Nadie puede saber qué represalias recomienda Jake Sulivan, máximo responsable de seguridad de la administración estadounidense, para castigar la complicidad de Moscú en el llamado caso Solar Winds, destapado en diciembre. Entretanto, otro ciberataque masivo ha copado la actualidad: sus víctimas han sido decenas de miles de servidores de correo Microsoft Exchange. Con la peculiaridad de que su autoría se atribuye a un grupo de hackers chinos que – según Microsoft – actúa con amparo gubernamental. Esta coincidencia entre rusos y chinos parece indicar que los patrocinadores de la “ciberdelincuencia de Estado” tienen un interés común en probar hasta qué punto puede llegar la paciencia de Joe Biden.
Es corriente que a cada grupo de hackers identificado por los cazadores de malware se le conozca por un nombre propio que ellos mismos se asignan en su jerga doblemente críptica. El que ha atacado los servidores Exchange no es excepción a la regla: Microsoft lo denomina Hafnium, ha rastreado su linaje y dice tener pruebas de que cuenta con apoyo o al menos tolerancia de las autoridades chinas. Lejos de ser anecdótico, el hecho abre otro frente con el que tendrá que lidiar Sullivan, a quien Biden ha recuperado del antiguo equipo de Obama.
Al margen de la dimensión geopolítica que tiene el asunto, ha contribuido a sembrar la desconfianza en el seno de la industria TI. “Algunas compañías se han abstenido de alertar a sus clientes de que han sido víctimas de un ataque, para no dejar pistas sobre la fragilidad de sus propias infraestructuras”, ha advertido Brad Smith con el tono severo que merece la acusación. Y no lo ha hecho ante la prensa sino aprovechando su comparecencia ante un comité del Congreso.
Según dijo Smith a los congresistas, Amazon Web Services y Google no han compartido lo que han averiguado acerca de estos ataques. De hecho, Google se ha limitado a publicar una única entrada en el blog de la compañía, mientras AWS ni siquiera se ha ocupado del tema pese a que los hackers han usado su infraestructura cloud, encubriendo sus identidades. La diferencia es que Microsoft, víctima propiciatoria, ha tenido que postear más de 30 veces para comunicar sus hallazgos y anunciar los parches destinados a resolver los problemas de sus clientes.
El reproche del número dos de Microsoft – y antes responsable de sus servicios jurídicos – ha ido más lejos todavía: “la migración a la nube es una medida crítica para mejorar la seguridad de todas las organizaciones”. Recalcó que todos los ataques comprobados se han dirigido contra sistemas on-premise y ninguno contra la aplicación de correo instalada en Azure. Ante lo que han reaccionado sendos directivos de Dell y HPE, en defensa de la integridad de sus sistemas vinculados a estrategias híbridas.
Probablemente los términos de la polémica estén desenfocados por los intereses que defiende cada uno. Microsoft tiene motivos para sentirse dolida ante la insolidaridad de sus pares ante un problema que afecta a todo el sector. Aun así, resulta incontestable que si el propósito de la ciberdelincuencia organizada – con o sin apoyos estatales – es hacer daño masivo, en su punto de mira estarán los servidores de correo Exchange, por su inmensa base instalada. Encontrar puntos vulnerables promete rentabilidad garantizada: a cambio de poco riesgo, puede proporcionar al atacante datos sensibles de empresas privadas y organismos gubernamentales.
Lo habitual es que los cazadores de malware dentro de Microsoft – y los de las empresas de seguridad que colaboran con ella – sean diligentes en el rastreo de agujeros en su software y en la distribución de parches. A veces, algún atacante se cuela tras las defensas e inevitablemente se produce un desfase entre el hallazgo y el remedio, tiempo precioso que los hackers saben aprovechar.
En el caso de Exchange, el ataque se inició en enero, pero no fue notificado hasta el 2 de marzo, día en que lo desvelaron los especialistas de Volexity. Consecuencia: durante dos meses fueron infectados más de 30.000 clientes de Exchange Server en sus versiones de 2013, 2016 y 2019, todas ellas locales. El más famoso ha sido la Autoridad Bancaria Europea, pero se puede apostar que la cifra de damnificados será más alta. Tal como ha dicho Smith, la versión cloud no se ha visto afectada.
Las vulnerabilidades existían, pero no eran conocidas por Microsoft. Si se explotan en cadena, pueden llevar a la ejecución remota de código, al secuestro de servidores, la creación de puertas traseras, el robo de datos y, potencialmente, la instalación permanente de malware en el sistema receptor. Volexity localizó puertas explotable para una acción de espionaje, que en casos extremos podrían utilizarse para secuestrar el servidor y reclamar un rescate.
¿Cómo reaccionó Microsoft? Lanzando de prisa una herramienta de mitigación [atención al circunloquio] que en pocos días logró reducir el número de servidores no actualizados. Anne Neuberger, adjunta a Sullivan, insistió en que la compañía debe diseñar una solución simple para un problema que no lo es.
Porque, fuera porque los parches llegaron tarde o porque los delincuentes estaban sobre aviso, otros grupos – con apelativos tan vistosos como LuckyMouse, Calypso o Websiic – consiguieron colarse en la partida aun antes de que Microsoft anunciara su solución. Las investigaciones de la compañía de seguridad ESET sugieren que un partner de Microsoft faltó al compromiso de confianza y filtro información recibida confidencialmente.
Sostiene la conocida ´ley` de Murphy que todo lo que puede empeorar, empeora. Pues bien, el 12 de este mes, Microsoft informó de que una variante de ransomware conocida como DearCry – una reminiscencia poco sofisticada de Wanna Cry – estaba explotando las vulnerabilidades de Exchange. Así, un episodio que inicialmente fue interpretado como acto de espionaje pasaba a ser potencialmente destructivo. En esto se apoya CheckPoint para recomendar que las organizaciones – atacadas o ilesas – no deberían limitarse a parchear Exchange sino escanear en profundidad sus redes en busca de amenazas vivas.
En estos tiempos es casi cotidiano enterarse de ataques cada vez más sofisticados, señal de que los delincuentes van muy por delante de los vigilantes. Ante este caso, de las quejas de Smith se deduce que la industria no tiene una actitud colectiva. Los ataques recientes afectan en buena medida a organismos gubernamentales – que no siempre están obligados, como las empresas, a revelarlos – de los que se supone que están dotados de medidas rigurosas de protección.
El caso Solar Winds ha supuesto un punto de inflexión, toda vez que ya no se habla de ciberdelincuentes profesionales cuyo oficio es el beneficio. Se trata de ciberguerra, cuando no de ciberterrorismo de estado. En esto parece llevar razón Sullivan, cuyos escritos académicos valdría la pena leer ahora que tiene mando en plaza.
Con esta mirada, la CISA (Cibersecurity & Infrastructure Security Agency) se pudo a estudiar el episodio Exchange de inmediato. Sufrir dos ciberataques consecutivos no es plan para una potencia como Estados Unidos, aunque tenga a mano el recurso de recordar los errores de Donald Trump. No iría desencaminado: con el anterior presidente, las ciberdefensas quedaron demediadas. Es una de las preocupaciones, que los entes gubernamentales estén desguarnecidos. Microsoft les insta a migrar al modelo cloud, más seguro, pero generalmente aquellos son reacios – ni más ni menos que en España – porque dependen de numerosas aplicaciones legacy y no se fían de llevarlas a la nube.
Los especialistas apuntan que parchear un servidor Exchange no es sencillo. Y que muchas administraciones públicas carecen de conocimientos y personal para gestionarlos con garantías suficientes. De manera que a Microsoft se le plantean dos problemas juntos: arreglar el desaguisado más urgente y convencer a las víctimas de mudarse a Azure. ¿Cómo convencerles cuando, en medio de esta crisis mayúscula, se le caen Azure y Teams, como pasó hace una semana? Será cierto que las desgracias no vienen solas.
Una primera conclusión de CISA viene a la mente. “se ha producido una explotación nacional e internacional generalizada de las vulnerabilidades de Exchange. La recomendación consiguiente no deja en buen lugar a Microsoft ni a sus parches: “se aconseja desconectar y reconstruir el servidor Exchange en su totalidad”.
Por cierto, es normal que se ponga la atención en los sospechosos habituales de exportación de malware: Rusia y China en primerísimo plano. Las dos potencias tienen cuentas que ajustar con la nueva administración estadounidense y son probadamente competentes para la ciberguerra.
Uno de los problemas que plantean los ataques Zero-Day es que el tiempo corre en contra del atacado: el mal ya está consumado cuando se corrigen y, cuando se trata de un software que emplean cientos de miles de entidades, como es el caso de Exchange, las ramificaciones pueden tender a infinitas. Un motivo más para el nerviosismo de Microsoft.