Quienes estamos en ciberseguridad sabemos que el desafío que tenemos por delante es enorme durante el 2021. La pandemia tapó en los medios de alguna manera el ciberataque más grande cometido en los últimos años, que ocurrió apenas hace unos días finalizando el 2020. 

El ataque consistió en vulnerar la plataforma de administración de infraestructura Orion, de la empresa estadounidense SolarWinds, que es ni más ni menos un software muy completo que permite administrar prácticamente de manera automatizada cientos o miles de computadoras a la vez dentro de una red en una organización. 

Lo particular de este ataque fue que la intención no era vulnerar a la empresa SolarWinds, sino a sus más de 300.000 clientes en todo el mundo. Entre ellos, el ejército de EE.UU. junto con el Pentágono, los departamentos de Estado, Comercio, y el Tesoro de ese país incluyendo la oficina presidencial. A la lista de organismos públicos estadounidenses se les suman la NASA, la NSA, el Instituto Nacional de Salud y Homeland Security. Por supuesto que también otros gobiernos de diferentes países fueron afectados por utilizar el mismo programa.

Marcos Mansueti aseveró que los nuevos ataques se concentrarán en empresas que proveen servicios a otras empresas

Los privados tampoco se salvaron. Empresas como Microsoft, Credit Suisse, Visa, Ford, Mastercard, PwC, CBs, Time Warner, Cisco, EY!, Kodak, Nestlé, Yahoo entre cientos de organizaciones también fueron vulneradas.

La empresa de seguridad informática FireEye fue quien detectó el pasado 13 de diciembre la existencia de Sunburst, un programa malicioso que permite que dentro de Orion de SolarWinds se pueda tener un control casi total de los equipos afectados. A esta incidencia se la bautizó como UNC2452. Este mini programa oculto permite transferir archivos, ejecutar programas, tener información completa de las computadoras, reiniciarlas, y deshabilitar servicios o programas como los antivirus o, peor aún, poner antivirus tipo placebo entre otros. Todo de manera invisible.

Se estima que el virus estuvo instalado desde hacía más de medio año sin que nadie hubiera advertido esta situación. Inmediatamente el gobierno de Estados Unidos indicó que, en base a una investigación, detectó que el ataque provino de Rusia por una simple razón: parte del código fuente del programa se encuentra en ruso. Tal como sucedió en el primer ciberataque de Rusia a EE.UU. en 1999, conocido como Moonlight Maze. Pero nada quita la posibilidad de que, en realidad, lo haya escrito un tercero, a propósito en ruso, para que se llegue a esa conclusión. No lo sabremos.

La obligación de informar

Las nuevas leyes que existen en el planeta sobre tratamiento de datos y seguridad como GPDR (General Data Protection Regulation) en Europa obligan -pese a las consecuencias legales y/o de imagen que pueda traer una brecha de seguridad- la obligación de informar e investigar apenas suceden los incidentes. Sino las multas son millonarias y se hacen ejecutar inmediatamente.

A medida que pasan los años los gobiernos y empresas van teniendo conciencia del tratamiento responsable de datos, sobre todo la información personal, de salud, e impositiva de los ciudadanos. Y a esto se le tiene que sumar lo que se conoce como infraestructuras críticas.

Cada vez más son las ciudades y edificios que tienen los controles automatizados por computadoras que, a su vez, poseen sistemas operativos y plataformas de gestión como las que fueron hackeadas. También son infraestructuras críticas las plataformas de gestión documental de cada país y/o empresa que, con el tiempo, han reemplazado al uso del papel. Pero no todos los gobiernos han actualizado su legislación como lo ha hecho Europa pese al avance de la tecnología, la criticidad y los ciberataques. Es una gran materia pendiente. 

Esta hiperconectividad de redes no solamente involucra a que se conecten computadoras con computadoras, sino también represas hidroeléctricas, plantas generadoras de energía, sistemas de semáforos, telecomunicaciones, satelitales y videovigilancia entre otros. Sumado a lo que ya se conoce como internet de las cosas donde prácticamente en algunos lugares del planeta todos los elementos de un hogar están conectados a Internet.

El ataque contra SolarWinds "escondió" los que se perpetraron contra cientos de empresas tecnológicas y de otros rubros

Lo preocupante es que la mayoría de estos últimos elementos dentro de un hogar se encuentran conectados a Internet con configuraciones por defecto y sin un cortafuegos (firewall) en el medio, por lo cual cualquiera podría tener acceso a la casa de uno, o incluso, el mismo fabricante. Ni hablar de la cantidad de personas que han introducido en los últimos años micrófonos abiertos las 24 horas como Alexa. En mi libro "Paranoia Digital" advertí que quienes tienen un celular y piensan que se trata sólo de un teléfono con funciones adicionales deben entender de una vez que llevan consigo una cámara, con micrófono y geolocalizador que además permite hablar por teléfono. Es decir todo lo opuesto a lo que creen.

Lo destacado de este ataque es que se ejecutó a la perfección: lo que se conoce como ataque a la cadena de suministro (supply chain attack). Por carácter transitivo de confianza toda actualización e instalación se encuentra de alguna manera pre-aprobada y dentro de eso, el código fuente y/o programa malicioso.

En este caso, todos las organizaciones y empresas que utilizaban Orion de SolarWinds confiaron en su seguridad y en las actualizaciones que indicaba sin cuestionarlo. Ni siquiera la misma SolarWinds. Es decir, cada organización y empresa confía en la firma digital de su proveedor. Y si el virus viene encapsulado dentro de una actualización que está firmada con un certificado digital del proveedor los sistemas generalmente no lo cuestionan. Lo instalan y punto. Y desde ese momento el atacante puede hacer lo que quiera.

Todos atacados

La seguridad informática es más o menos como la infidelidad, nadie se salva de padecerla (comparado con un ataque) y existen dos grupos de personas: los que se enteran y los que nunca se enteran. Un virus o programa malicioso como estos puede estar instalado durante meses, años y nadie jamás enterarse. De hecho, también en parte así funcionan los conocidos ataques como denegación de servicio (DDoS) consistente en miles de computadoras de diferentes lugares que realizan una misma solicitud a un servidor a la vez con el fin de agotar su capacidad con la de la red y así quitarla del "aire". Para perpetrar este ataque, es necesario previamente contagiar a esas miles de computadoras con programas "zombies" con anticipación sin que nada los detecte con el fin de que, el día que reciban la orden, puedan atacar todas juntas cuando la cantidad de computadoras zombies sea la necesaria.

Nadie puede a ciencia cierta determinar qué o cuánta información pudieron sustraer ni de dónde, ni desde cuándo. Menos aún quiénes. Lo que sí se sabe es que se confirma más que nunca que no existe el 100% de seguridad en seguridad de la información y/o seguridad informática y que tampoco se puede delegar toda la seguridad de la misma en soluciones que ya son más que nunca vectores de ataque, para ejecutar los ataques de cadena de suministros. Soluciones que de por sí valen miles de millones de dólares pero que a la hora de una brecha de seguridad nadie les puede reclamar un sólo centavo, y ellos tampoco se hacen responsables. A lo sumo, emiten un comunicado y brindan un software nuevo que tal vez corrija esa falla de seguridad. Hasta que vuelva a conocerse una nueva. 

SolarWinds no fue la única empresa que resultó atacada el año pasado. F5, Zyxel y Cisco, entre otras, también fueron afectadas y eso preocupa porque en varios casos son empresas que entre las diversas soluciones que ofrecen están las de seguridad junto con las de acceso remoto a las empresas, con lo que si este tipo de ataques sigue creciendo, los gobiernos, organizaciones y empresas deberán tal vez en algún momento entrar en la disyuntiva y decidir qué es más importante ¿la seguridad de la información puertas adentro o bien continuar con el trabajo remoto por la pandemia y seguir utilizando estas soluciones de confianza por carácter transitivo con accesos que tal vez se estén ejecutando sin que nadie se entere y así generando una nueva brecha de seguridad?

Quienes consideren que es más importante la seguridad de la información a cualquier precio no tendrán problema en cerrar todas las conexiones entrantes de manera remota con o sin pandemia.

Los atacantes lo tienen clarísimo y por eso los nuevos objetivos ya no son más los endpoints, es decir, las computadoras de los usuarios o los usuarios finales de manera directa. Sino que serán quienes provean soluciones masivas de administración y de seguridad, hardware,  sistemas operativos, actualizaciones y, a la vez, las mismas personas que administran equipos y seguridad informática en las empresas. Todos ellos son los nuevos vectores y objetivos de futuros ataques en este 2021.

*  Especialista en seguridad informática. Autor del libro Paranoia digital