Ya la existencia de Teamviewer en nuestras redes era difícil de tragar para quienes trabajamos en ciberseguridad, cuánto más lo será ahora que la empresa reconoce que fueron hackeados.
En una nota publicada en la revista Der Spiegel la empresa reconoce que en el año 2016 fue inflitrada por grupos de hackers probablemente chinos.
La noticia fría, reza que Teamviewer fue ciberatacada en 2016 pero que no se informó del incidente en ese momento, ya que ellos consideraban que no se comprometieron datos de los usuarios. También es cierto que para esa fecha, no estaba todavía en vigencia la GDPR a través de la cual, hubiesen estado obligados a informar el incidente.Como bien se sabe, Teamviewer produce el software homónimo cuyo propósito es el de RDT (Remote Desktop Tool = Herramienta de Escritorio Remoto), que nos permite trabajar en nuestra máquina, desde nuestras casas, como si estuviésemos sentados en nuestro escritorio.
Un dato técnico de importancia es que, según informan los responsables de Temviewer, sus sistemas fueron infectados con el malware Winnti, un troyano tan, pero tan elaborado que se lo considera APT (Advanced Persistent Threat = Amenaza Avanzada Persistente).
Si bien el malware, parece haber nacido en 2010, viene creciendo, desarrollándose y madurando. Esa maduración le permitió saltar de la irresistible plataforma Windows, a Linux. Esto sucedió en el 2015, cuando infectó los sistemas de una empresa de videojuegos. Los grupos que parecen estar detrás de este malware serían los APT10 o APT17. Como se puede ver en las referencias, ambos grupos han sido relacionados con el estado chino.
Ok, ahora ¿cuál la diferencia entre RDTs (Remote Desktop Tools) y RATs (Remote Access Tools -o Trojans-)? Todos tenemos terror a los RATs, pero dejamos que existan los RDTs que nos piden instalar los usuarios, no? Bueno, les cuento que la diferencia es sólo semántica. Todas son herramientas que le dan acceso remoto total a un equipo desde el exterior, para un usuario… o para un intruso. Temviewer entonces, ¿es un RDT… o un RAT? Que un usuario instale y utilice por su cuenta, sin control del administrador, una herramienta como estas, compromete seriamente la seguridad de la red, por lo que realmente no hay diferencias. Es una herramienta tan poderosa como peligrosa.
En algunos sectores, como el de salud, se reconoce que la principal amenaza hoy en día ya no es el ransomware, sino los túneles que abren los intrusos por https para pasar inadvertidos. ¿Y si son los usuarios los que instalan túneles por https sin control de los administradores? ¿Y si además, el software utilizado fue “mejorado” inadvertidamente por alguno de los grupos de APT que mencionamos anteriormente, cuando estuvieron de “visita” en los servidores de Teamviewer en 2016?
Casualmente, en ese momento, muchos usuarios reportaron que sus computadoras (con Teamviewer instalado y activo) fueron accedidas por hackers que intentaron robar dinero de sus cuentas de PayPal o comprar productos desde sus cuentas de eBay. Los responsables de Teamviewer declararon en su momento, que no hubo ninguna intrusión, y que los incidentes fueron producidos porque los atacantes le robaron sus contraseñas a los usuarios. Como la culpa es siempre de los usuarios, esto no pasó a mayores.
Pero Les Luthiers responderían a esto… “Carámba! qué coincidencia…!”
Nota por Carlos Benitez