¿Qué es GRIDTIDE, el programa espía que hackeó los correos del ICE?

El hackeo sufrido por el Instituto Costarricense de Electricidad (ICE) se ejecutó mediante un programa malicioso llamado GRIDTIDE, desarrollado por el grupo de ciberespionaje UNC2814 con presuntos vínculos en China.

Según documentó la empresa Google en una nota técnica de su unidad contra amenazas informáticas, el software se identificó y desarticuló el 25 de febrero.

Ese software coincide con el alcance global y el tipo de vínculos con China del grupo UNC2814 y coinciden con las declaraciones brindadas este jueves por la ministra de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Paula Bogantes, al explicar el ataque del cual fue víctima el Instituto Costarricense de Electricidad (ICE).

GRIDTIDE es una herramienta de intrusión diseñada para pasar desapercibida dentro de los sistemas que infecta, espiarlos y extraer información.

Google describe GRIDTIDE como una “puerta trasera”: un acceso oculto e ilegítimo que los atacantes instalan en el sistema de su víctima para controlarlo a distancia sin que esta lo sepa.

Una vez instalado, el programa permite a sus operadores ejecutar instrucciones en el equipo comprometido, extraer archivos y depositar herramientas adicionales, todo ello de forma remota.

Lo que hace especialmente difícil de detectar a GRIDTIDE no es lo que hace, sino cómo se comunica.

La mayoría de los programas maliciosos, según la explicación técnica de Google, se comunican con servidores propios de los atacantes, lo que permite a los sistemas de seguridad identificarlos y bloquearlos.

GRIDTIDE, en cambio, usa Google Sheets —la aplicación de hojas de cálculo de Google— como canal de comunicación. Para los sistemas de seguridad de una red, ese tráfico es indistinguible del uso cotidiano de una herramienta de oficina.

Google fue enfático en aclarar que el ataque no aprovecha ninguna falla en sus productos: explota el funcionamiento correcto de la herramienta para camuflar actividad maliciosa.

Hoja de cálculo como centro de mando

Según documentó Google, una vez que GRIDTIDE se instala en un equipo, lo primero que hace es conectarse a una hoja de cálculo de Google Sheets controlada por los atacantes y borrar su contenido previo para preparar el espacio de trabajo.

Luego recopila información del equipo infectado —nombre del usuario, sistema operativo, dirección de red, zona horaria— y la deposita en una celda específica del documento.

A partir de ese momento, la hoja de cálculo funciona como un tablero de mandos: los atacantes escriben instrucciones en una celda, el programa las lee, las ejecuta en el equipo de la víctima y deposita los resultados en otra celda.

Es, en esencia, una conversación silenciosa entre el atacante y el sistema comprometido, mediada por una hoja de cálculo.

Para transferir archivos —como los correos electrónicos sustraídos del ICE— el programa los fragmenta en porciones de hasta 45 kilobytes y los deposita celda por celda en el documento. Los datos viajan codificados, lo que dificulta aún más su detección.

Para garantizar que el acceso se mantenga incluso si el equipo se reinicia, GRIDTIDE se instala como un servicio del sistema operativo, de manera que se activa automáticamente cada vez que el equipo enciende.

Además, despliega una herramienta de red privada virtual que establece una conexión cifrada hacia servidores externos controlados por el grupo atacante, cuya infraestructura, según Google, ha estado activa desde julio de 2018.

Cuando los atacantes no están activos, el programa reduce su frecuencia de consulta a la hoja de cálculo para generar menos tráfico y pasar más desapercibido. Cuando recibe una instrucción, vuelve a operar a plena velocidad.

Década de operaciones

Google identificó al grupo detrás de GRIDTIDE como UNC2814, al que rastrea desde 2017.

Al momento de la desarticulación, el grupo tenía intrusiones confirmadas en 53 organizaciones de 42 países, y presencia sospechada en al menos 20 más. Su blanco preferencial son las operadoras de telecomunicaciones y las entidades gubernamentales, con un historial documentado de robo de registros de llamadas, interceptación de mensajes y acceso a sistemas de escucha legal.

Google advirtió que, pese a las acciones de desarticulación ejecutadas el 25 de febrero —que incluyeron el cierre de la infraestructura en Google Cloud y la revocación de accesos—, el grupo intentará reconstruir su operación.