Caso VirusTotal y SafeBreach: Toda la verdad y nada más que la verdad

enero 21, 2022 , 0 Comments

VirusTotal, SafeBreach

Aquí toda la verdad y lo que no te han contado sobre el caso de VirusTotal (propiedad de Google) y el descubrimiento de la compañía israelí SafeBreach. Que no es tal cual se ha comentado en varios medios, incluido este mismo dejándose llevar por fuentes que daban a entender algo diferente. Por tanto, desde LxA pido perdón a VT y voy a tratar de comentar lo que realmente ha sucedido, que no es tan grave como parecía.

¿Qué se dio a entender?

Lo que se dio a entender sobre este caso es que SafeBreach, era una supuesta debilidad descubierta por esta empresa en VirusTotal, que derivó también en noticias sobre supuestos ataques al servicio VT (que no fueron tales), e incluso supuestos contactos con Google (propietaria de VirusTotal a través de la subsidiaria Chronicle Security) para que corrigiera este problema. Sin embargo, Google ha estado guardando silencio. ¿El motivo? Lo comprenderás en el siguiente apartado…

Supuestamente, con una licencia mensual de VirusTotal de 600$ se podía conseguir acceder a un sin fin de credenciales de usuarios usando unas sencillas búsquedas dentro de este servicio. Entre las que puede haber archivos con datos robados (direcciones de correos electrónicos, nombres de usuario, contraseñas, credenciales de acceso a redes sociales, a sitios de comercio electrónico, plataformas de streaming, servicios gubernamentales en línea, de banca online, e incluso claves de billeteras privadas de criptomonedas).

Según Bar, uno de los investigadores de SafeBreach, «Nuestro objetivo era identificar los datos que un delincuente podría recopilar con una licencia de VirusTotal«, un método al que han bautizado como VirusTotal Hacking.

Un delincuente que usa este método puede recopilar una cantidad casi ilimitada de credenciales y otros datos confidenciales del usuario con muy poco esfuerzo en un corto período de tiempo utilizando un enfoque libre de infecciones. Lo llamamos el ciberdelito perfecto, no solo por el hecho de que no hay riesgo y el esfuerzo es muy bajo, sino también por la incapacidad de las víctimas para protegerse de este tipo de actividades. Después de que el pirata informático original piratea a las víctimas, la mayoría tiene poca visibilidad de qué información confidencial se carga y almacena en VirusTotal y otros foros”.

Ahora la verdad sobre lo ocurrido con VirusTotal

La malagueña VirusTotal lanzó un servicio llamado VT Intelligence en 2009 para aprovechar toda la información que llega a este multi-antivirus online. Este portal se lanzó como una gran base de datos para investigadores del sector de la ciberseguridad y empresas con departamentos de seguridad, pudiendo acceder a todos esos datos con el objetivo de investigar y mejorar la seguridad de sus productos y usuarios.

Acceso restringido a VT Intelligence

Es decir, que ni usuarios con la citada licencia de 600$, ni otros cibercriminales podrían acceder a dichos datos, ni tampoco cualquier empresa podría acceder a VT Intelligence. Todos los que tienen acceso pasan por un proceso de vetting para verificar que la empresa sea confiable y con buena reputación, además de tener un caso de uso adecuado para acceder a esa bbdd.

Contenido de la bbdd y fuentes

Esa base de datos contiene muy diversa información, con amenazas de todo tipo, desde malware, hasta exploits avanzados, pasando por kits de phishing, herramientas de hacking sacadas de foros underground de hacking, carding, logs (registros) y ficheros con credenciales que han quedado expuestos en esos sitios, etc.

Todo eso procede de diversas fuentes:

  • Empresas
  • CERTs
  • Usuarios anónimos
  • Vía API desde muchos otros sitios
  • Etc.

Tranquilizando a los usuarios

Por tanto, cuando SafeBreach ha obtenido alguno de esos ficheros con credenciales o logs con información sensible, es porque esos datos quedaron comprometidos o se filtraron con anterioridad a llegar a la bbdd de VT Intelligence. Dicho de otro modo, VirusTotal no es la fuente de la que emanan esos datos privados, sino que es una bbdd intermedia entre las amenazas que permitieron extraer esos datos y  el experimento de SafeBreach.

Las entidades con acceso a VT Intelligent pueden así acceder a toda esa información para poner soluciones o avisar a sus clientes que pudieron quedar afectados por esos ciberataques o filtraciones.

Conclusión

VirusTotal no se puede usar como fuente para extraer datos sensibles como insinúa SafeBreach. Son credenciales que en su inmensa mayoría ya han sido modificados cuando se reportó que habían quedado expuestos. Y si no han sido modificados, es probable que no tengan un impacto demasiado importante.

Es más, de no llegar a VirusTotal, del mismo modo seguirían expuestos en los sitios desde donde los investigadores de ciberseguridad los extrajeron.

Lo único que ha hecho SafeBreach, a parte de generar todo este revuelo, es un ejercicio de reflexión sobre qué ocurriría si un supuesto atacante pudiera tener acceso a VT Intelligence.

¡Cero dramas!


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.