El Google TAG, combatiendo ciberataques dirigidos y respaldados por gobiernos

Foto: Google

Shane Huntley ha anunciado que el Google TAG (Threat Analysis Group o Grupo de Análisis de Amenazas de Google) sigue trabajando para contrarrestar los ciberataques dirigidos y respaldados por los gobiernos en contra Google y sus usuarios.

Ha explicado que se trata de un área en la que se ha invertido profundamente durante más de una década, ya que el trabajo diario implica detectar y derrotar amenazas, así como advertir a los usuarios y clientes específicos sobre los adversarios más sofisticados del mundo.

Señaló que la protección contra amenazas abarca la gama completa de productos de Google, donde se incluyen Gmail, Drive y YouTube.

“En el pasado, hemos publicado sobre temas como campañas de phishing, vulnerabilidades y desinformación. En el futuro, compartiremos más detalles técnicos y datos sobre las amenazas que detectamos y cómo los contrarrestamos para avanzar en la discusión más amplia sobre seguridad digital”.

El Google TAG rastrea más de 270 grupos específicos o respaldados por los gobiernos de más de 50 países y se supo que tendrían muchos objetivos.

Algunos de esos objetivos serían la recopilación de inteligencia, robar propiedad intelectual, atacar a disidentes y activistas, ciberataques destructivos o difundir desinformación coordinada.

Huntley ha precisado que usan la inteligencia que reúne el equipo para proteger la infraestructura de Google, así como a los usuarios a los que se dirige el malware y phishing.

“Hemos tenido una política de larga data para enviar advertencias a los usuarios si detectamos que son objeto de intentos de phishing patrocinados por el estado y hemos publicado periódicamente sobre estos”.

En este sentido, solo en dos meses lograron enviar más de 12 mil advertencias a usuarios en 149 países de que han sido atacados por ciberdelincuentes respaldados por el gobierno.

Refirió que más del 90 % de estos usuarios ha sido atacado a través de “correos electrónicos de credenciales de phishing”.

Se trata, generalmente, de intentos de obtener la contraseña del objetivo u otras credenciales de cuenta para secuestrarla.

Es por eso que se ha alentado a los usuarios de alto riesgo como periodistas, activistas de derechos humanos y campañas políticas, a inscribirse en el Programa de Protección Avanzada (APP) que utiliza claves de seguridad de hardware y proporciona las protecciones más fuertes disponibles contra el phishing y el secuestro de cuentas.

Ha insistido en que la aplicación está diseñada específicamente para las cuentas de mayor riesgo a ciberataques.

Detectando amenazas

Google TAG ha presentado un análisis en CyberwarCon sobre campañas previamente no reveladas de un grupo de amenaza de nexo con Rusia llamado “Sandworm” o Gusano de arena (también conocido como “Iridium”).

“Es un ejemplo útil del tipo de trabajo detallado de detección de amenazas que hace TAG”.

El TAG, en diciembre de 2017, también descubrió una serie de campañas de Sandworm que intentaba implementar malware de Android.

La primera se dirigió a usuarios en Corea del Sur, según Huntley, donde Sandworm estaba modificando aplicaciones legítimas de Android con malware.

Posteriormente fueron subidas estas aplicaciones modificadas a Google Play Store usando sus propias cuentas de desarrollador controladas por atacantes.

Sandworm, durante esta campaña, subió ocho aplicaciones diferentes a Play Store, cada una con menos de 10 instalaciones totales.

Por otra parte, ha resaltado que el TAG es un segmento de los esfuerzos más amplios de Google y YouTube para abordar las operaciones de influencia coordinadas que intentan jugar con sus servicios.

Es por esto que comparten información relevante sobre amenazas en estas campañas con las fuerzas del orden y otras compañías tecnológicas.

De hecho, el TAG ha tomado medidas contra las operaciones de influencia afiliadas a Rusia que apuntan a varias naciones en África.

Al parecer, las operaciones utilizan medios de comunicación auténticos para difundir mensajes que promueven los intereses rusos en África.

Colaboración con el TAG

El TAG trabaja en estrecha colaboración con otras empresas de tecnología, incluidas plataformas y empresas de seguridad especializadas, para compartir inteligencia y mejores prácticas ante posibles ciberataques.

Su portavoz también ha anunciado que comparten información sobre amenazas con la policía y, por supuesto, adelantó que hay varios equipos en Google trabajando en estos temas con los que coordinan.