5 claves del 'hackeo' a SolarWinds: el ataque a un 'desconocido' que ha puesto en jaque a EEUU

Puede que aún no hayas oído hablar nunca de SolarWinds ni del último ataque que ha sufrido esta compañía de IT, pero desde la semana pasada tiene en vela a medio Estados Unidos y a la mayoría de gigantes tecnológicos. Este proveedor de 'software', desconocido para el gran público, pero que trabaja con miles de entidades estratégicas, se ha convertido en el último gran agujero de ciberseguridad a nivel global y aún se desconoce el alcance final del ataque ni quién ha podido estar detrás. Pero, eso sí, ya ha dejado grandes víctimas por el camino.

Una de las últimas empresas en sumarse a lista de las afectadas por el ataque ha sido Microsoft, que ya ha confirmado que está entre las víctimas de la brecha y el problema no deja de crecer. Cisco, Nvidia, Belkin, VMware o Intel también aparecen en la lista y en el terreno público ya han notificado el ataque departamentos de EEUU como la Agencia de infraestructura y ciberseguridad (CISA), el Departamento de Seguridad nacional (DHS), el Departamento de Estado de EEUU, la Administración nacional de seguridad nuclear (NNSA) o el Departamento de Energía. ¿Qué ha pasado aquí y cómo han llegado tan lejos? La historia es larga, y aún, casi dos semanas después de los primeros avisos, se siguen descubriendo nuevos puntos relativos a este caso, pero poco a poco ya se van conociendo más y más detalles.

TE PUEDE INTERESAR

Caída masiva de Google: así puede un fallo técnico tumbar todos sus servicios de golpe

Guillermo Cid

Como explica el experto en ciberseguridad Sergio de los Santos, se trata de un sofisticado ataque muy preparado y estudiado a un punto clave del sistema y uno de los casos más interesantes de los últimos tiempos. Uno de esos movimientos que, sobre todo, muestra la fragilidad de nuestra ciberseguridad y la necesidad de asumir esos riesgos, ser transparentes y buscar la madurez del sector para luchar contra ellos. "Es una frase bastante manida, pero deja claro que esto es una cadena y que un fallo en el eslabón más débil puede afectarnos a todos, por mucho que el resto estén más que preparados. Y no pasa nada, tenemos que aprender a asumirlo y a responder".

1. ¿Qué es SolarWinds?

Lo primero que hay que saber en toda esta historia es qué o quién es SolarWinds. Puede que no te suene, pues es uno de esos gigantes ocultos para los no expertos, pero que juega un papel clave en la estructura del sector tecnológico. Dedicada a proveer 'software' empresarial, cotiza en Bolsa desde 2009 (ha visto cómo sus acciones se han desplomado desde que se descubrió el fallo) y cuenta con clientes de la talla del Gobierno de Estados Unidos, Microsoft, Ford, Mastercard, Nestlé, la Universidad de Harvard y hasta 425 de las 500 compañías de Fortune 500. Empresas e instituciones gigantescas que normalmente contrataban sus servicios por los programas de gestión de redes y que ahora están en alerta máxima por lo sucedido y que aún no se sabe hasta qué punto pueden estar afectadas.

Lo menos malo de esto es que, en principio, no ha sido un fallo generalizado, sino que el agujero solo habría afectado a las empresas que constasen con un programa en concreto llamado Orion el cual ha servido de vía de entrada para los atacantes. Aún no se sabe cuántos clientes lo tenían, pero algunos medios como Wired, citando las investigaciones de Microsoft, hablan de más de 18.000 clientes que habrían descargado la actualización y, al menos, 40 entidades habrían sufrido el ataque. El 80% de las víctimas estarían en EEUU, pero entre el 20% restantes también se cita algún caso en España aunque aún no se conocen más detalles sobre esto.

2. ¿Cómo ha sido el ataque?

Como decíamos, la vía de entrada ha sido el programa Orion, pero el ataque no se hizo de cualquier manera. "Es lo que se suele llamar un ataque de 'cadena de suministros'. Lo que hicieron fue troyanizar Orion y sustituir un paquete de actualización del programa por otro con 'malware' y hasta firmarlo con el 'sello' oficial de la compañía. Es algo supersofisticado y lo que consigues es que todo cliente que, lógicamente, se fíe de esa actualización acabe con el 'malware' dentro creyendo que se ha descargado un 'update' más, oficial y totalmente de confianza", comenta De los Santos, que asemeja lo ocurrido a si un atacante cuela un producto en mal estado en un supermercado para impactar en los usuarios consiguiendo todos los sellos oficiales de la propia tienda.

Según explica el experto, el equipo que lo hizo, que no es ningún curioso inexperto, lo preparó de tal manera que una vez dentro de las entidades, se dieron tiempos para detectar posibles sistemas de vigilancia o barreras. Mapeado todo el sistema, se colaban hasta dónde querían sin mucho impedimento. "Por ejemplo, FireEye, que es una compañía de ciberseguridad muy reputada y que fue la primera en dar la voz de alarma, le robaron herramientas de test de seguridad y, vamos, le entraron hasta la cocina sin que nadie los detectase". Para encontrar el fallo, FireEye necesitó de más de 100 empleados y una revisión de 50.000 líneas de código después de que uno de los trabajadores encontrara un extraño inició de sesión de un usuario. Hay que recordar que se cree que la 'puerta trasera' se creó en marzo de 2020 y no fue detectada hasta diciembre.

Microsoft, que también ha sido bastante transparente en lo sucedido, paró parte del ataque al confiscar el dominio que utilizaban como enlace para manejarse dentro de los sistemas atacados, pero todos advierten de que no es la solución definitiva, sino solo un paso más para ir cortando la hemorragia. "Aún nos queda bastante por ver y sobre todo se deberá analizar cómo pudieron hacer todo esto en SolarWinds sin que nadie se diera cuenta", comenta De los Santos.

3. ¿Quién está detrás?

Esta es una de las grandes preguntas que aún siguen sin respuesta. Obviamente ya se han apuntado algunos nombres, y se ha señalado a sospechosos habituales relacionados con Rusia, pero aún se está investigando. Incluso el propio vicepresidente de EEUU, Mike Pompeo, ha culpado directamente a los rusos de estar detrás de lo sucedido, pero De los Santos remarca que a día de hoy es difícil saber algo así a ciencia cierta. "Es muy complicado porque es un trabajo muy cuidado y que no deja rastros. Se tardará bastante en saberlo seguro, si se llega a conocer", apunta.

Brad Smith, presidente de Microsoft, que firma el texto donde se detallan todos los detalles que han conseguido averiguar hasta el momento, tampoco señala explícitamente a Rusia, pero lo deja caer. Citando al CEO de FireEye, Kevin Mandia, que sí ha hablado directamente del país euroasiático, asegura que estamos siendo "testigos de un ataque de una nación con capacidades ofensivas de primer nivel".

Algunos medios van más allá y el propio Wired asegura que esta historia es la de "cómo Rusia logró realizar el mayor ataque de espionaje jamás registrado". 'The Washington Post', por su parte, se atreve hasta a dar el nombre del equipo que estaría detrás y señala a un viejo conocido. Señalan a APT29 o Cozy Bear, el mismo grupo que 'hackeó' los servidores del Comité Nacional Demócrata antes de las elecciones presidenciales de 2016 o atacó el Departamento de Estado y la Casa Blanca durante la Administración Obama.

4. ¿Cuál era el objetivo?

Si es difícil saber quién está detrás, tampoco es sencillo saber qué buscaban. Incluso se duda si una compañía como FireEye era objetivo o víctima colateral. "Yo creo que pasaba por ahí y por eso se colaron, pero dudo mucho de que fuese uno de los objetivos", comenta De los Santos. Smith, desde Microsoft, habla de que se trata de un ataque contra EEUU, su Gobierno y otras instituciones críticas. Pero va más allá y señala que "es un ataque a la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación".

Esa misma idea la defienden también en otros medios citados y todos coinciden en que es una maniobra más de espionaje que de destrucción. Es decir, que lo que se buscaba por parte de los atacantes era un lugar desde el que registrar y saber todo, no tumbar un sistema. Al menos hasta el momento en el que el 'hack' fue descubierto.

Mandia, CEO de FireEye, refrenda esto destacando que, aunque los piratas informáticos pudieron acceder a los sistemas internos, su empresa no ha visto evidencia de que hayan eliminado datos de los sistemas primarios que almacenan información del cliente. Sí queda la duda de por qué robaron las herramientas de la empresa si en realidad era una víctima colateral y querían pasar desapercibidos, pero es posible que solo aprovechasen la oportunidad para intentar abrir más puertas.

5. ¿Y ahora?

Sobre el futuro de todo el caso, De los Santos señala que aún es pronto para saberlo, pues ni siquiera se sabe ni lo que hicieron los atacantes dentro de todas las víctimas ni si han aprovechado otras puertas traseras o esas herramientas robadas a FireEye. Pero sí advierte de que debe servir como precedente para un cambio de mentalidad y un aviso de lo que puede pasar próximamente. "Debemos aprender que esto puede pasarle a cualquiera y que estamos en un momento en el que necesitamos transparencia y rapidez para actuar y defendernos como comunidad con madurez, si no es así será imposible contrarrestar estos ataques de forma individual y controlar los daños", señala el experto.

En EEUU ya se ha puesto en tela de juicio sistemas que en teoría debían haber detectado lo sucedido y se ha pedido a la nueva Administración, presidida por Joe Biden, que ponga aún más atención a esta guerra cibernética. Habrá que ver si acaban tomando más medidas con respecto a la ciberseguridad, pero está claro que esto solo es un nuevo paso en la escalada de un conflicto cibernético global.