En diciembre pasado, los profesionales de la ciberseguridad comenzaron a desentrañar un ciberataque extraordinario a una empresa poco conocida con sede en Texas llamada SolarWinds.
Al secuestrar el mecanismo de actualización de software de la empresa, los piratas informáticos habían obtenido los medios para ingresar encubiertamente a su elección de miles de clientes desprevenidos.
Ese ataque, que el gobierno de Estados Unidos culpó a Rusia, se infiltró en decenas de agencias federales y empresas privadas y fue ampliamente descrito como uno de los peores fallos de inteligencia de la historia. Las cosas, al parecer, no podían empeorar mucho.
Pero los ataques cibernéticos a los principales proveedores de tecnología y al mundo interconectado de software y hardware que impulsan la economía global continuaron a un ritmo implacable en 2021, según funcionarios y expertos en seguridad de EE. UU. En lugar de que una empresa sea victimizada a la vez, como en una violación de datos tradicional, miles de personas fueron expuestas simultáneamente. Las empresas, los hospitales y las escuelas también trabajaron para defenderse de una avalancha de ataques de ransomware, que obtienen cada vez más $ 10 millones o más en pagos de extorsión.
El annus horribilis culminó este mes con el descubrimiento de una falla en un código de Internet oscuro pero ampliamente utilizado conocido como Log4j, que un alto funcionario de la administración de Biden dijo que era el peor que había visto en su carrera. La última vulnerabilidad se produce cuando los funcionarios estadounidenses advierten a los líderes corporativos sobre un potencial aumento de ataques cibernéticos mientras las empresas ralentizan sus operaciones durante la temporada navideña.
La serie de incidentes destaca cómo décadas de transformación digital han vinculado los sistemas informáticos empresariales y gubernamentales de formas opacas y, a veces, sorprendentes que crearán nuevas vulnerabilidades. Es seguro que continuarán las interrupciones importantes, dijeron los funcionarios de seguridad cibernética.
“Los defensores de la red están agotados”, dijo Joe Slowik, líder de inteligencia de amenazas en la firma de seguridad Gigamon. La nueva atención e inversión en ciberseguridad no ha mejorado el status quo, dijo. «El dinero fluye hacia el campo, pero principalmente en soluciones técnicas, mientras que la necesidad principal, más personas capaces, sigue siendo difícil de abordar».
Un truco de Microsoft Corp.
El software de correo electrónico Exchange en marzo, posteriormente atribuido por las naciones occidentales a China, dejó a decenas de miles de víctimas en todo el mundo vulnerables a ataques destructivos. En julio, un ataque al proveedor holandés de software empresarial Kaseya por parte de una banda criminal de piratas informáticos rusos se utilizó como trampolín para lanzar ataques de ransomware.
A principios de este mes, la falla encontrada en Log4j, una pieza rutinaria de software gratuito, generó advertencias especialmente graves, y algunos funcionarios estimaron que cientos de millones de dispositivos están en riesgo. La dependencia de software y hardware entrelazados garantiza que una vulnerabilidad oculta en una herramienta como Log4j pueda causar una interrupción de gran alcance.
«Cuando existe un riesgo en una parte del sistema, tiene el potencial de un efecto dominó global», dijo Sherri Davidoff, directora ejecutiva de la empresa cibernética LMG Security.
«Todas las organizaciones se esfuerzan por descubrir cómo deben responder, cuando gran parte del problema está fuera de su control y en manos de proveedores o proveedores de proveedores», dijo sobre Log4j.
Dado que la vulnerabilidad de Log4J se reveló públicamente a principios de este mes, los investigadores de ciberseguridad han advertido sobre los piratas informáticos vinculados a los gobiernos de Rusia, China, Turquía e Irán que explotan la falla contra varios objetivos. El Ministerio de Defensa belga ha informado de una violación de sus sistemas, mientras que empresas que van desde una empresa química alemana hasta un proveedor de piezas industriales con sede en Milwaukee se han apresurado a apuntalar sus redes, desconectando partes como medida de precaución.
Funcionarios de EE. UU. Y expertos en seguridad dijeron que el año pasado fue uno de los peores registrados en ciberseguridad, marcado no solo por descubrimientos repetidos de errores considerados históricos en su alcance y gravedad potencial, sino también por una avalancha de ataques de ransomware en empresas e infraestructura crítica. .
Un ataque en mayo contra Colonial Pipeline cerró el conducto principal de combustible de la costa este y fue seguido por un ataque similar en junio que interrumpió un gran distribuidor de carne. Una oleada de ataques de este tipo este año llevó a la administración de Biden a identificar el ransomware como una de las principales amenazas para la seguridad nacional, y el presidente Biden ha tratado repetidamente de presionar a su homólogo ruso, Vladimir Putin, para que tome medidas enérgicas contra los grupos de ransomware que operan dentro de sus fronteras.
«‘Cuando existe un riesgo en una parte del sistema, existe el potencial de un efecto dominó global’«
También hay compradores mucho más acomodados en lo que se conoce como el mercado de día cero para herramientas de piratería de alta potencia, dijeron funcionarios y expertos. Investigadores de Alphabet Inc.’s
Google ha identificado 57 días cero utilizados por los atacantes en 2021, según los datos compartidos con EDL, más del doble del total visto el año pasado. Muchas de las vulnerabilidades observadas se encuentran en software producido por grandes proveedores de tecnología, como Microsoft, con bases de clientes globales. Microsoft se negó a comentar.
En los últimos meses, el gobierno de Biden ha comenzado a tomar medidas destinadas a frenar la proliferación de días cero, esencialmente fallas informáticas previamente desconocidas, al bloquear el comercio estadounidense con algunos proveedores conocidos, incluida la empresa cibernética israelí NSO Group. Pero los expertos en ciberseguridad dijeron que la demanda de tales vulnerabilidades podría seguir creciendo a medida que las empresas y los gobiernos fortalezcan sus defensas de base contra ataques más simples.
«El atacante siempre utilizará la forma más fácil de ingresar a una organización», dijo Phil Venables, director de seguridad de la información de la división de nube de Google.
La falla previamente desconocida en la herramienta Log4j, que muchos desarrolladores usan para registrar la actividad en sitios web y aplicaciones, subrayó cómo tales amenazas pueden originarse en los bloques de construcción más básicos del software.
En mayo, la administración Biden ordenó a las agencias federales que examinen de manera más agresiva tales herramientas en una orden ejecutiva destinada a apuntalar las cadenas de suministro digital del gobierno. Los funcionarios estadounidenses también han instituido regulaciones únicas en su tipo que requieren que las compañías de oleoductos, ferrocarriles y aerolíneas informen sobre ataques que podrían proporcionar inteligencia sobre amenazas a otros tipos de infraestructura crítica.
El tamborileo de los ataques ha inspirado el humor negro entre los profesionales cibernéticos que también están lidiando con el estrés de la pandemia de coronavirus. La empresa cibernética Intruder, con sede en Londres, lanzó la semana pasada un sitio emergente que recopila memes, incluida una imagen que muestra un tren de carga etiquetado como «Log4j» aplastando un autobús que representa los planes de vacaciones de la comunidad de ciberseguridad.
El sitio, que según los funcionarios de Intruder ha atraído a casi un cuarto de millón de visitantes únicos desde su lanzamiento, se describe a sí mismo como un estimulante para los defensores cibernéticos en su lema: «Si no sabes si reír o llorar».
Escribir a David Uberti en david.uberti@wsj.com y Dustin Volz en dustin.volz@wsj.com
Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ