Según el director de investigación de Kaspersky Lab, Costin Raiu, la mayoría de los programas maliciosos pertenecen a la categoría denominada crimeware, cuyo fin es robar las credenciales, datos, recursos o dinero de las víctimas. En segundo lugar, encontramos aquellos softwares diseñados, exclusivamente, para el ciberespionaje, los cuales atacan a estados, instituciones o infraestructuras. Y, por último, está un grupo más pequeño compuesto por un malware realmente destructivo: el wiper.
A finales de los años noventa, Internet no era el repositorio de datos tan inmenso que es actualmente. Además, las bandas del crimen organizado ya se habían percatado del valor financiero que albergaba la Red gracias a la información que era más accesible que hoy en día. Así, los primeros hackers desarrollaron diferentes tipos de malware que comprometían los discos duros encriptados o infectaban los equipos a través de virus, antepasados de los troyanos actuales.
El malware Wiper nunca ha desaparecido pero, últimamente, ha recuperado su protagonismo a través de ataques entre diferentes estados o naciones. De hecho, en los últimos tres años, los expertos de Viruslist han analizado más de cinco ataques de estas características.
El primer Wiper fue tan efectivo que él mismo se eliminó de los miles de equipos iraníes que había infectado. De esta manera, no fue posible encontrar ni una muestra del malware. Comparado con otros programas maliciosos similares, esta amenaza resultó bastante innovadora al dirigirse contra un gran número de máquinas de forma aleatoria; convirtiéndose en fuente de inspiración para futuras muestras maliciosas.
De hecho, se piensa que el malware Shamoon desciende del misterioso Wiper. Este programa se descubrió en la red de una de las compañías más importantes del planeta, la petrolera Saudi Aramco. En agosto de 2012, fue capaz de destruir en un tiempo récord más de 30.000 equipos de trabajo. No obstante, este malware creado en Irán por un grupo de hackers no fue capaz de eliminar su huella tal y como hizo Wiper. Así, los investigadores llegaron hasta él y pudieron analizar su método de ataque.
Tiempo después apareció Narilam, un malware cuyo objetivo eran las bases de datos de algunas aplicaciones financieras de Irán, una vez más. Éste difería del resto por su modus operandi más lento, diseñado para realizar un sabotaje a largo plazo. Kaspersky Lab identificó diferentes versiones del Narilam, remontándose algunas de ellas al año 2008. A pesar de actuar de forma pausada, sus efectos destructivos se prolongaron en el tiempo.
No podemos olvidarnos de Groovemonitor (o Maya): una amenaza sencilla que atacaba a los equipos de las víctimas de una forma poco sutil. Este malware intentaba borrar todos los archivos en un periodo determinado guardados en el drive D.
La amenaza más reciente, Dark Seoul, se usó durante un ataque coordinado contra diferentes entidades bancarias y compañías de comunicación de Seúl. Este ataque difería de los anteriores porque no se dirigía contra un país arábigo (Irán o Arabia Saudí) y sus responsables intentaban alcanzar la fama.
“El poder de eliminar miles de equipos con un solo clic representa una gran oportunidad para cualquier ejército cibernético”, escribió Raiu en Viruslist. “Esto puede resultar incluso más devastador si, además, se paralizan las infraestructuras de una nación”.
Afortunadamente, Wiper sigue siendo un programa minoritario que no debería preocuparnos en exceso. Al fin y al cabo, las probabilidades de caer víctimas de un malware que elimina los datos de los sistemas de control industriales (el hardware o software de redes eléctricas… etc) son bastante escasas. No obstante, es necesario que las compañías de seguridad especializadas y, por supuesto, los gobiernos monitoricen y mitiguen dichas amenazas.