Un ciberataque muy sofisticado

El 8 de diciembre, el gigante de la ciberseguridad estadounidense FireEye publicaba una nota de prensa en la cual daba a conocer que su red interna ha sido objetivo de un ataque avanzado, y que hab¨ªan sido extra¨ªda una parte de sus herramientas de auditor¨ªa de seguridad. Pese a que la investigaci¨®n del ciberincidente etiquetado por FireEye como UNC2452 y por Microsoft como Solorigate contin¨²a, el origen se remontar¨ªa a la primavera de 2020. No obstante, su ...

El 8 de diciembre, el gigante de la ciberseguridad estadounidense FireEye publicaba una nota de prensa en la cual daba a conocer que su red interna ha sido objetivo de un ataque avanzado, y que hab¨ªan sido extra¨ªda una parte de sus herramientas de auditor¨ªa de seguridad. Pese a que la investigaci¨®n del ciberincidente etiquetado por FireEye como UNC2452 y por Microsoft como Solorigate contin¨²a, el origen se remontar¨ªa a la primavera de 2020. No obstante, su alcance ser¨ªa mucho mayor del esperado, pues se habr¨ªan visto afectadas tambi¨¦n la confidencialidad de las comunicaciones internas de Gobiernos y grandes empresas de EE UU, Europa, Asia y Oriente Pr¨®ximo. Los sectores m¨¢s afectados ser¨ªan las compa?¨ªas de telecomunicaciones y contratistas gubernamentales de defensa y seguridad.

Debido a la elevada sofisticaci¨®n t¨¦cnica y al alto grado de preparaci¨®n y organizaci¨®n demostrado por los atacantes, medios como The New York Times y The Washington Post han atribuido esta campa?a de ciberespionaje al grupo APT29, tambi¨¦n conocido como Cozy Bear o Dark Halo, presuntamente vinculado al Servicio de Inteligencia Exterior ruso. Obviamente, el Gobierno de este pa¨ªs ha negado rotundamente cualquier implicaci¨®n. Durante la fase de reconocimiento de sus potenciales v¨ªctimas, los actores detr¨¢s de UNC2452 habr¨ªan averiguado que buena parte de ellas utilizaba SolarWinds Orion Platform, un software empleado por m¨¢s de 300.000 clientes de primer nivel en el mundo. Por tanto, los atacantes establecieron como primera fase de su acci¨®n explotar la relaci¨®n de confianza cliente-proveedor comprometiendo la integridad de la cadena log¨ªstica de distribuci¨®n de las actualizaciones de esta aplicaci¨®n. Merced a este ataque indirecto, permanecieron enmascaradas durante meses tanto la presencia de su herramienta maliciosa, denominada Solarburst por FireEye, como las comunicaciones entre v¨ªctimas y operadores de la campa?a.

Pueden extraerse varias conclusiones del Solorigate. En primer lugar, durante meses se ha visto comprometida la confidencialidad de la informaci¨®n de centenares de organismos p¨²blicos y de grandes compa?¨ªas de diferentes pa¨ªses. La explotaci¨®n de esta jugosa informaci¨®n reportar¨¢ grandes beneficios a los atacantes, y grandes p¨¦rdidas a las v¨ªctimas. Adem¨¢s, la cotizaci¨®n en Bolsa de varias de las empresas atacadas se ha visto seriamente afectada. En segundo lugar, queda demostrada la capacidad de determinados grupos APT para atacar simult¨¢neamente a m¨²ltiples objetivos de alto valor estrat¨¦gico, algo que solo puede realizarse si se opera org¨¢nica o funcionalmente bajo el amparo de un Estado. Y, en tercer lugar, las compa?¨ªas se ver¨¢n obligadas a invertir mayores recursos en ciberseguridad para verificar la integridad del software que se ejecuta en sus sistemas.

Mario Guerra Soto es responsable de la seguridad corporativa de Disruptive Consulting.