La Llama

Los laboratorios Kaspersky, especialidados en seguridad informática, consideran que “la Llama” (the Flame) es el arma cibernética mas sofisticada desplegada hasta el momento. Este gusano ha infectado cientos de ordenadores en Oriente medio durante los últimos años. Tiene la capacidad de robar datos, grabar conversaciones y capturar el contenido de la pantalla. Su complejidad y sofisticación apunta a que su autoría podría corresponder a los servicios de inteligencia de algún estado.  

La llama es en realidad una caja de herramientas tipo troyano que abre una puerta trasera de acceso al ordenador y al mismo tiempo se propaga a través de las redes locales a las que se conecta el ordenador infectado. Entre sus habilidades se encuentran el acceso al tráfico de red, la copia de la información mostrada en pantalla, la grabación de las conversaciones de audio y de las teclas pulsadas y la modificación de acceso a dispositivos bluetooth. Tiene la capacidad de actualizarse cargando módulos adicionales para añadir funcionalidad. La versión analizada por los laboratorios Kaspersky ocupa 20 megabytes que contienen más de 3000 líneas de código. El nombre de este malware proviene de uno de los módulos principales que lo componen que es responsable de la propagación a otros equipos.

Hay evidencias que indican que la Llama ha estado activo al menos desde 2007 y sus primeras apariciones se detectaron en ordenadores de Irán relacionados con el sector petrolífero. Inicialmente apareció con el nombre de Wiper y algunas hipótesis apuntan a que Wiper en realidad es uno de los módulos de la Llama. El equipo de respuesta nacional de Irán ante incidentes informáticos (CERT) relaciona varios incidentes de pérdida masiva de datos en ordenadores de la compañía estatal de gas con este malware.

Del estudio de esta pieza de software se deduce que sus autores tomaron muchas precauciones para intentar evitar su detección durante el mayor tiempo posible. Este grado de sofisticación en el ocultamiento delata que se trata de un proyecto gubernamental de altísimo presupuesto. Su propagación no es automática sino controlada remotamente por lo que no genera el rastro típico o de otros gusanos de rápida expansión. El código esta en inglés pero esto no determina que los autores sean de un país de habla inglesa. La opinión más generalizada es que se trata de la obra de expertos israelíes en guerra cibernética con el propósito de infiltrarse en ordenadores de Irán, Israel, Palestina y otros países de interés para los servicios secretos de Israel.

Los expertos creen que todavía no conocen todas las capacidades de este malware que posiblemente cuenta con módulos aun no detectados. Parece claro que mantener en funcionamiento este gusano requiere un grupo numeroso de agentes encargados de su seguimiento y propagación controlados. La mayor penetración se da dado en Irán seguido por Israel/palestina, Sudan, Siria, Líbano, Arabia Saudita y Egipto. Los ordenadores infectados pertenecen a instituciones educativas y organizaciones gubernamentales. En total se estima que el número de ordenadores afectados están alrededor del millar.

La especialización que manifiesta este gusano hace poco improbable que los individuos nos veamos afectados por él. Pero, por otro lado, pone en evidencia la creciente importancia  que los temas de seguridad informática suponen para la seguridad y la paz global.  La guerra cibernética es una realidad cada vez mas palpable y de mayores consecuencias.