Un ciberataque muy sofisticado
El gigante de la ciberseguridad estadounidense FireEye dio a conocer este mes que su red interna hab¨ªa sido objetivo de un ataque
El 8 de diciembre, el gigante de la ciberseguridad estadounidense FireEye publicaba una nota de prensa en la cual daba a conocer que su red interna ha sido objetivo de un ataque avanzado, y que hab¨ªan sido extra¨ªda una parte de sus herramientas de auditor¨ªa de seguridad. Pese a que la investigaci¨®n del ciberincidente etiquetado por FireEye como UNC2452 y por Microsoft como Solorigate contin¨²a, el origen se remontar¨ªa a la primavera de 2020. No obstante, su alcance ser¨ªa mucho mayor del esperado, pues se habr¨ªan visto afectadas tambi¨¦n la confidencialidad de las comunicaciones internas de Gobiernos y grandes empresas de EE UU, Europa, Asia y Oriente Pr¨®ximo. Los sectores m¨¢s afectados ser¨ªan las compa?¨ªas de telecomunicaciones y contratistas gubernamentales de defensa y seguridad.
Debido a la elevada sofisticaci¨®n t¨¦cnica y al alto grado de preparaci¨®n y organizaci¨®n demostrado por los atacantes, medios como The New York Times y The Washington Post han atribuido esta campa?a de ciberespionaje al grupo APT29, tambi¨¦n conocido como Cozy Bear o Dark Halo, presuntamente vinculado al Servicio de Inteligencia Exterior ruso. Obviamente, el Gobierno de este pa¨ªs ha negado rotundamente cualquier implicaci¨®n. Durante la fase de reconocimiento de sus potenciales v¨ªctimas, los actores detr¨¢s de UNC2452 habr¨ªan averiguado que buena parte de ellas utilizaba SolarWinds Orion Platform, un software empleado por m¨¢s de 300.000 clientes de primer nivel en el mundo. Por tanto, los atacantes establecieron como primera fase de su acci¨®n explotar la relaci¨®n de confianza cliente-proveedor comprometiendo la integridad de la cadena log¨ªstica de distribuci¨®n de las actualizaciones de esta aplicaci¨®n. Merced a este ataque indirecto, permanecieron enmascaradas durante meses tanto la presencia de su herramienta maliciosa, denominada Solarburst por FireEye, como las comunicaciones entre v¨ªctimas y operadores de la campa?a.
Pueden extraerse varias conclusiones del Solorigate. En primer lugar, durante meses se ha visto comprometida la confidencialidad de la informaci¨®n de centenares de organismos p¨²blicos y de grandes compa?¨ªas de diferentes pa¨ªses. La explotaci¨®n de esta jugosa informaci¨®n reportar¨¢ grandes beneficios a los atacantes, y grandes p¨¦rdidas a las v¨ªctimas. Adem¨¢s, la cotizaci¨®n en Bolsa de varias de las empresas atacadas se ha visto seriamente afectada. En segundo lugar, queda demostrada la capacidad de determinados grupos APT para atacar simult¨¢neamente a m¨²ltiples objetivos de alto valor estrat¨¦gico, algo que solo puede realizarse si se opera org¨¢nica o funcionalmente bajo el amparo de un Estado. Y, en tercer lugar, las compa?¨ªas se ver¨¢n obligadas a invertir mayores recursos en ciberseguridad para verificar la integridad del software que se ejecuta en sus sistemas.
Mario Guerra Soto es responsable de la seguridad corporativa de Disruptive Consulting.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
