Microsoft confirma que hackers rusos accedieron a su código fuente en masivo ciberataque

Ahora conocen la estructura completa de nuestros sistemas
El acceso al código fuente permite a los atacantes identificar vulnerabilidades futuras incluso sin modificar nada en el presente.

Microsoft detectó acceso no autorizado a su código fuente por parte de hackers rusos atribuidos al gobierno de Putin durante el ataque a infraestructuras estadounidenses. La empresa aclaró que la cuenta comprometida carecía de permisos para modificar código y confirmó que no se realizaron cambios en sus sistemas ni datos de clientes.

  • Microsoft confirmó acceso no autorizado a código fuente por hackers rusos en diciembre de 2020
  • La cuenta comprometida carecía de permisos para modificar código; no se realizaron cambios
  • El ataque afectó potencialmente a Departamentos del Tesoro, Energía y Seguridad Nacional
  • El ciberataque fue canalizado a través del software Orion de SolarWinds, usado por la mayoría de Fortune 500
  • Secretario de Estado Mike Pompeo atribuyó públicamente el ataque al gobierno de Putin

Microsoft confirmó que hackers rusos ingresaron a sus redes y accedieron a código fuente interno durante el masivo ciberataque contra EE.UU., aunque aseguró que no lograron modificar programas ni comprometer servicios.

A finales de diciembre de 2020, Microsoft confirmó lo que muchos temían: los hackers rusos responsables del masivo ciberataque contra infraestructuras estadounidenses habían logrado acceder a su código fuente interno, el corazón mismo de cómo construye su software. La empresa lo anunció en su blog de seguridad con una precisión que buscaba tranquilizar sin minimizar: sí, entraron; no, no pudieron cambiar nada.

La compañía con sede en Redmond, Washington, explicó que había detectado actividad inusual en un pequeño número de cuentas internas. Al investigar, descubrieron que una de ellas había sido utilizada para examinar el código fuente en varios repositorios. Pero aquí venía el matiz crucial: esa cuenta no tenía permisos para modificar código ni sistemas de ingeniería. Su investigación confirmó que no se realizaron cambios. Microsoft aseguró además que el incidente no puso en riesgo la seguridad de sus servicios ni los datos de sus clientes.

Sin embargo, lo que Microsoft no pudo evitar fue revelar que el alcance del ataque era más amplio de lo que inicialmente se creía. El diario The Washington Post había reportado que algunos clientes en la nube de Microsoft fueron hackeados a través de un socio tercero que maneja los servicios de acceso. Esto significaba que el ataque, canalizado originalmente a través del software de gestión de redes Orion de la empresa SolarWinds, había penetrado más profundamente en el ecosistema tecnológico estadounidense de lo que se pensaba.

El ataque, que supuestamente comenzó en marzo de 2020, utilizaba actualizaciones del software Orion para infiltrarse en sistemas de múltiples agencias federales. Se creía que los hackers rusos habían obtenido acceso a los Departamentos del Tesoro, Energía y Seguridad Nacional, además de una amplia gama de agencias gubernamentales y empresas privadas. Había indicios de que también intentaron robar secretos del Pentágono y del programa nuclear estadounidense en Los Alamos, la instalación donde se creó la primera bomba atómica.

Altos funcionarios estadounidenses, incluyendo al Secretario de Estado Mike Pompeo y al Fiscal General Bill Barr, atribuyeron el ataque al gobierno de Vladimir Putin. Pompeo fue el primero en vincular públicamente al Kremlin con el ciberataque, declarando en una entrevista radial que podían decir con bastante claridad que fueron los rusos quienes participaron. Describió el esfuerzo como muy significativo, aunque admitió que aún estaban averiguando exactamente qué había sucedido. El presidente Donald Trump, sin embargo, no responsabilizó a Rusia, una posición que contrastaba con la de sus propios funcionarios.

Moscú negó cualquier implicación. El portavoz del Kremlin, Dmitry Peskov, cuestionó por qué culpar inmediatamente a los rusos si los estadounidenses no habían podido hacer nada al respecto durante meses. Agencias de inteligencia estadounidenses, según reportes del New York Times, creían que una agencia de élite de la inteligencia rusa era responsable, pero esta atribución permanecía en el terreno de la evaluación de inteligencia, no de la prueba pública.

La Agencia de Ciberseguridad y Seguridad en las Infraestructuras de Estados Unidos (CISA) había advertido que el ataque representaba un riesgo grave para el gobierno federal. La expectativa de la agencia era que eliminar a los atacantes de los entornos comprometidos sería enormemente complejo y difícil. Alertaron que era probable que los adversarios tuvieran más vectores de acceso inicial y tácticas adicionales que aún no se habían descubierto. El presidente electo Joe Biden describió el incidente como una infracción masiva de seguridad que potencialmente había afectado a miles de víctimas, incluyendo compañías estadounidenses y entidades gubernamentales. Prometió que su administración impondría costos sustanciales a los responsables, en coordinación con aliados internacionales.

Mientras Microsoft aseguraba que fue el primero en alertar a varias agencias del gobierno sobre las compromisos, la realidad era que el ciberataque había expuesto vulnerabilidades sistémicas en cómo Estados Unidos protegía sus infraestructuras críticas. SolarWinds, cuyo software Orion era usado por la mayoría de las compañías Fortune 500 estadounidenses, describió la operación como un ataque limitado, sumamente dirigido y ejecutado manualmente por un estado nación exterior. Pero fuentes con conocimiento de la investigación dijeron a Reuters que cualquier organización con una versión actualizada del software habría tenido una puerta trasera instalada por los atacantes, dejando abierta la pregunta de si los atacantes decidirían aprovechar más ese acceso en el futuro.

Detectamos actividad inusual en un pequeño número de cuentas internas, y al revisarlas descubrimos que una cuenta había sido utilizada para ver el código fuente en varios repositorios
— Microsoft, en su blog de seguridad
Creo que es cierto que ahora podemos decir con bastante claridad que fueron los rusos los que participaron en este suceso
— Mike Pompeo, Secretario de Estado
La Conversación del Hearth Otra perspectiva de la historia
Inventor

¿Por qué es importante que Microsoft haya confirmado el acceso al código fuente si dice que no pudieron modificar nada?

Model

Porque el código fuente es como tener los planos de una casa. Aunque no hayan roto nada esta vez, ahora conocen la estructura completa. Pueden encontrar vulnerabilidades que otros no ven, planificar ataques futuros más sofisticados.

Inventor

¿Entonces Microsoft está siendo honesto o simplemente minimizando el daño?

Model

Probablemente ambas cosas. La cuenta comprometida realmente no tenía permisos para modificar código, eso parece verificable. Pero el hecho de que hayan accedido a todo el código fuente es en sí mismo un daño significativo que no se puede deshacer.

Inventor

¿Qué hace que este ataque sea diferente de otros ciberataques?

Model

La escala y la sofisticación. Pasó meses sin ser detectado. Afectó simultáneamente a agencias federales, empresas privadas, laboratorios nucleares. No fue un ataque de fuerza bruta sino una infiltración quirúrgica a través de un software que todos confiaban.

Inventor

¿Por qué Trump no culpó a Rusia cuando sus propios funcionarios lo hicieron?

Model

Esa es la pregunta que nadie podía responder claramente en ese momento. Pompeo y Barr fueron explícitos. Trump simplemente no lo fue. Las dinámicas políticas entre ellos nunca quedaron completamente claras públicamente.

Inventor

¿Qué significa que la CISA diga que será "enormemente complejo" eliminar a los atacantes?

Model

Significa que no es como desconectar un cable. Los atacantes probablemente dejaron múltiples formas de volver a entrar. Incluso si cierras una puerta, pueden haber dejado diez más abiertas. Es un problema que perseguirá a estas organizaciones durante años.

Quieres la nota completa? Lee el original en infobae ↗
Contáctanos FAQ