Los funcionarios de inteligencia y ciberseguridad de Estados Unidos fueron inequívocos: las elecciones generales de 2020 fueron seguras, y los estadounidenses podían confiar en emitir su voto sin preocuparse por la amenaza de interferencia extranjera o un ciberataque.
Si bien la atención pública se centró en la elección, los piratas informáticos aprovecharon la oportunidad para llevar a cabo un ciberataque devastador y de meses de duración a la cadena de suministro que podría haber expuesto hasta 18,000 entidades en Estados Unidos, y potencialmente más.
«Todo el gobierno de Estados Unidos estaba muy concentrado en asegurar las elecciones», dijo David Kennedy, director ejecutivo de TrustedSec y expirata informático de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés). «Así que estos son tiempos definitivamente oportunistas para que los adversarios digan: ‘Bueno, el enfoque en este momento va a estar en los sistemas electorales. Busquemos cosas que sabemos que serán beneficiosas para nosotros en la próxima administración o en el futuro previsible que nos ayudará desde una perspectiva de inteligencia’. Eso es lo que hacen los estado-nación. De esto se trata la guerra cibernética».
El ataque se dirigió a Orion, un tipo de software de gestión de redes desarrollado por la empresa SolarWinds y distribuido a miles de clientes. SolarWinds dijo que un estado-nación fue responsable del ataque. A su vez, estimó que 18,000 clientes de Orion descargaron una actualización de software malicioso que contenía una puerta trasera que les daba acceso a los hackers a sus sistemas informáticos.
Los funcionarios estadounidenses han atribuido tentativamente el ataque a hackers rusos; específicamente al grupo Cozy Bear, que está vinculado al brazo de inteligencia extranjera de Rusia. El exasesor de seguridad nacional Thomas Bossert también dijo en un artículo de opinión del New York Times que «la evidencia del ataque SolarWinds apunta a la agencia de inteligencia rusa conocida como SVR. El oficio de esta se encuentra entre los más avanzados del mundo».
Los funcionarios del gobierno ruso han negado su responsabilidad y existe cierto debate sobre si otro estado nacional fue el culpable.
«A diferencia de las actividades terroristas en las que a los atacantes les gusta atribuirse el mérito, esto fue un esfuerzo de espionaje», dijo Karim Hijazi, director ejecutivo de la firma de seguridad cibernética Prevailion y excontratista de la comunidad de inteligencia. «Con el espionaje, su objetivo principal es completar su objetivo sin presencia residual. No se trata de regodearse. Este fue el esfuerzo de espionaje más prístino, diferente a todo lo que hayamos visto en mucho tiempo. Eso es lo que hace que sea tan difícil de identificar un sospechoso.»
Al menos tres gobiernos estatales y varias agencias federales fueron hackeadas. Entre ellas el Pentágono, las agencias de inteligencia, el Departamento de Estado, el Departamento de Comercio, el Departamento del Tesoro y la agencia que administra las reservas nucleares de EU. La Administración Nacional de Seguridad Nuclear dijo que el ataque se aisló en el lado comercial de su red y no afectó la infraestructura crítica.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el principal brazo cibernético de los Estados Unidos, emitió una declaración urgente después de que se conoció la noticia del cibertaque. En ella instruyó a todas las agencias civiles federales a desinstalar los productos SolarWinds e informar a CISA una vez que lo hubieran hecho. Esto para evitar que los piratas informáticos se infiltraran en más sistemas.
Sin embargo, el aspecto más alarmante del hackeo es que los funcionarios no están ni cerca de evaluar su alcance total. No saben si todavía está en curso, quién más puede sufrir un ataque y qué podrían haber obtenido los piratas informáticos.
«El verdadero temor es qué más se pudo poner en estos entornos después del hack de SolarWinds; un malware persistente que puede permanecer inactivo y esperar hasta que se lo solicite más tarde», dijo Hijazi. «Y mientras no llame ni haga nada, nadie sabrá que está ahí. Ese es el mayor temor».
Debido a que este también fue un ataque a la cadena de suministro en el que los atacantes violaron los sistemas a través de otra organización confiable, «es casi imposible de prevenir», agregó. «Este adversario es tan sofisticado y fue un intento tan bien orquestado de ofuscar sus tácticas y hacerse parecer benignos, que este ataque fue bastante inevitable».
El ciberataque comenzó cuando los piratas informáticos se infiltraron en SolarWinds e inyectaron código malicioso en Orion; manipulando el proceso de firma de código, que las empresas utilizan para firmar digitalmente un certificado que garantiza que el código de un producto es auténtico y no ha sido alterado.
Luego, SolarWinds, sin saberlo, distribuyó el malware a sus clientes cuando lanzó una serie de actualizaciones de software a partir de marzo. El ataque se detectó hasta la semana pasada, cuando el gigante de la seguridad cibernética FireEye se enteró de que había sido pirateado por un estado-nación «con capacidades ofensivas de primer nivel.» Tras esto, pidió al FBI que investigara.
FireEye dijo que los piratas informáticos robaron sus herramientas de seguridad ofensivas que destacan las vulnerabilidades de una organización, conocidas como herramientas de equipos rojos. En manos de una empresa de ciberseguridad, estos se utilizan para ayudar a una organización a comprender y abordar sus puntos débiles.
«Pero en manos de un adversario, es literalmente un abrelatas», dijo Hijazi. «Estas son herramientas que pueden usar para ingresar a otras organizaciones. No sabemos si esto fue oportunista por parte de los piratas informáticos o si fue su plan desde el principio «.
En los días transcurridos desde que se descubrió el ciberataque, el asesor de seguridad nacional Robert O’Brien interrumpió un viaje al extranjero y regresó a Estados Unidos para asistir a reuniones de crisis sobre el ataque, una señal de la seriedad con la que el gobierno se está tomando el asunto.
El FBI, el CISA y la comunidad de inteligencia de EU lo están investigando. También, la Casa Blanca y los paneles de inteligencia de la Cámara y el Senado fueron informados al respecto. Los legisladores republicanos y demócratas también solicitaron información sobre si el IRS, que se encuentra dentro del Departamento del Tesoro, fue infiltrado y si la información personal de los contribuyentes fue robada.
«Esto podría ser solo la punta del iceberg», dijo Dave Aitel, director de tecnología de Immunity Inc. y ex científico investigador de la NSA. «Esta podría ser una operación continua que nunca termina. Esto porque digamos que, como atacante, vas de SolarWinds a Microsoft a Cisco a FireEye, y haces un gran círculo para cuando se descubre tu primer punto de inyección. Y hay tantos grandes empresas que ejecutan tanto software, y no tenemos forma de protegerlo. Nadie tenía una solución para prevenir un ataque como este, y aquí estamos «.
Hijazi estuvo de acuerdo, diciendo que podría haber un prolífico y «efecto de cadena vertiginoso» del hack.
«Es por eso que todos en la comunidad de ciberseguridad están asustados, porque no sabemos dónde podría terminar esto», dijo. «Si estos piratas informáticos han podido trabajar durante meses, saltando de un objetivo a otro, eso se vuelve muy serio. Y el tipo de herramientas y acceso que pueden obtener en estos entornos puede ser tan simple como un troyano. También podría ser control total y absoluto de los privilegios administrativos de una organización. Y nadie se daría cuenta porque los piratas informáticos podrían estar actuando como si fueran empleados de la empresa».
Pero Aitel se mostró cauteloso a la hora de sacar conclusiones sobre el momento, el alcance o el motivo del ataque. Esto debido a la poca información que los funcionarios han obtenido hasta ahora y la cantidad que aún se desconoce.
«No solo no sabemos lo suficiente, sino que no creo que tengamos la imagen estratégica o el análisis para decir cuál debería ser nuestro próximo movimiento desde una perspectiva nacional», dijo. «Tampoco somos el único país involucrado porque nuestras cadenas de suministro llegan automáticamente a todos los demás países. Y SolarWinds no tuvo suerte, pero no es el único software de gestión empresarial grande que podría sufrir un ataque de esta manera».
Kennedy se hizo eco de ese punto de vista y dijo: «Todavía no conocemos las implicaciones de lo que perseguían ni sus objetivos. Pero créanme, el gobierno va a hacer una investigación completa del nivel de acceso que tenían y sus motivos generales. , y habrá represalias por eso «.
Independientemente de si hay alguna represalia, dijo Aitel, la pregunta más importante es si Estados Unidos podrá recuperarse del ataque.
«Si le ha dado acceso a su red a un equipo de piratería de primer nivel durante meses, ¿alguna vez realmente podrá sacarlos?» él dijo.
AHORA LEE: Equipos de seguridad del mundo evalúan el impacto de un ciberataque a SolarWinds, presuntamente por hackers rusos
TAMBIÉN LEE: Rusia es responsable de la mayoría de los ciberataques, seguida de Irán, Corea del Norte y China, según un nuevo informe de Microsoft.