Investigación interna de Sony vincula ataque informático a un ex empleado de la compañía

Desde que el sistema informático de Sony fue hackeado a fines de noviembre, una de las teorías barajadas por los investigadores era la existencia de un "topo", un empleado o ex empleado con acceso a información sensible que podría haber filtrado los documentos de la multinacional japonesa.

En los días posteriores al ataque, sin embargo, las autoridades estadounidenses se apresuraron a apuntar sus dardos contra Corea del Norte, en parte, porque es un eterno sospechoso de Washington, y también, por las demandas de los hackers de que Sony suspendiera el estreno de la comedia The Interview, sobre un complot para asesinar al gobernante norcoreano, Kim Jong Un.

Sin embargo, la investigación interna ha reafirmado la tesis de una acción interna, tras concluir que al menos un ex empleado de Sony habría colaborado con los hackers para planificar el ciberataque a la filial de cine y televisión.

Norse, una firma privada de servicios de ciberseguridad a las empresas, redujo la lista de sospechosos a un grupo de seis personas. Entre ellos está al menos un veterano de Sony con los antecedentes técnicos necesarios para ejecutar el ataque, explicó a Bloomberg Kurt Stammberger, vicepresidente de Norse.

Para cerrar el círculo de sospechosos, Norse cruzó los documentos de recursos humanos filtrados con datos de las comunicaciones mantenidas en chats y los datos recogidos en su red diseñada para rastrear la actividad del software malicioso.

Versión oficial en duda

Estos hallazgos cuestionan la afirmación del gobierno de que el objetivo del ataque era detener el estreno de la película. Según el FBI, había suficiente evidencia para vincular el hackeo al régimen comunista, lo que llevó al presidente Obama a prometer represalias. "El anuncio del FBI, pocos días después de que el ataque se hiciera público, desconcertó a la comunidad porque es difícil hacer ese tipo de atribución tan rápido, es casi inaudito", aseguró Stammberger. "Todas las pistas que teníamos con alguna conexión a Corea resultaron un callejón sin salida".

El informe de Norse, entregado al FBI esta semana, apunta a que el ataque se habría ejecutado gracias a la colaboración de uno o varios empleados, que salieron de la compañía en una reestructuración en mayo, con hackers involucrados en la distribución de películas que han sido perseguidos por Sony, pudiendo estar vinculado a una organización conocida como DarkSeoul.

Información privilegiada

El virus que infectó los computadores de Sony fue codificado en coreano y es similar al utilizado contra bancos y medios de comunicación surcoreanos en 2013, pero los expertos consideran que no son datos suficientes para ligar la acción a Corea del Norte ya que el software malicioso está disponible en el mercado negro y se puede ejecutar sin un alto nivel técnico. Pero este software fue modificado específicamente para atacar a Sony.

"Este malware utilizó direcciones de servidores específicos, usuarios, contraseñas y credenciales. Una señal muy potente de que hay información privilegiada involucrada", dice Stammberger.

Ciberataques de 2014
Heartbleed A principios de año, se detectó un grave error en el software de encriptación Open SSL que comprometió la seguridad de dos tercios de las páginas web existentes desde 2012.
Ebay Los hackers robaron 145 mil contraseñas de usuarios de la plataforma de comercio electrónico, uno de los mayores ataques de este tipo por cantidad de datos.
iCloud El ataque filtró cientos de fotografías de actrices desde la nube de Apple.
Gmail En septiembre, Google informó de la filtración de 5 millones de contraseñas de su servicio de correo.
Home Depot El gigante estadounidense del mejoramiento para la vivienda sufrió en septiembre un ataque a su sistema de pagos que comprometió 56 millones de tarjetas.
JPMorgan El ataque comprometió 76 millones de cuentas de personas físicas y 7 millones de empresas. La brecha ha provocado que el banco duplique su inversión en seguridad.

Las empresas quieren contraatacar a los hackers

La incómoda vulnerabilidad de los sistemas revelada con ataques como el realizado a la multinacional japonesa Sony ha hecho que muchas empresas muestren su interés por devolver el ataque a aquellos que vulneran sus redes.

Según expertos en seguridad, el hecho de que las autoridades públicas muestren escaso apetito por intervenir a medida que los bancos, retailers, compañías de servicios básicos y fábricas son señalados como objetivos para hackers radicados en el extranjero, hace que las empresas radicadas en EEUU tengan pocas opciones llegando a decidir contraatacar por su cuenta movidos por la frustración.

Hackear al hacker

En esta situación, las empresas buscan la forma de empujar los límites legales para revertir el daño de un ataque. En EEUU, las empresas tienen prohibido acceder o sobrecargar computadores aunque sea para detener un ataque entrante. La ley exime a las fuerzas de seguridad y al Departamento de Inteligencia para permitir que el gobierno responda de forma más agresiva que los privados.

Pero hay pistas de que agencias militares y de inteligencia han utilizado sus herramientas para contener ataques sobre empresas y parece que la policía da más margen a las empresas de seguridad para realizar estas acciones y reunir información sobre los hackers. Algunas compañías reclutan a firmas de ciberseguridad para conocer las opciones posibles para interrumpir las operaciones de los piratas o para entrar en redes extranjeras y encontrar la propiedad intelectual que les ha sido robada. JPMorgan se planteó este tipo de acciones tras la oleada de ataques atribuidos a Irán en 2012, aunque un portavoz del banco dijo que no se realizó ninguna acción.

El congresista Michael McCaul, presidente del comité de Seguridad Nacional, explicó que la situación se parece al "Lejano Oeste", con empresas realizando sus propias operaciones ofensivas "sin el permiso" del gobierno federal. El FBI ya está investigando si alguna empresa ha violado las leyes anti-hacking.
Los contraataques son una parte pequeña de la industria de la ciberseguridad, pero Gartner estima que superará los US$ 78 mil millones en ingresos durante 2015.