Miles de empresas y gobiernos se están apresurando a averiguar si han sufrido el ataque de grupos hackers rusos que, según se informa, se infiltraron en varias agencias gubernamentales estadounidenses. La violación, denunciada el 13 de diciembre, incluyó al Departamento de Tesoro de EE. UU., así como a los Departamentos estadounidenses de Comercio y Seguridad Nacional. Pero, dadas las sofisticadas técnicas que utilizaron los hackers, se podría tardar meses en identificar a todas las víctimas y en eliminar cualquier software espía que hayan podido instalar.

Para llevar a cabo el ataque, los hackers irrumpieron en los sistemas de la empresa de software estadounidense SolarWinds. Desde allí, introdujeron una puerta trasera en Orion, uno de los productos de la empresa, que las organizaciones utilizan para controlar y gestionar las enormes redes internas de ordenadores. Durante varias semanas a partir de marzo, cualquier cliente que actualizara la última versión de Orion, firmada digitalmente por SolarWinds y, por lo tanto, aparentemente legítima, descargó sin saberlo el software afectado, lo que les dio a los hackers una vía de acceso a sus sistemas. 

SolarWinds tiene alrededor de 300.000 clientes en todo el mundo, incluida la mayoría de las empresas de la lista Fortune 500 y muchos gobiernos. En una nueva explicación ante la Comisión de Bolsa y Valores de Estados Unidos, la compañía aseguró que "menos de" 18.000 organizaciones habían descargado la actualización en cuestión. (SolarWinds especificó que aún no tiene claro cuántos de esos sistemas fueron realmente atacados). La práctica habitual de ciberseguridad consiste en mantener el software actualizado, por lo que, irónicamente, la mayoría de los clientes de SolarWinds estarían protegidos por no haber seguido ese consejo.

Los hackers eran "especialmente inteligentes y estratégicos", según el antiguo director federal de seguridad de la información de EE. UU. Greg Touhill. Incluso después de obtener el acceso a través de la puerta trasera en Orión, conocida como Sunburst, actuaban lenta y pausadamente. En lugar de infiltrarse en muchos sistemas a la vez, lo que fácilmente podría haber levantado sospechas, se centraron en un pequeño conjunto de objetivos seleccionados, según el informe de la empresa de seguridad FireEye. 

Sunburst se mantuvo inactivo durante dos semanas completas antes de activarse y empezar a comunicarse con los hackers, afirman en el informe. El malware camufla su tráfico de red con el "Programa de mejora de Orion" y almacena los datos dentro de los archivos originales para integrarse mejor. También busca herramientas de seguridad y antivirus en el ordenador infectado para evitarlas.

Para ocultar aún más sus rastros, los hackers tuvieron cuidado de usar solo una vez los ordenadores y redes para comunicarse con la puerta trasera de cada objetivo determinado, el equivalente a usar un teléfono que se destruye después de una conversación ilícita. Usaron el malware de manera limitada porque es relativamente fácil detectarlo; al obtener el acceso inicial a través de la puerta trasera, optaban por la ruta más discreta, usando credenciales reales robadas para lograr el acceso remoto a las máquinas de la víctima. Y el malware que instalaron no reutiliza el código, lo que provocó que el espionaje fuera más difícil de detectar porque los programas de seguridad buscan el código aparecido en ataques anteriores.

Meses sin ser detectados

Las señales de la intrusión se remontan a marzo, según los informes de seguridad de Microsoft y FireEye, que este mes revelaron la violación asociada a sus propias redes. Eso significa que cualquier organización que sospeche que podría haber sido objetivo debe examinar al menos 10 meses de registros de sistemas en busca de actividad sospechosa, una tarea que supera la capacidad de muchos equipos de seguridad. 

Para ayudar a las organizaciones a averiguar si sus sistemas han sido hackeados, FireEye y Microsoft han publicado una larga lista de "indicadores de ataque": datos forenses que podrían mostrar evidencia de actividad maliciosa. Los indicadores incluyen la presencia del propio Sunburst, así como algunas de las direcciones IP que identifican los ordenadores y redes que los hackers utilizaron para comunicarse con él.

Si un equipo encuentra alguna de estas direcciones IP en sus registros de red, es una señal real de malas noticias. Pero, dado que los piratas informáticos utilizaron cada dirección solo una vez, su ausencia no es garantía de seguridad. El descubrimiento de su presencia en una red tampoco significa que sea fácil sacarlos con éxito, ya que pueden rastrear la red en busca de nuevos escondites.

Los presuntos hackers pertenecen a la principal agencia de inteligencia extranjera SVR de Rusia. Conocidos también como Cozy Bear y APT29, han dejado una larga lista de violaciones, incluido el ataque al Comité Nacional Demócrata de EE. UU. en 2016. Rusia niega su participación.

Touhill, quien actualmente preside la empresa de infraestructura segura Appgate Federal Group, afirma: "Les ha dado la capacidad de acceder a redes importantes. Y pueden quedarse allí, absorber todo el tráfico, analizarlo. Tenemos que prestar mucha atención a qué más buscan estos actores. ¿Dónde más podrían estar? ¿Dónde más podrían espiar? Si tienen acceso, no van a renunciar a él tan fácilmente".