A inicios de diciembre del 2020, la firma de Ciberseguridad FireEye reportó a la Agencia Nacional de Seguridad de los Estados Unidos la existencia de una brecha de información en sus sistemas, disparada por la detección de un robo a las herramientas de su Equipo rojo*, lo que lanzó un aviso de seguridad pública. Las primeras instancias del gobierno estadounidense en confirmar la existencia de brechas de información en sus sistemas fueron el Departamento del Tesoro y el Departamento de Comercio el 13 de diciembre, a estas le siguieron las instancias públicas del Departamento de Agricultura, el Departamento Nacional de Telecomunicaciones, el Departamento de Defensa, el Departamento de Energía, la Administración Nacional de Seguridad Nuclear, el Departamento de Salud y Servicios Humanos, el Instituto Nacional de Salud, el Departamento de Seguridad Nacional, la Agencia de Ciberseguridad e Infraestructura de Seguridad, el Departamento del Estado y algunas partes del Pentágono, así como a empresas del sector privado como Cisco, Cox Communications, Equifax, FireEye, Microsoft, SolarWinds, Amazon y un Think Tank que ha permanecido anónimo.
Enlistar las agencias y empresas comprometidas no es en vano: estamos hablando de un ataque a gran escala, cuyos daños aún no pueden ser siquiera estimados; sin embargo, lo más grave de todo es que el ataque fue perpetrado desde marzo y no fue detectado sino hasta diciembre y, de no haber sido por el aviso lanzado por FireEye, seguramente seguiría corriendo de forma invisible.
El desarrollo
En palabras del Senador Mark Warner, Demócrata y miembro del Comité de Inteligencia del Senado: "Esto se ve mucho peor de lo que temí al inicio. Sigue aumentando en tamaño y se vuelve evidente que el Gobierno de los Estados Unidos no pudo verlo.... Y si FireEye no hubiese tomado la palabra, al día de hoy, no estoy seguro de seríamos conscientes del hecho".
La pregunta está en boca de todos: ¿qué es lo que ocurrió? ¿Que fue lo que falló tan estrepitosamente como para que un ataque de esta magnitud pudiese pasar inadvertido de marzo a diciembre? De acuerdo a un reporte del New York Times, hay seis puntos clave para acercarnos a los sucesos:
El ataque, atribuido a la agencia de inteligencia S.V.R. de Rusia, comenzó sólo atacando una docena de las más de 18,000 redes privadas y gubernamentales a las que lograron acceder al insertar su código malicioso en el software desarrollado por SolarWinds; sin embargo, la evidencia recabada por servicios de nube como Azure y AWS, los rusos lograron explotar varias capas en la cadena de distribución del software para vulnerar más de 250 redes.
La intrusión fue administrada desde servidores localizados en Estados Unidos, eludiendo mecanismos de Ciberseguridad implementados por el Departamento de Seguridad Nacional.
Los sensores de "alerta temprana" del Cibercomando y la Agencia de Seguridad Nacional, implementados en redes extranjeras para detectar un posible ataque, fallaron.
El énfasis de Ciberseguridad, tanto a nivel federal como en el sector privado, estaba volcado a salvaguardar las elecciones del 2020, lo que desvió recursos de problemas ya presentes en la cadena de distribución de software. Esto mismo revelan FireEye y Microsoft, quienes detallan que sus brechas de información fueron parte de un esquema de distribución mucho más amplio.
La compañía que los hackers utilizaron como medio para distribuir el ataque, SolarWinds, tiene un amplio historial de seguridad deficiente en sus productos, por lo tanto era un objetivo ideal.
Parte del software comprometido de SolarWinds es desarrollado en Europa del Este, donde los operativos de inteligencia rusa están desplegados, lo que despierta el interés de los investigadores por detectar si la incursión se originó ahí.
SolarWinds, de manera inadvertida, se ha convertido en la protagonista de una serie de sucesos que evidencian una falla sistémica. De acuerdo a empleados de la compañía basada en Austin, Texas, el ahora ex-CEO de la desarrolladora de software, Kevin B. Thompson, manejó a la empresa con una visión de eficientar costos en su totalidad, su gestión implicó el renunciar a prácticas de seguridad, incluso las más básicas, con el fin de elevar la remuneración anual total de la empresa que dirigía. Ahora su visión se ha manifestado tan contraproducente como lo es en realidad, pues la pérdida reputacional y la desconfianza que ha sembrado es irreparable: su software es ya visto como una amenaza. En este sentido, una de las medidas adoptadas por Thompson fue el mudar una gran parte de las operaciones a Polonia, República Checa y Belarús, dado el abaratamiento de costos operativos, situación que pudo conducir a que los hackers se implantaran de forma presencial en la empresa y desarrollaran el ataque de forma interna. La falta de visión se extiende al punto de que, pese a la advertencia pública de FireEye sobre la brecha y del aviso por la vulnerabilidad presente en el software de SolarWinds, la compañía siguió ofreciendo el software comprometido en su página por varios días.
La otra empresa que ha tenido que dar la cara por las vulnerabilidades que ha sacado a la luz es Microsoft: su falta de gestión de seguridad hacia su relación con terceros, los cuales revenden sus productos o dependen de soluciones basadas en su software —como es el caso de SolarWinds—, ha puesto en duda el enfoque de seguridad del gigante presidido por Bill Gates. Aunando a esto, de acuerdo a reportes, la compañía también dio a conocer que los hackers tuvieron acceso al repositorio de su código fuente y si bien, no han detallado a qué partes de las líneas centrales de su sistema operativo tuvieron acceso —y de acuerdo a su aviso, los atacantes no tienen la capacidad de modificarlo—, es probable que esto implique futuras explotaciones y vulnerabilidades basadas en el mismo código de Microsoft.
El objetivo
Pese a que las investigaciones avanzan y cada vez más empresas e instancias vulneradas salen a la luz, aún no se detalla el motivo del ataque, ¿cuál es el objetivo? ¿Qué es lo que buscan? De acuerdo a analistas en seguridad, el móvil detrás de todo esto es político: a semanas de que Joe Biden asuma la presidencia de los Estados Unidos, el Kremlin quiere hablar desde una posición aventajada. En palabras de Suzanne Spaulding, ciberoficial principal en el Departamento de Seguridad Interna durante la administración de Obama, "Desconocemos los objetivos estratégicos de los rusos, pero debemos preocuparnos de que gran parte de esto pueda pasar desapercibido. Su meta puede ser el colocarse en una posición tal como para tener poder sobre la nueva administración, como si apuntaran una pistola a nuestras cabezas con el fin de no actuar en contra de Putin".
Los ataques rusos no son una noticia nueva y su red de inteligencia y vigilancia se ha expandido por el mundo; sin embargo se debe observar a esta clase de ataques enfocados, dirigidos y masivos, como un arsenal y, en este caso, el arsenal ruso no tiene parangón.
De acuerdo a oficiales de inteligencia estadounidenses, la S.V.R. es una de las agencias de inteligencia más capaces, al grado de que han logrado pasar completamente desapercibidos al prescindir de comunicaciones electrónicas que puedan ser interceptadas por la Agencia de Seguridad Nacional de Estados Unidos. Nadie sabe qué es lo que saben. Nadie sabe qué es lo que están tramando y, con este ataque, nadie sabe hasta el momento la verdadera magnitud de los daños y la cantidad —y clase— de información que poseen.
La falta de visión
El General Paul M. Nakasone, uno de los altos mandos de Ciberseguridad federal en Estados Unidos ha optado por un acercamiento ofensivo hacia los ciberataques: si logras infiltrar a tus atacantes antes de que ellos lo hagan, podrás desmantelar su plan de forma interna. Si bien, este acercamiento ofensivo le ha resultado útil, no le permitió ver una brecha a gran escala por nueve meses —y sus sistemas no fueron quienes la detectaron. La razón de esto es simple: la visión del General Nakasone se basa en la desconfianza hacia el exterior, "los ataques llegarán de fuera", sin embargo este ataque —posiblemente iniciado desde octubre del 2019— llegó de forma interna, desde servidores localizados en los Estados Unidos. Por otro lado, el foco del 2020 fue proteger el sistema electoral que si bien, de acuerdo a reportes, fue inalterado, tener el foco en un solo punto muy probablemente permitió que muchas otras brechas y vulnerabilidades crecieran bajo sus propias narices. Esto abrió las puertas a los rusos para entrometerse al sistema federal estadounidense desde las redes menos vigiladas y, por lo tanto, más vulnerables.
Algunos expertos en seguridad de la información, hasta el momento, han detallado que intentar erradicar la infección en sus sistemas sería inútil: no sé sabe hasta qué grado está penetrado y posiblemente tardarán meses si no es que años para determinarlo. De acuerdo a ellos, la única salida sería "apagar los sistemas y comenzar desde cero"; sin embargo, hacer algo así, en una escala tan global y en medio de una pandemia fuera de control, sería mucho más dañino y costoso; y en tanto la nueva administración asume el cargo de un país dividido y vulnerado, la moneda está en el aire.
*Equipo Rojo: grupo usualmente independiente contratado por una organización para realizar ataques controlados con el fin de evidenciar y encontrar debilidades explotables desde el exterior. Si te interesa saber más sobre esta clase de ataques controlados, denominados hackeos éticos, te invitamos a ver nuestro webinar gratuito al respecto.
Fuentes