Un nuevo ciberataque ruso a organizaciones norteamericanas revela la fragilidad de la cadena de suministro

El ataque se realizó a través de SolarWinds, un proveedor relativamente oscuro, pero omnipresente: El software atacado ha sido descrito como algo «en la fontanería (IT)» de las empresas. Esta parece ser una metodología cada vez más usada en ciberataques, que apunta a los proveedores como una forma de atacar a sus clientes, que luego quedan expuestos al descargar el software comprometido (WSJ)

Pero puede haber puesto en riesgo infraestructuras críticas: El ataque ha sido capaz de comprometer los sistemas de miles de entidades, incluyendo varias agencias gubernamentales «sensibles» de Estados Unidos, como el Pentágono y la NSA, y también a Microsoft. Los expertos norteamericanos dicen que la «campaña de espionaje» plantea un «grave riesgo» para la infraestructura crítica, y los miembros de los comités del Congreso que analizan esto están diciendo que están «bastante asustados» por las «consecuencias devastadoras» que puede tener para la seguridad nacional norteamericana (FT)

Cómo (y por qué) ha sucedido: La fuente del problema ha sido una aplicación llamada Orion, perteneciente a SolarWinds, que ayuda a las empresas a monitorizar sus redes informáticas. Los hackers consiguieron insertar software malicioso en las actualizaciones de software de Orion publicadas la primavera pasada. Según SolarWinds, estas actualizaciones podrían haber sido descargadas por hasta 275.000 clientes en todo el mundo. La verdadera escala de la operación y su motivación no se conocen todavía, pero se dice que hay signos de que esto podría ser parte de una campaña más grande de los rusos (FT)(FT2)

En la raíz de todo esto está el problema de una frágil cadena de suministro: Como se comenta en el artículo de opinión del FT adjunto, el lenguaje habitual sobre una «operación compleja» de los piratas informáticos puede estar ocultando la verdadera causa del problema, que es la vulnerabilidad de las actuales cadenas de suministro de IT, que a menudo se basan en proveedores poco conocidos como SolarWinds, sin que los clientes tengan ninguna visibilidad sobre sus prácticas de ciber seguridad (FT)

¿Lo anticiparon los fondos de Private Equity, de alguna manera? Una revelación interesante en este caso particular es el hecho de que un par de fondos de Private Equity habían vendido un 5% de participación en SolarWinds sólo días antes de que la noticia del ataque se hiciera pública. Por supuesto, ellos han dicho que no estaban al tanto del incidente antes de la operación (FT)

El incidente está creando sensación de urgencia para que los gobiernos reaccionen, incluyendo a Europa: El caso SolarWinds ha aumentado la presión pública para que nuestras sociedades se protejan de ataques como estos, así que el anuncio por parte de la UE de un conjunto de propuestas enmarcadas bajo el nombre de «Escudo Cibernético Europeo», también esta semana, ha sido bien recibido. Según el proyecto, la UE podría imponer multas de hasta el 2% de los ingresos anuales a las empresas que ignoren las advertencias para mejorar su ciberseguridad. Muy en línea con lo que está sucediendo, se pedirá a las empresas que revisen su exposición, incluso a través de sus proveedores de IT (y de cloud) (FT)

Para recibir el resumen de noticias por mail todas las mañanas y ser el primero en compartirlas con tus amigos subscríbete aquí:

Por favor, deja este campo vacío

Comprueba tu bandeja de entrada o de spam ahora para confirmar tu suscripción.