Hace unos meses, el ataque a SolarWinds revolucionó el panorama tecnológico a nivel mundial.
Básicamente lo que sucedió, es que el software Orion de la empresa SolarWinds fue hackeado, y lo peor de todo, nadie se dio cuenta de ello durante mucho tiempo. El anuncio de la vulnerabilidad fue el pasado mes de diciembre (Sunburst): https://www.solarwinds.com/securityadvisory#anchor1, pero se cree que la puerta trasera fue introducida 9 meses antes, en una actualización del software de marzo .
Incluso posteriormente, detectaron otro malware a mayores (Supernova), también detallado en el link anterior, aunque de menor relevancia.
El problema, es que aunque para la mayoría Orion de SolarWinds sea un auténtico desconocido, la realidad es que resulta crítico para miles de departamentos IT de todo el mundo. Así, Orion: https://www.solarwinds.com/es/orion-platform, que se utiliza para administrar y monitorizar la infraestructura IT a modo servicio (SaaS) en un sólo panel, simplificando y ayudando a gestionar entornos complejos, es utilizado en prácticamente todas las empresas incluidas en el Fortune 500, así como en entidades públicas del nivel de la NASA, el Pentágono o las fuerzas aéreas de los EEUU, y en total, se estima poseen aproximadamente 33.000 clientes por todo el globo.
Las empresas anteriores, vieron sus sistemas comprometidos debido a esta herramienta de un tercero, y tampoco se sabe muy bien hasta dónde llegaron, por ahora sólo Microsoft es de los pocos clientes que ha hablado algo sobre ello, pero seguramente el alcance total se mantenga como clasificado.
Resumiendo todo lo anterior, nos encontramos ante un problema de seguridad a nivel mundial, que afecta a empresas y estados de primer nivel, y donde las primeras pesquisas apuntan a un ataque sofisticado, probablemente bajo el apoyo de una nación potente y con recursos como Rusia.
De hecho, Brad Smith, presidente de Microsoft, definió el ataque como el mayor y más sofisticado de la historia desde un punto de vista de ingeniería de software: https://www.cbsnews.com/news/solarwinds-hack-russia-cyberattack-60-minutes-2021-02-14/
Entiendo que hasta aquí, dentro del caos debiera haber una relativa tranquilidad, es decir, el avío es muy gordo, pero bueno, estamos hablando del ataque más sofisticado de la historia… ¿o no?
Pues el caso, es que recientemente el ex CEO de SolarWindows, Kevin Thompson, tuvo que dar explicaciones de lo sucedido a la Cámara de Representantes y Seguridad Nacional de los EEUU, dónde se está investigando este desastroso ataque de ciberseguridad: https://edition.cnn.com/2021/02/26/politics/solarwinds123-password-intern/index.html
Pues bien, sin cortarse un pelo, el Sr. Thompson tiene el cuajo de indicar que la culpa de todo este desaguisado es de un becario… y para más inri, debido al uso de una contraseña como “solarwinds123” por parte de este.
Como se puede constatar, el intento de escurrir el bulto y responsabilidades es casi cómico.
En todo caso, aunque parezca inverosímil, en efecto parece que el uso de la contraseña “solarwinds123” descubierta en internet en 2019 por parte de un investigador de seguridad independiente, puede ser una de las causas del hackeo. Y es que estas credenciales ofrecían acceso a un servidor, y previsiblemente al repositorio de código GitHub de la empresa.
Al respecto, uno podría pensar en mil factores que hubiera evitado el desastre: contraseñas seguras, doble factor de autenticación, baja de usuarios en desuso, limitación de acceso y roles de usuario, auditorías de seguridad internas (el problema de seguridad no fue detectado por SolarWinds, sino por FireEye…), firma software, en fin… y sin embargo, el problema termina recayendo en el pobre becario, una persona con un sueldo y peso en la empresa incomparables al del Sr. Thompson, pero al que sin comerlo ni beberlo, quieren poner de protagonista en toda esta película.
