Las maldades cibernéticas parecen estar a la orden del día. La pandemia ha aumentado los incidentes en el ciberespacio, los motivos son especulación, aunque la rápida digitalización de los procesos para permitir el teletrabajo, sin duda, debe haber abierto oportunidades a los ciberdelincuentes.
En el TEDxPuraVida virtual denominado Transformación, el experto en ciberseguridad Ryan Goss, mencionó un artículo de la CNBC en el que se afirmaba que, durante la pandemia, las violaciones de la ciberseguridad aumentaron un 263%, el ransomeware un 90% y los ataques maliciosos (los que destruyen datos e infraestructura) un 102%.
En su charla, en setiembre, también aseguró que los métodos y técnicas de ataque eran básicamente los mismos de siempre.
Goss labora en la renombrada empresa de ciberseguridad FireEye, basada en Silicon Valley, y dijo que no era suficiente con implementar controles —con software— y asumir que todo iba a estar bien, pues también era necesario validar constantemente, y de manera automática, que los controles estuvieran funcionando como deben, en tiempo real, no mediante simulaciones.
Noticias perturbadoras. Tres meses después estamos leyendo noticias muy perturbadoras. El 8 de diciembre, The New York Times informó de que FireEye había sido hackeada. Según el reportaje, la empresa indicó que sus sistemas habían sido penetrados por una «nación con capacidades ofensivas de primer nivel», quienes, utilizaron «técnicas novedosas» para alzarse con herramientas de software que podrían ser usadas para montar ataques a otras organizaciones.
El 14 de diciembre, The Economist publicó un reportaje de ciberespionaje en el que cuenta cómo un equipo de hackers rusos —conocidos como Cozy bear— irrumpió en el corazón del gobierno de los Estados Unidos.
En la lista de agencias vulneradas se incluyó a los departamentos de Tesorería, Comercio y Seguridad Doméstica, así como al Instituto Nacional de Salud, donde aparentemente podían leer correos a gusto.
Pero la intrusión siguió una ruta tortuosa. Entre marzo y junio, la empresa de software Solarwinds, basada en Texas, distribuyó 18.000 copias de la última versión de Orion, ampliamente utilizado por organizaciones (incluyendo a FireEye) para el monitoreo de sus redes.
Esta versión de Orion traía un programa maligno que permitía a los hackers hacerse pasar por administradores del sistema, lo cual típicamente confiere todo tipo de accesos y privilegios, y podían permanecer activos aun cuando Orion no lo estuviera.
El 17 de diciembre, Wired Magazine publicó un artículo de dos autoras e investigadoras de ciberseguridad militar, haciendo una clara diferencia entre espionaje y la guerra en el web.
El artículo especifica que el ataque a Solarwinds fue un acto de espionaje, no un acto de guerra. Comentan las estrategias de ciberdefensa de los Estados Unidos, una de disuasión y otra de «defender hacia adelante».
Alegan que la disuasión no es muy efectiva en el ciberespacio, pero defender hacia delante consiste en atacar proactivamente las capacidades ofensivas de los oponentes, y esa sí, aducen, puede ser más efectiva.
El 18 de diciembre, Ars Technica citó al presidente de Microsoft diciendo que el hackeo de Solarwinds fue un acto de extrema imprudencia. De las 18.000 organizaciones expuestas, los hackers solo siguieron con la segunda fase del ataque en el 0,2% de ellas, unas 40 empresas e instituciones.
El 44% de las organizaciones afectadas fueron empresas de tecnología, el 18% agencias gubernamentales y el 9% contratistas del Estado estadounidense.
El 80% de las organizaciones vulneradas están localizadas en los Estados Unidos. Brad Smith, el presidente de Microsoft, insistió en que no fue un acto de «espionaje común» aún en la era digital, sino un acto de imprudencia que creó una seria vulnerabilidad tecnológica para todo el mundo.
De hecho, aseguró Smith, este no fue un ataque a blancos específicos, sino un ataque a la confianza y formalidad de la infraestructura crítica del mundo, para avanzar hacia la agencia de inteligencia de un país.
En la nube. El 21 de diciembre, Investor’s Business Daily publicó el impacto de este incidente en el precio de las acciones de las empresas de ciberseguridad. En esta ocasión, el mercado parece estar favoreciendo a empresas que ofrecen servicios de seguridad en la nube, por encima de las tradicionales que ofrecen un software que debe ser instalado y actualizado en los equipos del cliente.
Para mí, es claro que no hemos oído el final de esta historia, pero me preocupa profundamente que se haya comprometido la cadena de suministro de software.
En las ocasiones que me ha tocado revisar los resultados de la auditoría de seguridad en una organización, las empresas auditoras siempre revisan de primero que se hayan instalado las últimas versiones de todas las piezas de software importantes para la seguridad.
Siempre he sostenido que mientras no tengan las últimas versiones es una clara vulnerabilidad, aunque tenerlas tampoco garantiza una seguridad absoluta. Estar siempre seguros de contar con las últimas versiones es una tarea ardua, pero no suficiente.
Hay que asegurarse que dichas versiones estén limpias y demás, hay que asegurarse que todas estén bien configuradas, que todos los permisos y privilegios estén bien concedidos y documentados.
Las personas encargadas de la ciberseguridad de una organización tienen una tarea ingrata, ya que cuando hacen todo bien, no pasa nada. Y cuando pasa algo, son siempre malas noticias.
Hay que reconocer la valiente actitud de FireEye, no solo reconociendo haber sido víctima de un ataque de los que ellos defienden a sus clientes, sino implementando una minuciosa campaña de análisis de lo ocurrido e informando a todos los involucrados, paso a paso de sus descubrimientos, la total transparencia es clave y necesaria.
En el Club de Investigación Tecnológica hemos tratado el tema de ciberseguridad muchas veces y siempre pegamos con la misma piedra. Siempre se ha sabido que la transparencia en compartir información es la base de la seguridad de la comunidad, ya sea de una industria, un país, o incluso el mundo libre.
Hemos intentado promover o proveer los medios para que la información se comparta transparentemente y, a pesar de que hay consenso en que la transparencia es fundamental para la defensa de todos, nadie parece dispuesto a compartir.
No queda más que intentarlo de nuevo y esperar que esta vez, con la cadena de suministro de software comprometida, todos entendamos la importancia de compartir información y lo hagamos de manera proactiva y transparente.
El autor es ingeniero.