijo que “evalúa rutinariamente el software y las tecnologías de terceros para identificar vulnerabilidades”.
Países de todo el mundo desarrollan malware que irrumpe en los dispositivos de sus rivales aprovechando fallos en el software que los ejecuta.
Cada vez que los espías descubren un nuevo fallo deben decidir si lo explotan silenciosamente o arreglan el problema para frustrar a los rivales y a los pícaros.
Ese dilema saltó a la luz pública entre 2016 y 2017, cuando un misterioso grupo que se autodenomina “Shadow Brokers” publicó en Internet algunos de los códigos más peligrosos de la NSA, lo que permitió a los ciberdelincuentes y a las naciones rivales añadir a sus propios arsenales herramientas de intrusión digital de fabricación estadounidense.
No está claro cómo se utilizó el malware de Jian analizado por Checkpoint.
En un aviso publicado en 2017, Microsoft sugirió que estaba vinculado a una entidad china a la que apoda “Zirconium”, que el año pasado fue acusada de dirigirse a organizaciones y personas relacionadas con las elecciones de Estados Unidos, incluidas personas asociadas a la campaña del presidente Joe Biden.
Checkpoint dice que Jian parece haber sido elaborado en 2014, al menos dos años antes de que los Shadow Brokers hicieran su debut público.
Eso, junto con la investigación publicada en 2019 por la firma de ciberseguridad Symantec, propiedad de Broadcom Inc, sobre un incidente similar, sugiere que la NSA ha perdido repetidamente el control de su propio malware a lo largo de los años.
La investigación de Checkpoint es exhaustiva y “parece legítima”, dijo Costin Raiu, un investigador de la firma antivirus con sede en Moscú Kaspersky Lab, que ha ayudado a diseccionar algunos de los programas maliciosos de la NSA.
Balmas dijo que una posible consecuencia del informe de su empresa es que los responsables del espionaje que sopesan mantener en secreto los fallos del software se lo piensen dos veces antes de utilizar una vulnerabilidad para sus propios fines.
“Quizá sea más importante parchear esta cosa y salvar el mundo”, dijo Balmas. “Podría ser utilizado en tu contra”.