A FONDO-"Un conocimiento poderoso": Cómo ciberespías extranjeros pusieron en aprietos a EEUU

Christopher Bing, Joseph Menn, Raphael Satter y Jack Stubbs
·8  min de lectura
FOTO DE ARCHIVO: El logo de SolarWinds se ve fuera de su sede en Austin, Texas, Estados Unidos.

Por Christopher Bing, Joseph Menn, Raphael Satter y Jack Stubbs

19 dic (Reuters) - En una cena privada para ejecutivos de seguridad tecnológica en el hotel St. Regis de San Francisco, a finales de febrero, el principal jefe de defensa cibernética de Estados Unidos se jactó de lo bien que sus organizaciones protegían al país de los espías.

Los equipos de Estados Unidos estaban "entendiendo al adversario mejor de lo que el adversario se entiende a sí mismo", dijo el general Paul Nakasone, jefe de la Agencia de Seguridad Nacional (NSA) y del Comando Cibernético de Estados Unidos, según un reportero de Reuters presente en la cena del 26 de febrero. No se había informado del discurso anteriormente.

Sin embargo, mientras hablaba, los hackers estaban incrustando código malicioso en la red de una compañía de software de Texas llamada SolarWinds Corp, según una cronología publicada por Microsoft y más de una docena de investigadores cibernéticos del gobierno y de empresas.

Algo más de tres semanas después de esa cena, los hackers comenzaron una operación de inteligencia de gran escala que ha penetrado en el corazón del gobierno de Estados Unidos y numerosas corporaciones y otras instituciones en todo el mundo.

Los resultados de esa operación salieron a la luz el 13 de diciembre, cuando Reuters informó que presuntos hackers rusos habían obtenido acceso a correos electrónicos de los departamentos del Tesoro y del Comercio de Estados Unidos. Desde entonces, los funcionarios e investigadores dicen que creen que al menos media docena de agencias del gobierno han sido infiltradas y miles de empresas infectadas con malware, en lo que parece ser uno de las mayores intrusiones informáticas jamás descubierta.

El secretario de Estado Mike Pompeo dijo el viernes que Rusia estaba detrás del ataque, calificándolo de "un grave riesgo" para Estados Unidos. Rusia ha negado que haya participado.

Las revelaciones del ataque llegan en un momento vulnerable, cuando el gobierno de Estados Unidos se enfrenta a una polémica transición presidencial y a una crisis de salud pública en aumento. Además, refleja un nuevo nivel de sofisticación y escala, con ataques a numerosos organismos federales y la amenaza de infligir más daño a la confianza pública en la infraestructura de seguridad cibernética de Estados Unidos.

Mucho sigue sin conocerse, incluyendo el motivo o el objetivo final.

Siete funcionarios del gobierno han dicho a Reuters que están en gran parte en la oscuridad sobre qué información podría haber sido robada o manipulada, o qué se necesitará para deshacer el daño. La última violación conocida de los sistemas federales de Estados Unidos por parte de la presunta inteligencia rusa -cuando los hackers obtuvieron acceso a los sistemas de correo electrónico no reservados de la Casa Blanca, el Departamento de Estado y la Junta de Jefes de Estado Mayor en 2014 y 2015- tardó años en aclararse.

El presidente de Estados Unidos, Donald Trump, el sábado, minimizó el hacking y la participación de Rusia, manteniendo que estaba "bajo control" y que China podría ser la responsable. Acusó a los medios de comunicación "fraudulentos" de exagerar el alcance.

El NSC, sin embargo, reconoció que un "significativo incidente cibernético" tuvo lugar. "Habrá una respuesta adecuada a los actores que están detrás de esta conducta", dijo el portavoz del NSC John Ullyot. No respondió a la pregunta de si Trump tenía pruebas de la participación china en el ataque.

Varias agencias gubernamentales, incluyendo la NSA y el Departamento de Seguridad Nacional, han emitido avisos técnicos sobre la situación. Nakasone y la NSA se negaron a hacer comentarios para este reportaje.

Los legisladores de ambos partidos dijeron que estaban tratando de obtener respuestas de los departamentos que supervisan, incluyendo el del Tesoro. Un empleado del Senado dijo que su jefe sabía más sobre el ataque gracias a los medios de comunicación que al gobierno.

'UN CONOCIMIENTO PODEROSO'

El ataque se hizo público por primera vez la semana pasada, cuando la empresa estadounidense de seguridad cibernética FireEye Inc. reveló que había sido víctima del mismo tipo de ataque por el que los clientes le pagan para que los proteja.

Públicamente, el incidente inicialmente parecía más bien una vergüenza para FireEye. Pero los piratas informáticos que atacan las empresas de seguridad son especialmente peligrosos porque sus herramientas a menudo llegan a las profundidades de los sistemas informáticos de sus clientes.

Días antes de que se hubiera revelado la intrusión, los investigadores de FireEye sabían que algo preocupante estaba ocurriendo y contactaron a Microsoft Corp y al FBI, dijeron a Reuters tres personas involucradas en esas comunicaciones. Microsoft y el FBI no quisieron hacer comentarios.

Su mensaje: FireEye ha sido golpeado por una campaña de ciberespionaje extraordinariamente sofisticada llevada a cabo por un estado-nación, y sus propios problemas eran probablemente sólo la punta del iceberg.

Cerca de media docena de investigadores de FireEye y Microsoft, se pusieron a investigar, dijeron dos fuentes familiarizadas con los esfuerzos de respuesta. Encontraron que la raíz del problema era algo que causa pavor a los profesionales de la seguridad cibernética: los llamados compromisos de la cadena de suministro, que en este caso implicaban el uso de actualizaciones de software para instalar malware que puede espiar los sistemas, extraer información y eventualmente causar otros tipos de estragos.

En 2017, los operativos rusos utilizaron esta técnica para acabar con los sistemas informáticos privados y gubernamentales en toda Ucrania, tras ocultar un programa informático maligno conocido como NotPetya en un programa de contabilidad muy utilizado. Rusia ha negado que haya participado. El malware infectó rápidamente computadoras en decenas de otros países, paralizando negocios y causando cientos de millones de dólares en daños.

El más reciente ataque a Estados Unidos empleó una técnica similar: SolarWinds dijo que sus actualizaciones de software se habían visto comprometidas y se usaron para instalar subrepticiamente código malicioso en casi 18.000 sistemas de clientes. Su software de gestión de red Orion es usado por cientos de miles de organizaciones.

Una vez descargado, el programa señalaba a sus operadores dónde había sido instalado. En algunos casos en los que el acceso era especialmente valioso, los hackers lo usaban para desplegar un software malicioso más activo para propagarse por su huésped.

En algunos de los ataques, los intrusos combinaron los privilegios de administrador concedidos a SolarWinds con la plataforma de nube Azure de Microsoft -que almacena los datos de los clientes en línea- para falsificar "tokens" de autentificación. Estos les dieron un acceso mucho más amplio y prolongado a los correos electrónicos y documentos de lo que muchas organizaciones creían posible.

Los hackers podían entonces robar documentos a través de Office 365 de Microsoft, la versión online de su software empresarial más popular, dijo la NSA el jueves en un inusual anuncio público. También el jueves, Microsoft anunció que encontró código malicioso en sus sistemas.

Otro aviso publicado por la Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos el 17 de diciembre dijo que el software de SolarWinds no era el único vehículo que se estaba usando en los ataques y que el mismo grupo probablemente había usado otros métodos para implantar malware.

"Este es un conocimiento poderoso y debe ser comprendido para defender las redes importantes", dijo en Twitter Rob Joyce, un asesor de seguridad cibernética de la NSA.

Se desconoce cómo o cuándo SolarWinds se vio comprometido por primera vez. Según los investigadores de Microsoft y otras empresas que han investigado el ataque, los intrusos empezaron a manipular el código de SolarWinds ya en octubre de 2019, unos meses antes de que estuviera en condiciones de lanzar un asalto.

"REFORZANDO NUESTRAS REDES"

La presión sobre la Casa Blanca para que actúe es cada vez mayor.

El senador republicano Marco Rubio dijo: "Estados Unidos debe tomar represalias, y no sólo con sanciones". Mitt Romney, también republicano, comparó el ataque con permitir repetidamente que los bombarderos rusos volaran sin ser detectados sobre el país. El senador Dick Durbin, un demócrata, lo calificó como "prácticamente una declaración de guerra".

Los legisladores demócratas dijeron que habían recibido poca información del gobierno de Trump más allá de lo que está en los medios. "Sus informes fueron obtusos, carentes de detalles y realmente parecían un intento de proporcionarnos el mínimo de información que tenían que darnos", dijo la representante demócrata Debbie Wasserman Schultz a periodistas después de un encuentro confidencial.

Ullyot, el portavoz del Consejo de Seguridad Nacional, se negó a hacer comentarios sobre las sesiones informativas del Congreso. La Casa Blanca está "centrada en la investigación de las circunstancias que rodearon este incidente y en trabajar con nuestros socios de otras agencias para mitigar la situación", dijo en una declaración a Reuters.

El presidente electo Joe Biden ha advertido que su gobierno impondrá "costos significativos" a los responsables. El presidente del Comité de Inteligencia de la Cámara de Representantes, Adam Schiff, también demócrata, dijo que Biden "debe hacer que el fortalecimiento de nuestras redes, tanto de infraestructura pública como privada, sea una prioridad".

El ataque pone de relieve esas defensas cibernéticas, reavivando las críticas de que las agencias de inteligencia de Estados Unidos están más interesadas en operaciones cibernéticas ofensivas que en proteger la infraestructura del gobierno.

"El atacante tiene la ventaja sobre los defensores. Décadas de dinero, patentes y esfuerzos no han hecho nada para cambiar eso", dijo Jason Healey, un investigador de conflictos cibernéticos de la Universidad de Columbia y exfuncionario de seguridad de la Casa Blanca en el gobierno de George W. Bush.

"Ahora nos damos cuenta con el ataque a SolarWinds que, en todo caso, los defensores se están quedando atrás. La prioridad principal debe ser darle la vuelta a esto, para que a los defensores les resulte más fácil".

(Chris Bing y Raphael Satter en Washington, Jack Stubbs en Londres y Joseph Menn en San Francisco.; Mesa de edición en español; +56224374408; Twitter: @ReutersLatam; facebook.com/ReutersLatam/)