IE 11 is not supported. For an optimal experience visit our site on another browser.

La lista de agencias del Gobierno atacadas por hackers rusos crece. Esto es lo que se sabe hasta ahora

El objetivo de la reciente ofensiva fue una compañía de ciberseguridad en Texas llamada SolarWinds, que distribuye software a agencias del Gobierno y empresas de todo el mundo. El alcance total del daño aún no está claro.
/ Source: Telemundo

El Departamento de Seguridad Nacional, el Departamento de Estado, los Institutos Nacionales de Salud y partes del Departamento de Defensa están también en la lista de agencias gubernamentales víctimas de un ciberataque que se atribuyó a piratas informáticos rusos, según reportaron varios medios este lunes.  

El objetivo de esta ofensiva fue una empresa de ciberseguridad en Texas llamada SolarWinds que distribuye software a las empresas más importantes del mundo.

El alcance total del daño aún no está claro.

Pero la amenaza fue lo suficientemente significativa como para que la unidad de ciberseguridad del Departamento de Seguridad Nacional (DHS, por su sigla en inglés) ordenara a todas las agencias federales que eliminaran el programa informático de SolarWinds, la empresa que fue blanco del ataque. 

[Consejos para evitar ciberataques mientras sus hijos estudian en casa]

Se espera que miles de empresas que usan también ese software hagan lo mismo. El hecho de que partes del Departamento de Defensa estuvieron involucradas fue reportado por el diario The New York Times. 

El ataque fue una clara evidencia de la vulnerabilidad de las redes gubernamentales, a pesar de que ya han sufrido ataques en el pasado. Se espera que la lista de afectados crezca e incluya más agencias federales y numerosas empresas privadas, según funcionarios y fuentes citadas por el diario The Washington Post, quienes hablaron bajo condición de anonimato.

"Es un recordatorio de que el ataque es más fácil que la defensa y todavía tenemos mucho trabajo por hacer", explicó a The Associated Press Suzanne Spaulding, asesora principal del Centro de Estudios Estratégicos e Internacionales y exfuncionaria de ciberseguridad del Gobierno. 

Oficinas de FireEye
Oficinas de FireEye en Milpitas, California, el miércoles 11 de febrero de 2015.AP Photo/Ben Margot

El ataque comenzó en marzo, cuando se introdujo un código malicioso en las actualizaciones de la herramienta que monitorea las redes informáticas de empresas y Gobiernos. No se descubrió hasta que la empresa de ciberseguridad FireEye reveló que había sido pirateada. Quienquiera que irrumpió en FireEye buscaba datos sobre sus clientes gubernamentales, según la compañía.

SolarWinds fabrica software de administración de redes, está ubicada en Texas y cuenta con más de 300,000 clientes en todo el mundo, incluidas agencias federales y compañías de la lista Fortune 500 de las mayores empresas públicas estadounidenses, según NBC News, cadena hermana de Telemundo. 

[Putin felicita a Biden por su victoria en las elecciones tras resistirse durante semanas]

La empresa informó el lunes que "menos de 18,000" de sus clientes pueden haber sido afectados. Rusia ha negado cualquier papel en las intrusiones.

La infracción es lo suficientemente grave como para desencadenar una directiva de emergencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU., que instruye a todas las agencias gubernamentales a detener el uso de la última versión del software de SolarWinds.

El ataque fue llevado a cabo por hackers del Gobierno ruso que se conocen con el apodo de APT29 o Cozy Bear y son parte del servicio de inteligencia exterior de esa nación, según dos fuentes citadas por The Washington Post.

SolarWinds dijo que se le informó que un "estado fuera de la nación" se infiltró en sus sistemas con malware. Ni el Gobierno de Estados Unidos ni las empresas afectadas han dicho públicamente qué estado nacional creen que es responsable.

Un funcionario estadounidense, que habló bajo condición de anonimato debido a que la investigación está en curso, declaró a The Associated Press el lunes que se sospecha de piratas informáticos rusos. Rusia dijo el lunes que "no tiene nada que ver" con la intrusión.

"Una vez más, rechazo estas acusaciones", declaró a los periodistas el portavoz del Kremlin, Dmitry Peskov. "Si durante muchos meses los estadounidenses no pudieron hacer nada al respecto no deberían culpar infundadamente a los rusos por todo", alegó.

[Un 'hackeo' colapsa una red hospitalaria en uno de los peores ciberataques al sistema médico de EE.UU.]

SolarWinds "es una empresa que tiene acceso remoto a cientos de miles de organizaciones en todo el mundo, incluidas algunas de las empresas más grandes y las agencias gubernamentales más críticas", explicó a NBC News Dmitri Alperovitch, cofundador de la firma de ciberseguridad CrowdStrike y presidente de Silverado Policy Accelerator. "Y simplemente comprometiéndolos, inmediatamente abre la puerta a todos estos objetivos". 

Su herramienta comprometida, llamado Orion, representa casi la mitad de los ingresos anuales de SolarWinds, que durante los primeros nueve meses de este año aumentó 753.9 millones de dólares. El allanamiento les dio a los atacantes acceso a todas esas redes.

Las acciones de la firma cayeron un 17% el lunes, según un informe financiero que avisó a unos 33,000 de los clientes que utilizan Orion que podrían haberse visto afectados.

“SolarWinds era claramente una puerta por la que podían pasar. Estamos cerrando esta puerta. Pero todavía están en estas organizaciones. Hay muchos equipos de seguridad que probablemente seguirán trabajando en este problema durante la Navidad", aclaró.

¿Fue afectado mi lugar de trabajo?

Ni SolarWinds ni las autoridades de ciberseguridad han identificado públicamente qué organizaciones fueron violadas. El hecho de que una empresa o agencia utilice SolarWinds como proveedor no significa necesariamente que hayan sido vulnerados. El malware [programa maligno] se introdujo en las actualizaciones de Orion lanzadas entre marzo y junio, pero no todos los clientes las instalaron.

Los piratas informáticos apuntaron a la organización de manera premeditada. El hackeo a ese nivel es costoso y los intrusos solo eligieron objetivos con información muy codiciada porque el riesgo de ser detectados aumentaba cada vez que activaban el malware, explicó Charles Carmakal, ejecutivo de FireEye.

[Más de 110,000 estudiantes se quedan sin clases en Maryland por un ataque informático “catastrófico”]

El método utilizado para distribuir el malware a través del programa informático de SolarWinds recordó la técnica que los hackers militares rusos usaron en 2016 para infectar empresas que hacen negocios en Ucrania con el virus NotPetya, que borra el disco duro, y que se convirtió en el ciberataque más dañino hasta la fecha.

En ese caso, los piratas informáticos insertaron un 'gusano' informático, un virus que se replica para propagarse a otras computadoras con las actualizaciones de SolarWinds. El ataque requería "planificación meticulosa e interacción manual", según FireEye.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por su sigla en inglés) del DHS emitió el lunes un inusual comunicado en el que pide a cualquier persona que tenga información sobre el suceso que se ponga en contacto con ellos a través del correo central@cisa.gov.

Con información de AP, The Washington PostNBC NewsReuters y The New York Times.