Un ciberataque muy sofisticado
El gigante de la ciberseguridad estadounidense FireEye dio a conocer este mes que su red interna había sido objetivo de un ataque
El 8 de diciembre, el gigante de la ciberseguridad estadounidense FireEye publicaba una nota de prensa en la cual daba a conocer que su red interna ha sido objetivo de un ataque avanzado, y que habían sido extraída una parte de sus herramientas de auditoría de seguridad. Pese a que la investigación del ciberincidente etiquetado por FireEye como UNC2452 y por Microsoft como Solorigate continúa, el origen se remontaría a la primavera de 2020. No obstante, su alcance sería mucho mayor del esperado, pues se habrían visto afectadas también la confidencialidad de las comunicaciones internas de Gobiernos y grandes empresas de EE UU, Europa, Asia y Oriente Próximo. Los sectores más afectados serían las compañías de telecomunicaciones y contratistas gubernamentales de defensa y seguridad.
Debido a la elevada sofisticación técnica y al alto grado de preparación y organización demostrado por los atacantes, medios como The New York Times y The Washington Post han atribuido esta campaña de ciberespionaje al grupo APT29, también conocido como Cozy Bear o Dark Halo, presuntamente vinculado al Servicio de Inteligencia Exterior ruso. Obviamente, el Gobierno de este país ha negado rotundamente cualquier implicación. Durante la fase de reconocimiento de sus potenciales víctimas, los actores detrás de UNC2452 habrían averiguado que buena parte de ellas utilizaba SolarWinds Orion Platform, un software empleado por más de 300.000 clientes de primer nivel en el mundo. Por tanto, los atacantes establecieron como primera fase de su acción explotar la relación de confianza cliente-proveedor comprometiendo la integridad de la cadena logística de distribución de las actualizaciones de esta aplicación. Merced a este ataque indirecto, permanecieron enmascaradas durante meses tanto la presencia de su herramienta maliciosa, denominada Solarburst por FireEye, como las comunicaciones entre víctimas y operadores de la campaña.
Pueden extraerse varias conclusiones del Solorigate. En primer lugar, durante meses se ha visto comprometida la confidencialidad de la información de centenares de organismos públicos y de grandes compañías de diferentes países. La explotación de esta jugosa información reportará grandes beneficios a los atacantes, y grandes pérdidas a las víctimas. Además, la cotización en Bolsa de varias de las empresas atacadas se ha visto seriamente afectada. En segundo lugar, queda demostrada la capacidad de determinados grupos APT para atacar simultáneamente a múltiples objetivos de alto valor estratégico, algo que solo puede realizarse si se opera orgánica o funcionalmente bajo el amparo de un Estado. Y, en tercer lugar, las compañías se verán obligadas a invertir mayores recursos en ciberseguridad para verificar la integridad del software que se ejecuta en sus sistemas.
Mario Guerra Soto es responsable de la seguridad corporativa de Disruptive Consulting.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.
