¿Qué ocurre si vuestro ordenador activa un software antirrobo que nunca habéis instalado? ¿Un software que hace que vuestro dispositivo sea accesible de forma remota? ¿Un software que no podéis eliminar, incluso sustituyendo físicamente el disco duro? Aunque parezca una película, esto es real.
Es lo que le pasó a Sergey Belov, investigador de Kaspersky Lab, cuando empezó a analizar algunos errores de software en el ordenador personal de su mujer. Un proceso sospechoso llamó su atención y al principió pensó que había encontrado un rootkit desconocido. Luego se dio cuenta de que se trataba de un proceso legítimo que formaba parte del Absolute Computrace, una solución antirrobo para portátiles. Lo que es único en Computrace es su ubicación en el ordenador. El agente Computrace reside parcialmente en el BIOS o UEFI, un chip que se ocupa de iniciar el equipo antes de que arranque el sistema operativo. Por eso es difícil borrar este software, incluso cuando se sustituye el disco duro. En el caso específico de la mujer de Belov nunca activó el software y ella desconocía la presencia de Computrace en su ordenador. Análisis posteriores revelaron una mala noticia: un cibercriminal podría estar utilizando el componente de Computrace para llevar a cabo un ataque de forma remota en los ordenadores de las víctimas.
Las soluciones antirrobo son muy importantes para los dispositivos móviles, que son el objeto de deseo de muchos ladrones por su precio y tamaño reducido. No es fácil desarrollar un software antirrobo, ya que tiene que pasar desapercibido. Además, es necesario que esté conectado de alguna forma con un servidor general para que se pueda localizar el dispositivo en cualquier momento. Finalmente, el software tiene que resistir a los intentos de los ladrones de eliminarlo del dispositivo. Todos estos requisitos hacen que el software trabaje en la parte más interna del ordenador y que tenga muchas autorizaciones para acceder a zona escondidas del dispositivo. ¿Qué pasa si una aplicación de este tipo es vulnerable a un ataque externo? En el peor de los casos, un cibercriminal puede tomar el control total del dispositivo.
Desafortunadamente, todo esto es realidad. La semana pasada fuimos testigos de una demostración por parte de Vitaly Kamluk y Sergey Belov de Kaspersky Lab durante el Security Analyst Summit 2014. Los dos investigadores estrenaron un portátil Asus recién comprado, ejecutaron una serie de procesos para el primer arranque y utilizaron otro PC para activar en remoto la cámara del portátil y empezar a borrar los datos que contenía el dispositivo. Todo esto fue posible interceptando los paquetes de datos de la red que no estaban cifrados y luego enviando de vuelta otros datos, simulando la comunicación con el servidor original de Computrace.
Ya sabemos que ahora queréis verificar inmediatamente si en vuestro ordenador se encuentra el agente Computertrace. Si estáis planeando de alguna manera erradicarlo por completo, no os molestéis, porque se trata de una tarea muy complicada. El agente contrarrestará cualquier intento vuestro porque se trata de un software antirrobo y ésa es su tarea. La parte BIOS de Computrace verifica la presencia del software en cada sector del ordenador. Si no encuentra el software, se instala una versión reducida del programa desde el BIOS al sistema operativo Windows. Cuando se inicia Windows, el programa descargará de Internet el agente Computrace más completo y lo activará.
En nuestro blog Viruslist podéis encontrar un análisis más exhaustivo al respecto; incluso se brinda una lista de los indicadores de la actividad de Computrace. Los datos recopilados por Kaspersky Security Network indican que 150.000 de nuestros usuarios tienen activado el agente Computrace en sus dispositivos. Vitaly Kamluk calcula que Computrace puede que esté activo en 2 millones de ordenadores en todo el mundo.
La parte BIOS de Computrace está preinstalada en los chips BIOS/UEFI más populares de las grandes marcas como Acer, Asus, Sony, Toshiba, HP, Lenovo, Samsung, entre otras. De todas formas, algunos ordenadores disponen de una opción para habilitar/deshabilitar Computrace y algunos no. Además, no todos los ordenadores llevan Computrace, aunque tengan su agente BIOS, y el software esté inactivo en muchos dispositivos. Los investigadores de Kaspersky Lab pudieron detectar el agente Computrace solo después de haber encendido el dispositivo, no se puede detectar de otro modo.