Un nuevo ciberataque ruso ha puesto en jaque a miles de ordenadores de empresas y organismos oficiales estadounidenses, según ha revelado Microsoft este lunes en una entrada publicada en el blog de la compañía. Se trata, según escribe Tom Burt, su vicepresidente para asuntos de seguridad, de una campaña de “la agencia rusa Nobelium”. Es el mismo grupo de piratas “que estuvo tras el incidente de SolarWinds en [la primavera de] 2020, y que el Gobierno de Estados Unidos y otros han identificado como parte del SVR [Servicio de Inteligencia Exterior ruso]”.
La ofensiva llega a los siete meses de que el presidente Joe Biden anunciara en abril sanciones a Moscú por su responsabilidad en varios episodios de este tipo, y tan solo dos semanas después de que organizara un encuentro con 30 países y la Unión Europea para tratar temas de ciberseguridad, al que no estaba invitado Rusia. La ausencia se debió a que, según explicó una alta funcionaria de la Casa Blanca, existen foros bilaterales en los que se están tratando “de una manera franca y directa” estos asuntos. A juzgar por las últimas noticias, la franqueza no está dando los frutos deseados.
El ataque entra en la categoría del espionaje (en busca de secretos industriales o farmacéuticos) y no en la del sabotaje, patrón que se ha repetido en varias de las campañas más sonadas de los dos últimos años, que han causado pérdidas millonarias a empresas estadounidenses y han afectado a los suministros de petróleo o de carne. En ese tipo de operaciones, los hackers emplean la técnica del ransomware, un software malicioso que secuestra un sistema informático y encripta los datos hasta que se pague un rescate, habitualmente en criptomoneda.
Sanciones a Moscú
Washington impuso el 15 de abril duras sanciones a Rusia por, entre otros motivos, haber interferido en las elecciones presidenciales estadounidenses de 2020. Biden dijo entonces que informó a su homólogo ruso en una conversación telefónica “respetuosa y sincera”. “He sido claro con el presidente [Vladímir] Putin. Estados Unidos podría haber ido más allá, pero hemos decidido no hacerlo. Pero si Rusia da un paso más en su injerencia, estamos preparados para responder”. Moscú respondió con una amenaza de medidas contundentes.
El último ciberataque tiene como principal objetivo la cadena de suministro tecnológica, esas empresas que adaptan los servicios de Microsoft de almacenaje de datos en la nube para que puedan usarlos los consumidores finales, ya sean compañías comerciales u organizaciones académicas. En la jerga se las conoce como “revendedores”. Y ese es uno de los puntos más débiles del sistema. Si bien hay instituciones como la CIA que confían en ese tipo de mantenimiento de sus datos con compañías como Amazon, cuando esa tecnología se subcontrata la seguridad puede verse seriamente afectada.
Únete ahora a EL PAÍS para seguir toda la actualidad y leer sin límites
Suscríbete aquí
Según los expertos participantes en un foro anual de ciberseguridad celebrado estos días en Sea Island, en el Estado de Georgia, citados por The New York Times, los piratas, que han trabajado a partir de una gran base de datos de contraseñas robadas, han empleado esta vez técnicas “poco sofisticadas y fáciles de prevenir”.
Las autoridades estadounidenses ya implicaron al SVR en operaciones de espionaje contra las redes del Comité Nacional Demócrata, órgano de gobierno del partido, en las elecciones de 2016, en las que resultó elegido Donald Trump. En el caso SolarWinds, lograron alterar el software de miles de ordenadores, dejando al descubierto datos de 18.000 usuarios. Esta vez el número de terminales afectadas ha sido menor. Entonces, los piratas informáticos del SVR introdujeron sus centinelas a través de un software empleado por decenas de instituciones, entre ellas, el Departamento del Tesoro. Bastaba que un usuario actualizase de un modo rutinario ese servicio, prestado por la empresa texana SolarWinds, para que el sistema quedase infectado de espías virtuales. El Kremlin ha negado en varias ocasiones su implicación en estos ataques, mientras las autoridades estadounidenses se han mostrado escépticas con la voluntad de Moscú de atajarlos.
“Comenzamos a observar esta última campaña en mayo de 2021 y hemos informado a los afectados, al tiempo que les hemos proporcionado asistencia”, escribe en el citado comunicado el alto ejecutivo de la compañía, Tom Burt. “Continuamos investigando, pero hasta la fecha creemos que hasta 14 de estos revendedores y proveedores de servicios se han visto comprometidos. Afortunadamente, hemos descubierto esta campaña durante sus primeras etapas (…). Estos ataques forman parte de una acción más grande. Entre el 1 de julio y el 19 de octubre, informamos a 609 clientes de que habían sido atacados 22,868 veces por Nobelium, con una tasa de éxito baja”.
Burt interpreta que “esta actividad reciente es otro indicador de que Rusia está tratando de obtener un acceso sistemático y a largo plazo a la cadena de suministro de tecnología para así poder vigilar, ahora o en el futuro, objetivos de interés” para el Kremlin. Microsoft promete que seguirá trabajando “con el sector privado, con la Administración de los Estados Unidos y con todos los demás gobiernos interesados en combatir” estas amenazas.
Sigue toda la información internacional en Facebook y Twitter, o en nuestra newsletter semanal.