Last updated on noviembre 22, 2021
Estados Unidos fue golpeado recientemente por dos de los ataques de piratas informáticos más intrusivos y peligrosos jamás registrados en los anales de la tecnología digital. Episodios de tal trascendencia que justifican investigaciones que requerirán años de trabajo y que probablemente nunca podrán cuantificar todos los daños sufridos por el Gobierno y por las muchas empresas privadas que lamentablemente se han visto involucradas.
Estos son los dos eventos que surgieron de manera consecutiva y del peso cataclísmico , sin embargo se ha dicho relativamente poco de ellos, un detalle que demuestra una progresiva normalización de las filtraciones de datos, pero también el deseo de no dar visibilidad a los aspectos críticos de un sistema de ciberespionaje. de lo que ahora es muy difícil defenderse.
Con la esperanza de facilitar la discusión, repasamos la dinámica de los dos incidentes y nos enfrentamos al mundo de las guerras cibernéticas que nos llevaron por este empinado y lleno de agujeros.
El caso SolarWinds
En 2016, los piratas informáticos patrocinados por una nación extranjera, Rusia , según investigadores estadounidenses, habían podido interrumpir las elecciones estadounidenses al hacer todo lo posible para que el controvertido Donald Trump fuera elegido.
Los periódicos titulaban el escándalo con el epíteto Russiagate“, un nombre de mal gusto que llevó a muchos a pensar que los periódicos simplemente se estaban lanzando al vulgar de siempre y un poco de sensacionalismo propagandístico que ayuda a ganar muchos clics.
Esta vez la historia no fue descabellada, no fue una “caza de brujas”, la Inteligencia y la Comisión de Estados Unidos reconocieron explícitamente que “Rusia estaba detrás de las elecciones de Trump” , sin embargo, volver a la jerarquía del espionaje digital siempre es muy complejo. Además, algunos de los leales a Trump han hecho todo lo posible para contaminar las investigaciones, con el resultado de que el asunto simplemente se ha desvanecido en el aire.
Según los periódicos, Rusia manipuló la democracia estadounidense, pero no se podía culpar a nadie por los diversos crímenes que se transmitieron.
Estados Unidos, en medio de un panorama político algo turbio, sin embargo, ha hecho una promesa solemne: una abominación así nunca volvería a ser recapitulada.
Con motivo de las elecciones de 2020 , se elevaron los controles a los niveles más altos y ninguna fuerza extranjera pudo intervenir para invalidar la credibilidad del proceso de transición democrática. Por supuesto, se han desarrollado otros malestares, pero estos han surgido de una locura destructiva indígena.
Sin embargo, apenas en diciembre de 2020, cuando todos los ojos del mundo se volvieron hacia el desafío Trump-Biden, surgió otro ataque de piratas informáticos, uno que afectó prácticamente a todas partes, excepto a los candidatos presidenciales.
Se han infiltrado el Departamento de Comercio, Energía, Defensa, Justicia, Estado, Hacienda, Agricultura, Salud, Seguridad Nacional y Trabajo . A estos hay que agregar la oficina administrativa de los Tribunales de Estados Unidos – el “poder judicial” de barras y estrellas – y, presumiblemente, también la NASA y la Administración Federal de Aviación (FAA)
Un desastre, por supuesto, pero los ciberdelincuentes no se detuvieron ahí y también llegaron a varias empresas privadas, entre las que se encontraban Malwarebytes, Nvidia, Belkin y sobre todo, Microsoft, que encontraron espías extranjeros consultando libremente su código fuente.
El escenario de los hechos aún no está del todo claro, pero lo cierto es que SolarWinds , empresa especializada en software de gestión de redes que ha sido utilizado sin su conocimiento como un caballo de Troya para penetrar en los sistemas de sus clientes.
El software comprometido, Orion, tiene una función técnica aburrida, marginal, pero también muy importante, es decir, monitorea la situación de las redes corporativas en tiempo real, un servicio que una infinidad de organizaciones necesitan y que muchas veces se delega en terceros. empresas del partido. Empresas que, invariablemente, son más vulnerables a los ciberataques y las fugas de datos.
El ataque infligido a través de SolarWinds fue interceptado casi por accidente: una empresa de ciberseguridad de California, FireEye, notó un acceso sospechoso al sistema y comenzó controles de rutina, dándose cuenta rápidamente de que el malware era una costilla de cáncer del servicio del programa.
Desde entonces, han comenzado los controles de barrido, controles que se han realizado durante más de tres meses, pero que solo han sondeado la punta de un inmenso iceberg. Actualmente se sospecha que la mayor parte de la operación de ciberespionaje tuvo lugar durante los últimos ocho o nueve meses de la administración Trump.
Los piratas informáticos habrían comenzado su operación con calma, metódicamente, y luego acelerado con entusiasmo en el período preelectoral, un período que, fatalmente, vio a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y al Departamento de Seguridad Doméstica (DHS) inmersos en un caos jerárquico generado por los despidos del entonces presidente.
Antiguas investigaciones del FBI revelaron que los datos de acceso de SolarWinds habían surgido en la Red ya en 2017, una criticidad que podría haber llevado con el tiempo a la situación catastrófica en la que ahora se preocupa toda la red de EE. UU., Pero que no parece ser el caso.
En cuanto a los piratas informáticos rusos, la teoría dominante es de hecho la que los ve poner en marcha el 4 de septiembre de 2019, aplicando estrategias ” muy sofisticadas ” que les permitieron entrometerse en una actualización de Orion sin que la empresa de tecnología pudiera interceptarlos.
El resultado ahora se conoce: un ataque de piratas informáticos que duró varios meses, que interceptó importantes documentos confidenciales, que quizás crearon puertas traseras peligrosas y cuyo verdadero alcance quizás nunca se entenderá.
El discreto desastre de Microsoft Exchange
Con motivo del caso SolarWinds, cuando todo el mundo señalaba con el dedo a Rusia, el presidente de Estados Unidos protegió al gobierno de Moscú, desviando, sin pruebas en la mano, la responsabilidad sobre China. La actitud de la Casa Blanca fue tan provocadora que llevó al canciller chino a publicar una declaración clara y precisa a principios de febrero: “China se opone resueltamente y lucha contra todas las formas de ciberataque y robo de datos”.
Marzo de 2021, un mes después de una declaración tan contundente, surgió otro devastador ataque de piratas informáticos, esta vez contra Microsoft Exchange Server . Microsoft, lejos de ser ambiguo, rompió la posición del ministro chino y sugirió que Pekín estaba detrás de la maniobra.
Microsoft Exchange Server es un software de administración de servidores empresarial muy popular y apreciado, es utilizado por innumerables empresas para administrar el correo y los calendarios digitales de los diversos empleados, optimizando su sincronización. Exchange brinda sus servicios con dos enfoques diferentes, en función de las necesidades del cliente: el Cloud, preferido por las grandes empresas, y el local, que se apoya en servidores privados. Los piratas informáticos golpean la última categoría.
El hecho de que el ciberespionaje se haya infiltrado en pequeñas y medianas empresas podría verse como un elemento positivo, incapaz de causar un daño comparable al de SolarWinds, sin embargo hay que recordar que esto también significa que los atacantes pudieron aprovechar un pool. considerablemente más grande.
Las víctimas, estima The Wall Street Journal , podrían ser más de 250.000, incluida la empresa italiana Tim Business y, lo que es más grave, la Autoridad Bancaria Europea .
La existencia de la vulnerabilidad fue detectada por primera vez el 5 de enero de 2021 por la empresa de tecnología DEVCORE , pero las infiltraciones reales solo comenzaron a notarse después de unas pocas semanas. A finales de enero, una empresa de ciberseguridad conocida como Volexity descubrió que varios de sus clientes habían sido infiltrados y que su único mínimo común denominador eran los servicios de Exchange. Microsoft inmediatamente se puso a trabajar en un parche para cubrir las fallas.
De acuerdo, entonces, nada apocalíptico como lo que vimos en el caso de SolarWinds, ¿verdad? No exactamente. También en este caso hay muchas incógnitas y los daños, aunque menos espectaculares, no deben subestimarse en absoluto, sobre todo porque la infiltración podría haber afectado al servicio desde los días de Exchange Server 2010, por lo que es imposible decir cuántos han en realidad han sido víctimas del ataque.
Lo que complica la situación es el hecho de que los ciberdelincuentes tienen un canal de información preferencial que les permite anticipar los movimientos de Big Tech. Aún no se sabe si se trata de “topos” u otro tipo de espionaje, lo cierto es que desde el momento en que Microsoft comenzó a moverse para crear la fatídica actualización, los piratas informáticos lanzaron un poderoso y descarado ataque hacia todos los servidores a los que pudieron llegar.
Se teoriza que, al darse cuenta de que todavía tienen poco tiempo disponible para actuar sin ser molestados, prefirieron destapar las cartas y lanzarse a una estrategia de ataque extremadamente agresiva, estrategia que les permitió instalar ” web shells ” con los que garantizar el acceso. a los servidores afectados incluso si se actualizaron.
Jen Psaki, responsable de prensa de la Casa Blanca, confesó de inmediato: la situación es preocupante y podría tener ” un impacto muy grande “. No estaba bromeando: el gobierno de EE. UU. Afirma que no hay evidencia de que el ataque afectó a agencias del gobierno central, sin embargo, se han explorado a fondo polos periféricos como estaciones de policía, hospitales, escuelas y negocios.
La maniobra también llegó a Europa sin demasiados obstáculos, apuntando sobre todo a Gran Bretaña y Alemania, las naciones más influyentes del Viejo Continente. En general, los piratas informáticos consiguieron un botín generalizado e impredecible, potencialmente ” 1.000 veces más devastador ” que el robado en el caso de SolarWinds, como señala Lior Div, director ejecutivo de Cybereason.
El parche que solucionó la falla de programación del servicio, de hecho, no es capaz de eliminar el potente web shell depositado en los servidores comprometidos, además, esto puede ser fácilmente explotado y replicado por grupos de ciberdelincuentes distintos a los originales, que ha sido inmediatamente se tradujo en un aumento documentado de ataques de ransomware.
Muchos de estos ataques son toscos, casi chapuceros, detalle que implica que las “claves” de los servidores infectados se han distribuido a los cuatro vientos, y muchos sospechan que el objetivo no era tanto robar información, sino desatar un pandemonio que bloqueó cientos de miles de pequeñas empresas, poniendo patas arriba la economía occidental.
Estrategia de guerra cibernética
En respuesta a estos ataques de rápida sucesión, la Administración de Biden también está considerando extender la ciberseguridad a sus ciudadanos, así como buscar más apoyo de las agencias privadas de ciberseguridad. Dos soluciones que, sin embargo, no ayudan a curar un sistema de guerra de informacióntóxico y destructivo, un sistema que en lugar de ser abandonado se ha convertido en parte integral de las estrategias diplomáticas estadounidenses.
Según Paul Nakasone, director general de la Agencia de Seguridad Nacional, esta ” defensa activa ” permitiría al país prevenir cualquier forma de ataque, aniquilándolo en el punto de origen. ¿Me gusta? Sencillo, por ser el primero en infiltrarse en los sistemas informáticos de los adversarios, sin que tal maniobra esté justificada por urgencias particulares.
Tal actitud funcionó muy bien en 2007, cuando Estados Unidos e Israel lograron destruir las centrifugadoras de una central nuclear iraní , sin embargo desde entonces el panorama ha cambiado mucho y los principales oponentes de Estados Unidos han desarrollado inteligencia digital lo suficientemente refinada. para dar dolores de cabeza a sus enemigos.
No solo eso, muchos de los conocimientos sobre espionaje cibernético de la Agencia de Seguridad Nacional ahora han terminado en manos públicas, tanto porque muchos ex empleados se han entregado a los mercenarios más rentables , como porque algunos virus digitales se han filtrado en la red y han sido utilizados por esos poderes que deberían haber sido víctimas de él.
¿Recuerda el devastador ataque de ransomware WannaCry de 2017 ? Bueno, es casi seguro que los piratas informáticos norcoreanos habían utilizado una variante de EternalBlue, un malware creado por la NSA, que se basaba en una debilidad de Microsoft que el gobierno de EE. UU. Tuvo cuidado de no notificar a Big Tech, al menos hasta el exploit en el que terminó. manos enemigas.
Entonces, todo lo que queda es hacer un barrido limpio de la tecnología y volver a la década de 1920, ¿verdad? Obviamente no, la digitalización y la conectividad son recursos importantes que, sin embargo, debemos educarnos para utilizarlos con moderación y de forma consciente.
En primer lugar, sería útil que las empresas dejen de solicitar los datos de sus clientes cuando no hay absolutamente ninguna necesidad, que las empresas de tecnología prueben adecuadamente el software antes de distribuirlos a los clientes / conejillos de indias, que los servidores de estructuras críticas mantenernos desconectados de la web y que los usuarios aprendamos a renunciar a algunas comodidades superfluas.
Tener un “llavero” centralizado en Google Chrome es sin duda un cuento de hadas, pero también es mucho más peligroso que tener contraseñas sueltas, que se deben cambiar con frecuencia y, quizás, con doble autenticación de usuario. En una inspección más cercana, así es como se interceptó el ataque SolarWinds: FireEye se dio cuenta de que una doble autenticación se dejó a la mitad, se comunicó con el empleado al que pertenecía el perfil infractor y descubrió una infiltración que pasó desapercibida durante meses bajo las narices de la NSA.
Estas precauciones son relativamente fáciles de tomar, pero dañarían la economía tal como está estructurada actualmente: las empresas ya no podrían ganar dinero con la recopilación de datos, los usuarios de Internet lo pensarían varias veces antes de registrarse en servicios digitales y los editores de programas lo habrían hecho. dedicar más tiempo y recursos para evitar comercializar una materia prima con impunidad.
En una inspección más cercana, quizás para arreglar la Red primero sea necesario reevaluar las prioridades de nuestras sociedades.
Periodista y escritor
Be First to Comment