En una cena privada para ejecutivos de seguridad tecnológica en el hotel St. Regis de San Francisco, a fines de febrero, el principal jefe de defensa cibernética de Estados Unidos se jactó de lo bien que sus organizaciones protegían al país de los espías.
Los equipos de Estados Unidos estaban “entendiendo al adversario mejor de lo que el adversario se entiende a sí mismo”, dijo el general Paul Nakasone, jefe de la Agencia de Seguridad Nacional (NSA) y del Comando Cibernético de Estados Unidos, según un reportero de Reuters presente en la cena del 26 de febrero. Sin embargo, mientras hablaba, los hackers estaban incrustando código malicioso en la red de una compañía de software de Texas llamada SolarWinds Corp, según una cronología publicada por Microsoft y más de una docena de investigadores cibernéticos del gobierno y de empresas.
Algo más de tres semanas después de esa cena, los hackers comenzaron una operación de inteligencia de gran escala que ha penetrado en el corazón del gobierno de Estados Unidos y numerosas corporaciones globales.
Los resultados de esa operación salieron a la luz el 13 de diciembre, cuando Reuters informó que presuntos hackers rusos habían obtenido acceso a correos electrónicos de los departamentos del Tesoro y del Comercio de EEUU. Desde entonces, funcionarios e investigadores creen que al menos media docena de agencias del gobierno han sido infiltradas y miles de empresas infectadas con malware, en lo que parece ser uno de las mayores intrusiones informáticas jamás descubierta.
El secretario de Estado Mike Pompeo dijo que Rusia estaba detrás del ataque, calificándolo de “un grave riesgo” para Estados Unidos. Rusia ha negado que haya participado. Las revelaciones del ataque llegan en un momento vulnerable, cuando el gobierno de EEUU se enfrenta a una polémica transición presidencial y a una crisis de salud pública en aumento. Además, refleja un nuevo nivel de sofisticación y escala, con ataques a numerosos organismos federales y la amenaza de infligir más daño a la confianza pública en la infraestructura de seguridad cibernética de Estados Unidos.
Mucho sigue sin conocerse, incluyendo el motivo o el objetivo final. Siete funcionarios han dicho a Reuters que están en gran parte en la oscuridad sobre qué información podría haber sido robada o manipulada, o qué se necesitará para deshacer el daño. La última violación conocida de los sistemas federales de Estados Unidos por parte de la presunta inteligencia rusa -cuando los hackers obtuvieron acceso a los sistemas de correo electrónico no reservados de la Casa Blanca, el Departamento de Estado y la Junta de Jefes de Estado Mayor en 2014 y 2015- tardó años en aclararse.
El presidente de Estados Unidos, Donald Trump, minimizó ayer el hacking y la participación de Rusia, manteniendo que estaba bajo control y que China podría ser la responsable. Acusó a los medios “fraudulentos” de exagerar el alcance.
El NSC, sin embargo, reconoció que un “significativo incidente cibernético” tuvo lugar. “Habrá una respuesta adecuada a los actores que están detrás de esta conducta”, dijo el portavoz del NSC John Ullyot. No respondió a la pregunta de si Trump tenía pruebas de la participación china en el ataque.
Varias agencias gubernamentales, incluyendo la NSA y el Departamento de Seguridad Nacional, han emitido avisos técnicos sobre la situación. Nakasone y la NSA se negaron a hacer comentarios.
Poderoso conocimiento
El ataque se hizo público por primera vez la semana pasada, cuando la empresa estadounidense de seguridad cibernética FireEye Inc. reveló que había sido víctima del mismo tipo de ataque por el que los clientes le pagan para que los proteja.
Públicamente, el incidente inicialmente parecía más bien una vergüenza para FireEye. Pero los piratas informáticos que atacan las empresas de seguridad son especialmente peligrosos porque sus herramientas a menudo llegan a las profundidades de los sistemas informáticos de sus clientes. Días antes de que se hubiera revelado la intrusión, los investigadores de FireEye sabían que algo preocupante estaba ocurriendo y contactaron a Microsoft Corp y al FBI, dijeron tres personas involucradas en esas comunicaciones. Microsoft y el FBI no quisieron hacer comentarios.
Su mensaje: FireEye ha sido golpeado por una campaña de ciberespionaje extraordinariamente sofisticada llevada a cabo por un estado-nación, y sus propios problemas eran probablemente sólo la punta del iceberg.
Cerca de media docena de investigadores de FireEye y Microsoft, se pusieron a investigar. Encontraron que la raíz del problema era algo que causa pavor a los profesionales de la seguridad cibernética: los llamados compromisos de la cadena de suministro, que en este caso implicaban el uso de actualizaciones de software para instalar malware que puede espiar los sistemas, extraer información y eventualmente causar otros tipos de estragos.
En 2017, los operativos rusos utilizaron esta técnica para acabar con los sistemas informáticos privados y gubernamentales en toda Ucrania, tras ocultar un programa informático maligno conocido como NotPetya en un programa de contabilidad muy utilizado. Rusia ha negado que haya participado. El malware infectó rápidamente computadoras en decenas de otros países, paralizando negocios y causando cientos de millones de dólares en daños.
El más reciente ataque a EEUU empleó una técnica similar: SolarWinds dijo que sus actualizaciones de software se habían visto comprometidas y se usaron para instalar subrepticiamente código malicioso en casi 18.000 sistemas de clientes. Su software de gestión de red Orion es usado por cientos de miles de organizaciones. Se desconoce cómo o cuándo SolarWinds se vio comprometido por primera vez. Según los investigadores, los intrusos empezaron a manipular el código de SolarWinds ya en octubre de 2019, unos meses antes de que estuviera en condiciones de lanzar un asalto. (Por Christopher Bing, Joseph Menn, Raphael Satter y Jack Stubbs para Reuters)