Puede que aún no hayas oído hablar nunca de SolarWinds ni del último ataque que ha sufrido esta compañía de IT, pero desde la semana pasada tiene en vela a medio Estados Unidos y a la mayoría de gigantes tecnológicos.
Este proveedor de 'software', desconocido para el gran público, pero que trabaja con miles de entidades estratégicas, se ha convertido en el último gran agujero de ciberseguridad a nivel global y aún se desconoce el alcance final del ataque ni quién ha podido estar detrás. Pero, eso sí, ya ha dejado grandes víctimas por el camino.
Una de las últimas empresas en sumarse a lista de las afectadas por el ataque ha sido Microsoft, que ya ha confirmado que está entre las víctimas de la brecha y el problema no deja de crecer. Cisco, Nvidia, Belkin, VMware o Intel también aparecen en la lista y en el terreno público ya han notificado el ataque departamentos de EEUU como la Agencia de infraestructura y ciberseguridad (CISA), el Departamento de Seguridad nacional (DHS), el Departamento de Estado de EEUU, la Administración nacional de seguridad nuclear (NNSA) o el Departamento de Energía. ¿Qué ha pasado aquí y cómo han llegado tan lejos? La historia es larga, y aún, casi dos semanas después de los primeros avisos, se siguen descubriendo nuevos puntos relativos a este caso, pero poco a poco ya se van conociendo más y más detalles.
Como explica el experto en ciberseguridad Sergio de los Santos, se trata de un sofisticado ataque muy preparado y estudiado a un punto clave del sistema y uno de los casos más interesantes de los últimos tiempos. Uno de esos movimientos que, sobre todo, muestra la fragilidad de nuestra ciberseguridad y la necesidad de asumir esos riesgos, ser transparentes y buscar la madurez del sector para luchar contra ellos. "Es una frase bastante manida, pero deja claro que esto es una cadena y que un fallo en el eslabón más débil puede afectarnos a todos, por mucho que el resto estén más que preparados. Y no pasa nada, tenemos que aprender a asumirlo y a responder".
¿Qué es SolarWinds?
Lo primero que hay que saber en toda esta historia es qué o quién es SolarWinds. Puede que no te suene, pues es uno de esos gigantes ocultos para los no expertos, pero que juega un papel clave en la estructura del sector tecnológico. Dedicada a proveer 'software' empresarial, cotiza en Bolsa desde 2009 (ha visto cómo sus acciones se han desplomado desde que se descubrió el fallo) y cuenta con clientes de la talla del Gobierno de Estados Unidos, Microsoft, Ford, Mastercard, Nestlé, la Universidad de Harvard y hasta 425 de las 500 compañías de Fortune 500. Empresas e instituciones gigantescas que normalmente contrataban sus servicios por los programas de gestión de redes y que ahora están en alerta máxima por lo sucedido y que aún no se sabe hasta qué punto pueden estar afectadas.
Lo menos malo de esto es que, en principio, no ha sido un fallo generalizado, sino que el agujero solo habría afectado a las empresas que constasen con un programa en concreto llamado Orion el cual ha servido de vía de entrada para los atacantes. Aún no se sabe cuántos clientes lo tenían, pero algunos medios como Wired, citando las investigaciones de Microsoft, hablan de más de 18.000 clientes que habrían descargado la actualización y, al menos, 40 entidades habrían sufrido el ataque. El 80% de las víctimas estarían en EEUU, pero entre el 20% restantes también se cita algún caso en España aunque aún no se conocen más detalles sobre esto.
¿Cómo ha sido el ataque?
Como decíamos, la vía de entrada ha sido el programa Orion, pero el ataque no se hizo de cualquier manera. "Es lo que se suele llamar un ataque de 'cadena de suministros'. Lo que hicieron fue troyanizar Orion y sustituir un paquete de actualización del programa por otro con 'malware' y hasta firmarlo con el 'sello' oficial de la compañía. Es algo supersofisticado y lo que consigues es que todo cliente que, lógicamente, se fíe de esa actualización acabe con el 'malware' dentro creyendo que se ha descargado un 'update' más, oficial y totalmente de confianza", comenta De los Santos, que asemeja lo ocurrido a si un atacante cuela un producto en mal estado en un supermercado para impactar en los usuarios consiguiendo todos los sellos oficiales de la propia tienda.
Según explica el experto, el equipo que lo hizo, que no es ningún curioso inexperto, lo preparó de tal manera que una vez dentro de las entidades, se dieron tiempos para detectar posibles sistemas de vigilancia o barreras. Mapeado todo el sistema, se colaban hasta dónde querían sin mucho impedimento. "Por ejemplo, FireEye, que es una compañía de ciberseguridad muy reputada y que fue la primera en dar la voz de alarma, le robaron herramientas de test de seguridad y, vamos, le entraron hasta la cocina sin que nadie los detectase". Para encontrar el fallo, FireEye necesitó de más de 100 empleados y una revisión de 50.000 líneas de código después de que uno de los trabajadores encontrara un extraño inició de sesión de un usuario. Hay que recordar que se cree que la 'puerta trasera' se creó en marzo de 2020 y no fue detectada hasta diciembre.
Microsoft, que también ha sido bastante transparente en lo sucedido, paró parte del ataque al confiscar el dominio que utilizaban como enlace para manejarse dentro de los sistemas atacados, pero todos advierten de que no es la solución definitiva, sino solo un paso más para ir cortando la hemorragia. "Aún nos queda bastante por ver y sobre todo se deberá analizar cómo pudieron hacer todo esto en SolarWinds sin que nadie se diera cuenta", comenta De los Santos.
->>Vea más...
