Google bloquea un ataque que en realidad era una operación antiterrorista

Los investigadores de seguridad revelan periódicamente vulnerabilidades de software que los atacantes pueden explotar, o que han explotado en el pasado.

Para cuando se publica la información sobre los ataques, las empresas cuyo código ha sido vulnerado notrmalmente ya han publicado los parches que solucionan el problema.

Google dirige un equipo de seguridad llamado Project Zero que analiza todo tipo de sistemas operativos y productos en busca de vulnerabilidades.

Desde enero, el equipo ha realizado una investigación en la que ha encontrado 11 vulnerabilidades de día cero que se ha utilizado para comprometer dispositivos Android, iPhone y Windows.

Los investigadores de Project Zero han destacado la sofisticación de estos ataques, que utilizaban vulnerabilidades hasta entonces desconocidas en el código de Chrome y Safari.

Sin embargo, a diferencia de otras ocasiones, los atacantes no eran ciberdelincuentes sino que pertenecían a un gobierno. Formaban parte de una operación antiterrorista iniciada por un país occidental, y la operación estaba en curso cuando Project Zero empezó a dar a conocer las vulnerabilidades de software.

Siempre que hay atacantes de países rivales de Estados Unidos, los investigadores suelen decir si los ataques se han originado en China, Corea del Norte o Rusia. Pero en este caso, Project Zero de Google no señaló el origen de estos ataques de día cero, lo que despertó ciertas sospechas sobre quién podría estar detrás de este ataque entre la comunidad técnica.

Al parecer, la decisión de bloquear el ciberataque de un país occidental causó cierta controversia dentro de Google, según explica MIT Technology Review.

No está claro qué gobierno occidental había empleado el sofisticado ataque ni qué tipo de operación antiterrorista estaban llevando a cabo. El informe indica que Google podría haber omitido la identidad de los atacantes intencionadamente. Tampoco está claro si Google contactó con los atacantes antes de revelar públicamente las vulnerabilidades de día cero.

Algunos empleados de Google defienden que las operaciones antiterroristas deberían estar excluidas cuando se trata de divulgar la información de vulnerabilidades de manera pública. Otros afirman que Google está en su derecho de proteger los productos de la empresa de ataques que pudieran perjudicar a los usuarios finales.

Google defendió sus acciones en un comunicado:

Project Zero o se dedica a encontrar y parchear vulnerabilidades de día cero, y a publicar investigaciones técnicas diseñadas para avanzar en la comprensión de nuevas vulnerabilidades de seguridad y técnicas de explotación en toda la comunidad investigadora.

Creemos que compartir esta investigación conduce a mejores estrategias defensivas y aumenta la seguridad para todos. No realizamos atribuciones como parte de esta investigación.

Los atacantes utilizaron técnicas nunca antes vistas para infectar sitios web desconocidos con malware y entregarlos a objetivos que utilizaban Chrome y Safari en dispositivos Android, iPhone y Windows.

Los atacantes explotaron las 11 vulnerabilidades en sólo nueve meses, desde febrero de 2020. El nivel de sofisticación y la velocidad del ataque es lo que preocupó a los investigadores.

No está claro hasta qué punto la operación antiterrorista podría haberse visto perjudicada, y ese es el tipo de información que probablemente nunca se hará pública. El lado positivo de estas revelaciones es que los ataques tenían como objetivo grupos específicos de personas, lo que significa que la mayoría de los usuarios de Android, iPhone y Windows no deberían verse afectados.