Suscriptor digital

Anton Cherepanov, el investigador que descubrió cómo un virus puede dejar sin luz a una ciudad

Un inusual ataque informático en 2016 fue el punto de partida para Anton Cherepanov, el especialista que reveló el funcionamiento del malware industrial Industroyer
Un inusual ataque informático en 2016 fue el punto de partida para Anton Cherepanov, el especialista que reveló el funcionamiento del malware industrial Industroyer
Sebastián Davidovsky
(0)
4 de octubre de 2018  • 00:30

Falta una semana para Navidad y una estación de transmisión eléctrica, al norte de la ciudad de Kiev, se queda sin luz. Una parte de la capital de Ucrania queda a oscuras, durante unas horas. Puede tomarse como un inusual pero sencillo corte del suministro; en realidad, es el efecto de un ataque informático generado con un código malicioso, capaz de meterse en las computadoras de la central eléctrica e interrumpir los sistemas físicos. De hecho, aunque de diferentes maneras, se trata de la segunda vez en dos años que la ciudad se queda sin luz por el mismo motivo.

El año es 2016, y en la historia quedará signado como el impacto de un tipo de malware desconocido hasta entonces por el gran público, enfocado ya no en computadoras o smartphones, sino en industrias, tal como Stuxnet, que usaron Estados Unidos e Israel para afectar las terminales nucleares en Irán, en 2009.

Industroyer fue el nombre que eligieron quienes lo descubrieron, un juego de palabras entre las voces en inglés para destrucción e industria. Alertó a compañías con infraestructura crítica en todo el mundo: de replicarse, podría atacar a otras redes eléctricas. Era capaz de controlar directamente los conmutadores y los interruptores de las subestaciones eléctricas. En definitiva, podía generar un apagón eléctrico y daños en los equipos a partir de un código malicioso.

El descubrimiento

El peculiar malware bautizado como Industroyer fue descubierto por Anton Cherepanov, investigador de la firma de seguridad informática ESET. En pantuflas, medias, bermudas y remera, el especialista recibió a LA NACION en el laboratorio de la compañía localizado en Bratislava, Eslovaquia. Su modestia la acompaña con timidez: a la hora de iniciada la entrevista se pone zapatillas, un gesto que muestra que no está del todo cómodo para recibir a una visita con su look de entrecasa.

Anton Cherepanov, investigador de la firma ESET, detectó que el software malicioso no se comportaba como los virus habituales, ya que podía interactuar con sistemas industriales
Anton Cherepanov, investigador de la firma ESET, detectó que el software malicioso no se comportaba como los virus habituales, ya que podía interactuar con sistemas industriales

El laboratorio recibe más de 300 mil archivos maliciosos diarios. Los más conocidos y permanentes, con sus variantes, llegan allí: distintos tipos de ransomware, que se utiliza para secuestrar los datos de los usuarios y que se liberan una vez se hacen pagos, o los cryptominers, una nueva variante en permanente evolución, que utiliza el poder de cómputo de quienes navegan por diferentes sitios para minar criptomonedas sin que lo sepan. Son apenas algunos de los más conocidos. Al detectar su funcionamiento (y sus variantes) las empresas de seguridad informática los suman a sus bases de datos para prevenir infecciones en sus clientes.

Pero en diciembre de 2016 llegaría una nueva variante mucho más compleja.

¿Cómo encontraron Industroyer, ese nuevo virus informático?

Nosotros analizamos un montón de archivos, que luego comprobamos si pueden hacer daño o no. En ese momento entró uno que nunca habíamos visto. Fue diferente: era algo nuevo. Al principio no entendíamos bien qué era y qué hacía. Este era un malware complejo.

El laboratorio de ESET, que recibe de forma diaria más de 300 mil archivos maliciosos
El laboratorio de ESET, que recibe de forma diaria más de 300 mil archivos maliciosos

¿Qué tenía?

Era distinto. Empezamos a analizarlo mientras consultamos diversas fuentes en Internet. El problema era que las computadoras o los smartphones tienen una manera de funcionamiento muy distinta a una red eléctrica o una infraestructura industrial. Este malware era inusual, porque estaba preparado para "dialogar" con otro tipo de protocolos, que no están presentes en redes hogareñas o corporativas.

Y vos no conocías esos protocolos.

Exacto. Y de hecho casi que no había malware para ese tipo de ataques. Justamente un distribuidor en Ucrania fue el que nos mandó los archivos y nos pidió si por favor podíamos descubrir qué había detrás de esto. Apenas lo vi entendí que tenía que pasar varias semanas e invertí mucho tiempo en esto. Había que hacerlo: este tipo de cosas solo sucede una vez en tu carrera.

Un hacker ético

"Tenemos que lidiar con la fama creada por los cibercriminales rusos. Pero también hay muchas personas y empresas que luchan contra esto", cuenta Cherepanov, que nació en Cheliábinsk, Rusia
"Tenemos que lidiar con la fama creada por los cibercriminales rusos. Pero también hay muchas personas y empresas que luchan contra esto", cuenta Cherepanov, que nació en Cheliábinsk, Rusia

Cherepanov tiene 32 años. Es ruso, de la ciudad de Cheliábinsk, la novena más poblada de ese país. Aprendió sus habilidades en el secundario, como hobbie. Sus padres no tenían ningún tipo de conocimiento de computación. Pero fue él, autodidacta, quien empezó a trabajar en seguridad informática; primero en un sitio de videojuegos; hasta que rindió un examen a distancia y empezó a trabajar en la empresa eslovaca, hace siete años. El año pasado, ganó el premio Pwnie Award a "mejor backdoor" en el Black Hat, uno de los eventos anuales más importantes de seguridad informática, en reconocimiento a otro de sus hits: descubrió cómo cibercriminales habían propagado un virus a través de un software de impuestos, también en Ucrania.

¿Cómo se descubre un ataque informático a pesar de no conocer los lenguajes específicos de una industria como por ejemplo de la distribución eléctrica?

Aprendemos las cosas a pesar de no haberlas visto nunca. Es nuestro trabajo. No importa el tipo de lenguaje. Ahora hay industrias más conectadas a Internet que antes no lo estaban y eso genera potenciales riesgos para todos. Todo es nuevo, pero nosotros podemos aprender.

Vos sos ruso, ¿qué pensás cuando ves o dicen que allí hay muchos cibercriminales?

Bueno, eso es parcialmente verdad. Hay mucha gente que hace ese tipo de actividad. Tenemos que lidiar con eso. Pero también hay muchas personas y empresas que ayudan a luchar contra eso. Creo que es por la enorme comunidad que está conversando sobre estos temas, que sobre todas las cosas habla ruso. Pero hay que aclarar que hablan ruso pero no necesariamente son rusos: por ahí son de Ucrania, Kazajistán, pero no de Rusia. Quizás es que no hay suficiente empleo para las personas que saben mucho de este tipo de cosas y por eso optan por ese tipo de caminos. Es solo una teoría.

Cherepanov vuelve al laboratorio. Antes, anticipa sus próximos pasos en su carrera: "Bueno, eso no depende de mí sino de los cibercriminales. Habrá que estar atento". Se saca las zapatillas. Y regresa a las medias con pantuflas. A su lugar.

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.

Usa gratis la aplicación de LA NACION, ¿Querés descargala?