Cyberwar - ¿Se equivocó el FBI sobre el ciberataque a Sony?

Norse: el hack de Sony Pictures fue perpetrado fuera de Corea del Norte
Por Daniel Villalobos para FayerWayer.

La firma ha detectado a seis individuos que habrían sido los autores de dicho ataque cibernético.

Nuevas noticias sobre el hack a la distribuidora Sony Pictures ponen en duda lo declarado por el FBI hace poco más de una semana cuando se aseguró que Corea del Norte estuvo detrás del ataque.

La firma de seguridad Norse confirma que ha identificado a seis individuos de diferentes países que participaron en el hack a Sony Pictures mediante el cual se obtuvieron y filtraron cientos de miles de documentos relacionados con ejecutivos, actores y empleados de la distribuidora. Estados Unidos, Canadá, Singapur y Tailandia son los países desde los cuales los hackers perpetraron el ataque.

Norse no da por hecho que estas personas formen parte de Guardians of Peace, pero una exempleada de Sony Pictures fue identificada como miembro del grupo de atacantes.

Los investigadores de Norse siguieron una línea bastante simple para dar con lo atacantes. Ellos empezaron su búsqueda con la premisa de que los atacantes pudieran haber estado ligados de una u otra manera con la empresa. Esto los llevó a buscar documentos dentro de las mismas filtraciones que mostraran a personas despedidas este año.

Después de esta indagación, encontraron a esta empleada con "conocimientos técnicos muy avanzados". Se dieron cuenta de que publicó comentarios agresivos en sus propias redes sociales relativos a su despido de la compañía. Además, se encontró que posteriormente se comunicó con otros individuos afiliados con grupos de hackers en Europa y Asia.

La firma compartirá estos hallazgos con el FBI con el fin de ayudar con las investigaciones de oficina de esta agencia norteamericana. / Por Daniel Villalobos para FayerWayer.--

---.---

NORSE, es una firma de seguridad cibernética con sede en la ciudad de San Luis, en el estado de Misuri (EE.UU.) que se especializa en la "inteligencia oscura en vivo".

Visto en YouTube, vía norsecorporation

Notas relacionadas:

• Is the FBI Wrong about North Korea Hacking Sony?. "Kurt Stammberger, SVP for Norse Corp, tells CBS Evening News why we believe North Korea was not behind the massive Sony breach, but was instead most likely orchestrated by a former employee…". Por Anthony M. Freed, para DARKMATTERS,-
• Was FBI wrong on North Korea?. "Cybersecurity experts are questioning the FBI's claim that North Korea is responsible for the hack that crippled Sony Pictures. Kurt Stammberger, a senior vice president with cybersecurity firm Norse, told CBS News his company has data that doubts some of the FBI's findings". Por CBS NEWS.-

Captura de pantalla del mapa de NORSE

Post relacionados:

• Cyberwar - Sobre como funcionó el back office de Sony Pictures tras el ciberataque. 05/01/2015.
• Cyberwar - Apagón de internet en Corea del Norte. 23/12/2014.
• Cyberwar - Sistemas informáticos de operador nuclear de Corea del Sur fueron pirateados. 22/12/2014.
• Cyberwar - Los ataques se vienen incrementando a un ritmo alarmante. 19/12/2014

Impresionante mapa de ciberataques en vivo a escala mundial

Firma de seguridad informática con sede en EE.UU. NORSE, ha lanzado un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo. Por ahí lo han considerado el mapamundi de la guerra cibernética global. El mapa muestra los ataques con detalles en código de colores, incluyendo los países de origen del ataque, los objetivos y la lista de regiones del mundo más activas.

NORSE es una firma de seguridad cibernética con sede en la ciudad de San Luis, en el estado de Misuri (EE.UU.) que se especializa en la "inteligencia oscura en vivo". El mapa interactivo en tiempo real es similar al del Proyecto Honeynet (The Honeynet Project).

Plataforma de inteligencia oscura en vivo de NORSE analiza continuamente el tráfico de red de alto riesgo de darknets de la Internet global y la web profunda, para identificar proactivamente las fuentes, las características y los niveles de riesgo de los ataques cibernéticos.

Captura de pantalla del mapa de NORSE

La verdad es que quedarse a verlo unos minutos realmente impresiona por la gran cantidad de ataques que se registran de manera simultanea. Uno se puede dar una idea de la complejidad vertiginosa de la guerra cibernética en un gráfico, y es más que evidente que se viven tiempos peligrosos.

En el momento de la captura de pantalla, Estados Unidos estaba recibiendo cinco mil ataques de múltiples regiones del mundo, Seattle era la localidad que mayor "impactos" recibía. 1914 ataques a distintos puntos del mundo se realizaban desde China, y 1089 ataques se realizaban desde Estados Unidos a distintos puntos del mundo. Se puede decir que en esos minutos eran lo países con mayor actividad ofensiva y defensiva, y viceversa.

Se aprecia que Estados Unidos, China y el sudeste Asiático son las áreas con mayor actividad, también son notables Europa occidental, Europa oriental y el Medio Oriente.

Cuidado con sus comunicaciones, estamos en ciberguerra

"En algunos ámbitos ya no se duda que por éstos momentos hay miles de crackers que están infiltrándose en páginas de organismos clave, para venderse al mejor postor y realizar, simplemente desde un dispositivo conectado, el mejor ataque cibernético, con el objeto de explotar la posibilidad de cobrar una jugosa cantidad, se trata del cibercrimen como servicio, donde los enemigos ya no son conocidos, no existen en un mapa, no son naciones, son individuos involucrados en oscuros propósitos que en algunos casos podrían estar relacionados con esquemas gubernamentales".

Con éste párrafo inicie en Septiembre de 2013 un post titulado "Rumor de ciberguerra". Para no pocos, desde el año pasado ha dejado de ser un rumor, es algo real, los expertos en el tema señalan que las agresiones entre países son continuas en todo el mundo, sin códigos éticos ni regulación internacional.

Captura de pantalla del mapa de NORSE. La firma de seguridad informática con sede en EE.UU. NORSE, lanzo el año pasado un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo.

Aunque OTAN propuso un marco legal que regule la guerra en internet, para asegurarse que el Derecho Internacional también se aplique en el ciberespacio, no queda claro si se ha logrado avanzar en esa línea. Lo cierto es que tras las acciones en Ucrania y la crisis de las armas químicas en Siria, para julio de 2014 un 18% del sector Gobierno y Defensa fue ciberatacado en doce meses.

A mediados de éste año 2015 los datos de cuatro millones de empleados de la Administración Federal de los Estados Unidos fueron robados durante un ciberataque contra la OPM, la agencia que gestiona la información personal de los empleados federales en Estados Unidos. Fue uno de los resonantes casos, no fue el único.

Sorprende la sorpresa del ciberataque a DynDNS

En la mañana del viernes amanecían caídos t/o con importantes dificultades multiples servicios como WhatsApp, Twitter, Spotify, Netflix, Airbnb, GitHub, PayPal, Reddit, SoundCloud, Etsy, Okta, y websites como The New York Times, The Verge, Fox Nes, WSJ, Wired.com o Time. Se estaba produciendo un ataque DDoS que tenía como objetivo "tumbar" DynDNS (Dynamic Network Services, Inc.), una compañía de Internet de los Estados Unidos, dedicada a soluciones de DNS en direcciones IP dinámicas.

El ataque fue exitoso, sobrepasó la capacidad operativa de Dyn y lo llevó a suspender su servicio en varias oportunidades ese día. Algunos titulares de noticias señalaron que fue mayor ataque ciberterrorista en una década. Recordemos un dato importante, en 2007 Estonia sufrió lo que se ha señalado la primera ciberguerra. Y desde entonces, en cada conflicto ese tipo de enfrentamiento vino escalando.

Captura de pantalla del mapa de NORSE. La firma de seguridad informática con sede en EE.UU. NORSE, lanzo el año pasado un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo

Tras el ciberataque a Dyn, expertos en seguridad informática opinaron que ésta acción no fue producto de improvisados, se está considerando la posibilidad que detrás del "sabotaje" podría haber reunido un ejército de ciberterroristas.

Según las primeras investigaciones de Dyn, se apunta a que el ataque provino de dispositivos conocidos como 'Internet of Things' (interconexión digital de objetos cotidianos con Internet), tales como DVR, impresoras y otros aparatos conectados a la Red.

Los datos de Dyn señalan que el ataque se libró desde dispositivos infectados con un código malicioso (malware) que se publicó en la web en las últimas semanas.

De momento, el grupo New World Hackers, distribuidos en Rusia y China, y el grupo Anonymous se han atribuido la responsabilidad del ciberataque. Sin embargo, el Gobierno estadounidense asegura que sigue investigando lo sucedido.

Los expertos señalan hoy que lo único claro es que se trató de un ataque masivo dirigido a una de las infraestructuras críticas que sustentan a Internet, y fue llevado a cabo gracias a las vulnerabilidades de dispositivos del IoT, como afirmaba la propia Dyn.

Sobre los ciberataques a la Casa Blanca y a las empresas estadounidenses

Recientemente, según una nota del diario The Washington Post, ciberatacantes accedieron a la red EOP (Executive Office of the President), utilizada por personal de la oficina ejecutiva del presidente de Estados Unidos y con la que se maneja información no clasificada.

Según el diario The Washington Post, el ataque encaja con el tipo de acciones promovidas por algunos estados y Rusia es uno de los que presenta una amenaza más probable.

Rusia, ¿detrás de los ataques cibernéticos a Estados Unidos?
Por José Pagliery para CNN

NUEVA YORK (CNNExpansión) — Es fácil decir que los rusos están hackeando a la Casa Blanca y a las principales empresas estadounidenses. Es más difícil demostrarlo.

Cuando las empresas de seguridad cibernética y los funcionarios de Estados Unidos atribuyen los ataques al Gobierno de Rusia -o a hackers independientes que operan con la aprobación del Kremlin- la evidencia típica que utilizan es bastante circunstancial: un virus informático fue escrito en ruso, fue creado durante horas laborales de Moscú contra objeivos antirrusos.

Pero el mundo digital no es como el físico. La evidencia física rara vez existe.

Los hackers permanecen anónimos enmascarando su ubicación, rebotando sus señales de computadora alrededor del mundo. Los hackers que hablan un idioma pueden escribir código malicioso en otro. Y habitualmente trabajan en horas irregulares de todos modos.

“Son solamente indicadores. Nunca se sabe a ciencia cierta”, dijo Rick Howard, director de seguridad de la firma de seguridad cibernética Palo Alto Networks. “No habrá una prueba irrefutable".

Sin embargo, Rusia fue culpado recientemente de hackear a JPMorgan, de atacar empresas de petróleo y gas, y de colocar una “bomba digital” en el Nasdaq.

C. Thomas, un hacker de toda la vida conocido como 'Rogue Space' quien ha testificado ante el Congreso sobre la seguridad informática, advierte en contra de llegar a conclusiones inquebrantables.

“La atribución es casi imposible de hacer”, dijo. “Cualquier cosa puede ser falsificada. Las personas que hacen estas cosas para ganarse la vida -y cuyas vidas dependen de ello- falsificarán esas cosas”.

Por ejemplo, ciberespías estadounidenses, británicos, franceses, israelíes y rusos han sido conocidos por dejar señuelos que hacen que los ataques parezcan provenir de otro lugar, de acuerdo con varios expertos en seguridad cibernética con experiencia militar relacionada. Solamente los hackers chinos tienen la reputación de ser obvios de manera descuidada. El director del FBI James Comey recientemente comparó a los hackers chinos con un “ladrón borracho”.

Incluso la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) tiene dificultades para identificar a los atacantes. Por ejemplo, el presidente Barack Obama no obtuvo respuestas por parte de los principales asesores de inteligencia cuando preguntó quién hackeó a JPMorgan, de acuerdo con The New York Times.

Entonces, ¿cómo saber quién realiza los ataques cibernéticos? Se requiere de forenses muy cuidadosos.

Identificar a los arquitectos

Los ataques cibernéticos utilizan el software como un arma. Es construido pieza por pieza, como una bomba. Y al igual que la escena del crimen, los analistas de seguridad separan fragmentos para desenmascarar a los fabricantes.

El truco promedio se basa en gran medida en herramientas “off-the-shelf” que están comúnmente disponibles en los rincones más oscuros de Internet, según los analistas. Pero introducirte en una red informática en particular requiere de algunas herramientas personalizadas. Los grupos de hackers tienden a tener un estilo particular al crear sumalware, el cual los identifica.

Considerar el momento del ataque

Poco después de que Estados Unidos impuso sanciones a Rusia por su agresión en Ucrania, los bancos estadounidenses y europeos fueron golpeados por una ola sin precedentes de ataques cibernéticos.

La firma de ciberseguridad Trend Micro, que supervisa una red de detección inteligente de casi 110 millones de dispositivos, vio su red encenderse como pólvora el 24 de julio.

“Hubo una oleada de cientos de miles de ataques que sólo estuvieron dirigidos contra instituciones financieras”, dijo Tom Kellerman, jefe de ciberseguridad de Trend Micro. “Y no sólo por uno o dos equipos de hackers, sino por docenas de ellos”.

Analizar las víctimas

Los amigos no atacan a los amigos.

Por ejemplo, Kellerman dijo: “Los hackers chinos no hackean a los bancos. Los chinos poseen el sector financiero. No hackeas bancos de tu propiedad. No tiene sentido geopolítico...”.

En otro caso, que involucró al grupo de hackers 'SandWorm Team', identificado por la firma de inteligencia iSight Partners, los objetivos incluyeron al Gobierno de Ucrania y a un académico estadounidense que realizaba consultorías sobre el conflicto de Ucrania. El denominador común: todos eran considerados hostiles a Rusia.

El cebo utilizado para hackearlos importa demasiado. Los empleados del Gobierno de Ucrania fueron atraídos para descargar un PowerPoint que afirmaba ser una lista de separatistas prorrusos.

Seguir tu instinto

Sin embargo, al final, culpar a Rusia por un ataque cibernético es hacer una apuesta: Nadie iría tan lejos como para crear un señuelo tan convincente. La explicación más simple es la más probable, dijo Dave Aitel del proveedor de software de seguridad Immunity.

Por lo tanto, siempre es una suposición -una muy buena conjetura- pero sigue siendo una conjetura. / Por José Pagliery para CNN.--

---.---

Captura de pantalla del mapa de NORSE

La firma de seguridad informática con sede en EE.UU. NORSE, lanzò un mapa animado en tiempo real que ilustra los ataques cibernéticos en curso en todo el mundo. En el momento de la captura de pantalla, Estados Unidos estaba recibiendo cinco mil ataques de múltiples regiones del mundo.

Ciberseguridad - Muy peligrosa tendencia

Los ciberataques como arma política: cuatro ejemplos
Por Manuela Astasio, publicado por PCWorld es.

Los procesos electorales se han convertido en temporada alta de ciberataques internacionales. Aunque muchos rechacen hablar de ciberguerra, hay guerras que se libran con ciberarmas.

Imagen de Archivo: ataques cibernéticos en curso en todo el mundo
Captura de pantalla del mapa de NORSE

La palabra ciberguerra todavía provoca un rechazo que, casi siempre, va unido a la incredulidad. Sin embargo, aunque no exista una ciberguerra mundial explícitamente declarada, sí hay guerras entre determinados países que ya se libran con ciberarmas, en las que está en juego el control de información y objetivos muy concretos.

Trump y Rusia

La evidencia está en titulares tan recientes como los que todavía persiguen al flamante presidente de Estados Unidos, Donald Trump, que lo relacionan con ciberataques a los archivos del rival Partido Demócrata perpetrados por cibermercenarios rusos. Más allá de la guerra sucia entre Trump y Hillary Clinton, en la que la filtración de correos electrónicos privados ha desempeñado un papel crucial, medios como The Washington Post y The New York Times han sugerido en varias ocasiones a lo largo de los últimos meses que el gobierno de Putin podría haber ‘ayudado’ al republicano en su carrera hacia la Casa Blanca mediante el hackeo de correos electrónicos del Partido Demócrata. Pese a que no ha habido resultados concluyentes, las investigaciones señalan que los emails y documentos filtrados pasaron por ordenadores ubicados en Rusia, donde también se sitúan ataques a la Casa Blanca y el Departamento de Estado perpetrados durante la última legislatura de Obama.

Holanda, en analógico por precaución

Fue precisamente esa noticia la que hizo que las autoridades holandesas se decidieran por el recuento manual en lugar del electrónico en las últimas elecciones legislativas, celebradas en el país el pasado 15 de marzo. La presencia entre los candidatos del ultraderechista Geert Wilders, empatado en las encuestas previas a los comicios con el partido gobernante y  la alargada sombra que Putin proyecta últimamente sobre la política internacional llevaron a Holanda a renunciar a la tecnología por miedo a un ciberataque que torciera el curso de los acontecimientos. Finalmente, los votos, contados a mano, dieron la continuidad en el gobierno al liberal de derechas Mark Rutte.

Erdogan y Occidente

Casi en la misma fecha, miles de cuentas de Twitter sufrieron un ciberataque con mensajes en apoyo del presidente turco, Recep Tayyip Erdogan, muy cuestionado en algunos sectores occidentales por, entre otros motivos, sus restricciones a la libertad de expresión. Entre los perfiles atacados se encuentra el de medios de comunicación como Forbes y BBC América, y organizaciones como Amnistía Internacional, muchos de ellos con decenas de followers. En España, el periódico La Razón fue uno de los afectados. Un pequeño golpe de efecto con muchísimo impacto en un momento en el que está próximo el referéndum en el que los ciudadanos turcos tendrán que decidir si se cambia la constitución para que Erdogan pueda mantenerse en el poder hasta 2029.

Corea del Norte y Sony Pictures

Pero quizá haya que remontarse un poco más en el tiempo para recuperar el incidente que hizo que la palabra ciberguerra empezase a sonar con la fuerza actual. Un poco antes de Navidad de 2014 la compañía Sony Pictures denunció un ciberataque masivo en el que le fueron sustraídos todo tipo de archivos de carácter confidencial, desde películas sin estrenar hasta emails de empleados con observaciones sobre figuras del star system, pasando por tablas de Excel con salarios. Los atacantes fueron desvelando poco a poco el contenido de su botín mientras indicaban a la empresa cuál era el precio del rescate: que se cancelase el estreno de La entrevista, una comedia en la que dos periodistas viajan a Corea del Norte con la misión de asesinar al líder Kim Jong-Un. Corea del Norte negó toda participación en el incidente, pero éste se convirtió en un asunto de seguridad nacional para la Casa Blanca, que incluso estuvo planteándose devolver al país asiático a su listado de estados terroristas. Pese a que el entonces presidente Obama trató de apaciguar los ánimos negándose a calificar de ciberguerra lo que definía como “un acto vandálico”, cierto pánico cundió cuando los ciberatacantes extendieron sus amenazas a las salas que iban a proyectar la película en su estreno. Finalmente, La entrevista se proyectó en un número reducido de cines y se estrenó también en streaming, obteniendo una repercusión mucho mayor de la que sus creadores jamás hubieran soñado.

Una táctica que no es nueva

El uso geoestratégico de las ciberarmas puede remontarse todavía varios años más. En 2010, por ejemplo, fue descubierto el gusano Stuxnet, un prototipo de malware que fue rápidamente catalogado como un arma cibernética. Su especial incidencia en ordenadores ubicados en Irán llevó muy pronto a la conclusión de que se trataba de un gusano diseñado para espiar y reprogramar sistemas industriales. Fue en el mismo año cuando saltó a la luz pública la conocida como Operación Aurora, en la que un exploit oculto en archivos PDF consiguió robar toneladas de información de grandes compañías como Google, una de las pocas que se decidió a denunciar públicamente el problema. El gigante de Internet siempre señaló que el origen del ataque se encontraba en China, y varios expertos en seguridad aseguraron que, además de robar información de propiedad intelectual, el móvil del crimen fue el de sustraer cuentas de Gmail a activistas que luchan por los derechos humanos en China. / Por Manuela Astasio, publicado por PCWorld es.--

Consulta: Me parece que es más que una "sensación" el que las democracias están en riesgo.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________ Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Hay que entender que esto es, en realidad, una ciberguerra

El ciberataque para el que nadie está protegido.
Por Nicole Perlroth, publicado por The New York Times.

NEWARK, Nueva Jersey — En los últimos meses, Golan Ben-Oni ha sentido que grita hacia el vacío. El 29 de abril alguien atacó a su empleador, IDT Corporation, con dos ciberarmas que le fueron robadas a la Agencia de Seguridad Nacional (NSA, por su sigla en inglés).

Imagen de Archivo: ataques cibernéticos en curso en todo el mundo
Captura de pantalla del mapa de NORSE

Ben-Oni, el director de información global del IDT, pudo repelerlas pero el ataque lo dejó consternado. En 22 años de lidiar con hackers de todo tipo, nunca había visto nada parecido. ¿Quién estaba detrás de eso? ¿Cómo pudieron evadir todas sus defensas? ¿Cuántos más habían sido atacados pero no estaban conscientes de eso?

Desde entonces, Ben-Oni ha expresado su preocupación llamando a cualquiera que lo escuche en la Casa Blanca, el Buró Federal de Investigación (FBI, por su sigla en inglés) y las compañías más importantes de ciberseguridad para advertirles sobre un ataque que aún podría estar dañando invisiblemente a víctimas por todo el mundo.

Dos semanas después de lo sucedido en IDT, el ciberataque conocido como WannaCry causó estragos en hospitales de Inglaterra, universidades de China, sistemas ferroviarios de Alemania e incluso plantas automotrices de Japón. Sin duda fue muy destructivo.

Sin embargo, lo que Ben-Oni atestiguó fue mucho peor y, con todas las miradas puestas en la destrucción causada por WannaCry, pocas personas se han fijado en el ataque contra los sistemas de IDT… y otros similares que seguramente se han producido en otros lugares.

El ataque a IDT, un conglomerado cuyas oficinas centrales tienen una gran vista del horizonte de Manhattan, fue similar a WannaCry en un sentido: los hackers encriptaron los datos de IDT y exigieron un rescate para desbloquearlos. No obstante, la exigencia del rescate solo fue una cortina de humo para ocultar un ataque mucho más invasivo que se robó las credenciales de los empleados.

Con esas credenciales, los hackers podrían haber circulado libremente por la red informática de la empresa, llevándose información confidencial o destruyendo los equipos.

Lo peor es que el ataque, que nunca antes se había reportado, no fue detectado por algunos de los productos de ciberseguridad líderes en Estados Unidos ni por los principales ingenieros de seguridad de las compañías tecnológicas más grandes ni por los analistas gubernamentales de inteligencia.

Si no hubiera sido por una caja negra digital que grabó todo lo que sucedió en la red de IDT, y por la tenacidad de Ben-Oni, el ataque pudo haber pasado inadvertido. Los escaneos realizados a las dos herramientas usadas en contra de IDT indican que la empresa no está sola. De hecho, las mismas armas de la NSA tuvieron acceso ilegal a decenas de miles de sistemas de cómputo en todo el mundo.

Ben-Obi y otros investigadores de seguridad temen que muchas de esas computadoras infectadas estén conectadas a redes de transporte, hospitales, plantas de tratamiento de agua y otros servicios. Un ataque a esas redes, advierte el experto en informática, podría poner en riesgo muchas vidas.

“El mundo está escandalizado con WannaCry, pero esto es una bomba nuclear en comparación con WannaCry”, dijo Ben-Oni. “Esto es distinto. Es mucho peor. Se roba las credenciales. No puedes atraparlo y está sucediendo frente a nuestros ojos”. Y añadió: “El mundo no está preparado para esto”.

Ataque al centro neural

En IDT, Ben-Oni se ha topado con cientos de miles de hackers de todo tipo de causas y niveles de habilidad. Según calcula, los negocios que trabajan con IDT experimentan cientos de ataques al día, pero quizá solo cuatro incidentes le preocupan cada año.

Sin embargo, ninguno se compara con el ataque sufrido en abril. Al igual que el ataque WannaCry de mayo, el realizado contra IDT fue hecho con ciberarmas desarrolladas por la NSA que fueron filtradas en línea por un misterioso grupo que se hace llamar Shadow Brokers, que se piensa que está integrado por ciberdelincuentes respaldados por Rusia, un infiltrado en la NSA o por ambos.

El ataque con WannaCry —que tanto la NSA como los investigadores de seguridad han vinculado a Corea del Norte— usó una ciberarma de la NSA; el ataque a IDT usó dos.

Tanto en WannaCry, como en el incidente de IDT utilizaron una herramienta de hackeo que la agencia llamó EternalBlue. Esa aplicación se aprovechó de los servidores de Microsoft que no tenían las actualizaciones de seguridad para propagar automáticamente el programa malicioso de un servidor a otro, de tal manera que en 24 horas los hackers ya habían contagiado su ransomware a más de 200.000 servidores en todo el planeta.

El ataque a IDT fue un paso más allá: usó otra ciberarma robada a la NSA llamada DoublePulsar. La NSA la desarrolló para infiltrarse en sistemas informáticos sin activar las alarmas de seguridad. Eso permitió que los espías de la NSA pudieran inyectar sus herramientas al centro neural del sistema informático de un objetivo, llamado kernel o núcleo, que gestiona la comunicación entre el hardware y el software de una computadora.

En el orden jerárquico de un sistema de cómputo, el núcleo está en la cima, por lo que permite que cualquiera que tenga acceso secreto a él pueda tomar el control total de un equipo. También es un peligroso punto ciego para la mayor parte del software de seguridad, pues permite a los atacantes hacer lo que quieran sin ser detectados.

Luego los hackers activaron el programa de secuestro (ransomware) como una pantalla para cubrir su motivo real: un acceso más amplio a los negocios de IDT. Ben-Oni se enteró del ataque cuando una contratista, que trabajaba desde casa, prendió su computadora y se dio cuenta de que todos sus datos estaban encriptados y los atacantes exigían un rescate para desbloquearlos. Ben-Oni pudo haber supuesto que se trataba de un simple caso de programa de secuestro.