El hackeo ruso.

Los que están detrás de la intrusión generalizada en las redes gubernamentales y corporativas explotaron las costuras de las defensas de EE.UU. y no dieron nada a la vigilancia americana de sus sistemas.

El día de las elecciones, el general Paul M. Nakasone, el principal ciberguerrero del país, informó que la batalla contra la interferencia rusa en la campaña presidencial había tenido grandes éxitos y había puesto al descubierto las armas, las herramientas y el oficio de la otra parte en línea.

«Hemos ampliado nuestras operaciones y nos sentimos muy bien donde estamos ahora mismo», dijo a los periodistas.

Ocho semanas más tarde, el general Nakasone y otros funcionarios estadounidenses responsables de la seguridad cibernética están ahora consumidos por lo que se perdieron durante al menos nueve meses: un pirateo informático, que ahora se cree que afectó a más de 250 agencias y empresas federales, que Rusia no se dirigió al sistema electoral sino al resto del gobierno de los Estados Unidos y a muchas grandes empresas estadounidenses.

Tres semanas después de que la intrusión saliera a la luz, los funcionarios estadounidenses siguen tratando de entender si lo que los rusos lograron fue simplemente una operación de espionaje dentro de los sistemas de la burocracia estadounidense o algo más siniestro, insertando un acceso «por la puerta trasera» en los organismos gubernamentales, las grandes empresas, la red eléctrica y los laboratorios que desarrollan y transportan nuevas generaciones de armas nucleares.

Como mínimo ha disparado alarmas sobre la vulnerabilidad de las redes del gobierno y del sector privado de los Estados Unidos para atacar y ha planteado preguntas sobre cómo y por qué las ciberdefensas de la nación fracasaron tan espectacularmente.

Esas preguntas han cobrado especial urgencia dado que la brecha no fue detectada por ninguna de las agencias gubernamentales que comparten la responsabilidad de la ciberdefensa – el Comando Cibernético del ejército y la Agencia de Seguridad Nacional, ambos dirigidos por el General Nakasone, y el Departamento de Seguridad Nacional – sino por una empresa privada de ciberseguridad, FireEye.

«Esto se ve mucho, mucho peor de lo que temía al principio», dijo el senador Mark Warner, demócrata de Virginia y miembro de alto rango del Comité de Inteligencia del Senado. «El tamaño de esto se sigue expandiendo. Está claro que el gobierno de los Estados Unidos se lo perdió.»

«Y si FireEye no se hubiera presentado», añadió, «no estoy seguro de que fuéramos a ser plenamente conscientes de ello hasta el día de hoy».

Las entrevistas con los principales actores que investigan lo que las agencias de inteligencia creen que es una operación del servicio de inteligencia de la URSS revelaron estos puntos:

La brecha es mucho más amplia de lo que se creía. Las estimaciones iniciales fueron que Rusia envió sus sondas sólo a unas pocas docenas de las 18.000 redes gubernamentales y privadas a las que tuvieron acceso cuando insertaron el código en el software de gestión de redes de una empresa de Texas llamada SolarWinds. Pero a medida que empresas como Amazon y Microsoft, que proporcionan servicios de nube, profundizan en la búsqueda de pruebas, parece que Rusia explotó múltiples capas de la cadena de suministro para obtener acceso a hasta 250 redes.

Los hackers gestionaron su intrusión desde servidores dentro de los Estados Unidos, explotando las prohibiciones legales de la Agencia de Seguridad Nacional de participar en la vigilancia nacional y eludiendo las ciberdefensas desplegadas por el Departamento de Seguridad Nacional.

Los sensores de «alerta temprana» colocados por el Comando Cibernético y la Agencia de Seguridad Nacional en lo profundo de las redes extranjeras para detectar los ataques que se estaban gestando fallaron claramente. Tampoco hay indicios todavía de que ninguna inteligencia humana alertara a los Estados Unidos de la piratería.

El énfasis del gobierno en la defensa de las elecciones, aunque crítico en 2020, puede haber desviado los recursos y la atención de problemas de larga data como la protección de la «cadena de suministro» de software. En el sector privado, también, las empresas que se centraban en la seguridad de las elecciones, como FireEye y Microsoft, están revelando ahora que fueron violadas como parte de un ataque más amplio a la cadena de suministro.

SolarWinds, la empresa que los piratas informáticos utilizaron como conducto para sus ataques, tenía un historial de seguridad mediocre para sus productos, lo que la convertía en un blanco fácil, según empleados actuales y antiguos e investigadores del gobierno. Su director ejecutivo, Kevin B. Thompson, que deja su trabajo después de 11 años, ha evitado la pregunta de si su empresa debería haber detectado la intrusión.

Algunos de los programas informáticos comprometidos de SolarWinds fueron diseñados en Europa del Este, y los investigadores estadounidenses están examinando ahora si la incursión se originó allí, donde los agentes de la inteligencia rusa están profundamente arraigados.

Las intenciones detrás del ataque permanecen ocultas. Pero con una nueva administración tomando posesión en tres semanas, algunos analistas dicen que los rusos pueden estar tratando de sacudir la confianza de Washington en la seguridad de sus comunicaciones y demostrar su ciberespacio para ganar influencia contra el presidente electo Joseph R. Biden Jr. antes de las conversaciones sobre armas nucleares.

«Todavía no sabemos cuáles eran los objetivos estratégicos de Rusia», dijo Suzanne Spaulding, que fue la principal ciberfuncionaria del Departamento de Seguridad Nacional durante la administración Obama. «Pero deberíamos preocuparnos de que parte de esto pueda ir más allá del reconocimiento. Su objetivo puede ser ponerse en posición de tener influencia sobre la nueva administración, como apuntarnos un arma a la cabeza para disuadirnos de actuar para contrarrestar a Putin».

La creciente lista de éxitos
El gobierno de EE.UU. fue claramente el principal foco del ataque, con el Departamento del Tesoro, el Departamento de Estado, el Departamento de Comercio, el Departamento de Energía y partes del Pentágono entre las agencias confirmadas como infiltradas. (El Departamento de Defensa insiste en que los ataques a sus sistemas no tuvieron éxito, aunque no ha ofrecido ninguna prueba).

Pero el hackeo también afectó a un gran número de corporaciones, muchas de las cuales aún no han dado un paso adelante. Se cree que SolarWinds es uno de los varios proveedores de la cadena de suministro que Rusia usó en la piratería. Microsoft, que había contado con 40 víctimas hasta el 17 de diciembre, dijo inicialmente que no había sido violado, sólo para descubrir esta semana que lo había sido – y que los revendedores de su software también lo habían sido. Una evaluación no reportada previamente por el equipo de inteligencia de Amazon encontró que el número de víctimas puede haber sido cinco veces mayor, aunque los funcionarios advierten que algunas de ellas pueden ser contadas dos veces.

Públicamente, los funcionarios han dicho que no creen que los hackers de la S.V.R. de Rusia perforaron los sistemas clasificados que contienen comunicaciones y planes sensibles. Pero en privado, los funcionarios dicen que aún no tienen una idea clara de lo que podría haber sido robado.

Dijeron que les preocupaban los datos delicados pero no clasificados que los hackers podrían haber tomado de víctimas como la Comisión Federal Reguladora de la Energía, incluyendo Black Start, los planos técnicos detallados de cómo los Estados Unidos planea restaurar la energía en caso de un apagón catastrófico.

Los planes darían a Rusia una lista de sistemas a los que apuntar para evitar que se restablezca la energía en un ataque como el que realizó en Ucrania en 2015, cortando la energía durante seis horas en pleno invierno. Moscú hace tiempo que implantó malware en la red eléctrica americana, y los Estados Unidos han hecho lo mismo con Rusia como elemento disuasorio.

Una cadena de suministro comprometida
Uno de los principales focos de la investigación hasta ahora ha sido SolarWinds, la compañía con sede en Austin cuyo software actualiza los hackers comprometidos.

Pero el brazo de seguridad cibernética del Departamento de Seguridad Nacional concluyó que los hackers trabajaban a través de otros canales, también. Y la semana pasada, CrowdStrike, otra compañía de seguridad, reveló que también fue blanco, sin éxito, de los mismos hackers, pero a través de una compañía que revende software de Microsoft.

Dado que a los revendedores se les suele confiar la configuración del software de los clientes, ellos -como SolarWinds- tienen un amplio acceso a las redes de los clientes de Microsoft. Como resultado, pueden ser un caballo de Troya ideal para los hackers de Rusia. Los funcionarios de inteligencia han expresado su ira por el hecho de que Microsoft no haya detectado el ataque antes; la compañía, que dijo el jueves que los hackers vieron su código fuente, no ha revelado cuáles de sus productos fueron afectados o por cuánto tiempo los hackers estuvieron dentro de su red.

«Apuntaron a los puntos más débiles de la cadena de suministro y a través de nuestras relaciones más confiables», dijo Glenn Chisholm, fundador de Obsidian Security.

Entrevistas con empleados y ex empleados de SolarWinds sugieren que fue lento hacer de la seguridad una prioridad, incluso cuando su software fue adoptado por la principal compañía de seguridad cibernética de Estados Unidos y las agencias federales.

Los empleados dicen que bajo la dirección del Sr. Thompson, contador de formación y ex director financiero, se examinaron todas las partes de la empresa para reducir los costos y se evitaron las prácticas de seguridad comunes debido a sus gastos. Su enfoque ayudó a casi triplicar los márgenes de beneficios anuales de SolarWinds hasta más de 453 millones de dólares en 2019, frente a los 152 millones de dólares de 2010.

Pero algunas de esas medidas pueden haber puesto a la empresa y a sus clientes en un mayor riesgo de ataque. SolarWinds trasladó gran parte de su ingeniería a las oficinas de los satélites en la República Checa, Polonia y Belarús, donde los ingenieros tuvieron amplio acceso al software de gestión de la red Orion que los agentes de Rusia comprometieron.

La compañía sólo ha dicho que la manipulación de su software fue obra de hackers humanos y no de un programa informático. No ha abordado públicamente la posibilidad de que un infiltrado esté involucrado en la infracción.

Ninguno de los clientes de SolarWinds contactados por el New York Times en las últimas semanas eran conscientes de que dependían de un software que se mantenía en Europa del Este. Muchos dijeron que ni siquiera sabían que estaban usando el software de SolarWinds hasta hace poco.

Incluso con su software instalado en redes federales, los empleados dijeron que SolarWinds no empezó a trabajar en seguridad hasta 2017, bajo la amenaza de ser penalizado por una nueva ley de privacidad europea. Sólo entonces, dicen los empleados, SolarWinds contrató a su primer jefe de información e instaló un vicepresidente de «arquitectura de seguridad».

Ian Thornton-Trump, antiguo asesor de seguridad cibernética de SolarWinds, dijo que ese año advirtió a la dirección que, a menos que adoptara un enfoque más proactivo en su seguridad interna, un episodio de seguridad cibernética sería «catastrófico». Después de que sus recomendaciones básicas fueran ignoradas, el Sr. Thornton-Trump dejó la empresa.

SolarWinds se negó a abordar las cuestiones sobre la adecuación de su seguridad. En una declaración, dijo que era «víctima de un ciberataque altamente sofisticado, complejo y dirigido» y que estaba colaborando estrechamente con las fuerzas del orden, los organismos de inteligencia y los expertos en seguridad para investigar.

Pero los expertos en seguridad señalan que pasaron días después de que se descubriera el ataque ruso antes de que los sitios web de SolarWinds dejaran de ofrecer a sus clientes código comprometido.

Ofensa sobre la defensa
Miles de millones de dólares en presupuestos de seguridad cibernética han fluido en los últimos años a programas de espionaje ofensivo y de acción preventiva, lo que el General Nakasone llama la necesidad de «defenderse hacia adelante» hackeando las redes de los adversarios para tener una visión temprana de sus operaciones y contrarrestarlas dentro de sus propias redes, antes de que puedan atacar, si es necesario.

Pero ese enfoque, aunque se aclamó como una estrategia largamente esperada para adelantarse a los ataques, pasó por alto la brecha rusa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *