Autor: Susana B. García para CIBERPRISMA
Las empresas productoras de software en el ojo de la tormenta.
Las filtraciones de datos se han convertido desde hace algunos años en uno de los principales riesgos para los Estados, las empresas y la sociedad en general. Cada vez que uno de estos eventos sale a la luz, sobrevuelan responsabilidades y cuestionamientos relacionados con el tratamiento y la gobernanza de los datos exfiltrados. Sin embargo, las acciones tanto gubernamentales como privadas para enfrentar este flagelo continúan siendo imperfectas.
En el mismo escenario se mueven los ciberdelincuentes y ciberespías que, tanto uno como otros, aunque con motivaciones distintas, ocasionan importantes daños a la economía digital en general y a la reputación de las empresas involucradas. Así lo señaló también el Foro Económico global en su informe «Riesgos Globales 2020» y puso el foco en una de las cuestiones vinculadas: las organizaciones aumentarán su vulnerabilidad a este tipo de ataques si continúan privilegiando un producto del mercado a un diseño a medida para la protección de sus redes y sistemas.
El año 2020, atravesado por la pandemia del Covid-19, concluyó con uno de estos eventos de conmoción mundial y amplia cobertura periodística: el ataque a la empresa tejana SolarWinds, fabricante de software para monitoreo de redes. Según Microsoft, el 44% de las empresas de tecnologías de la información, categoría que incluye a los fabricantes de software, proveedores de servicios y de hardware, encabezan las estadísticas de víctimas de ciberataques, superando en gran medida a otros blancos como los organismos estatales (18%), ONGs y Think Tanks (18%). La relevancia que ha adquirido este sector radica en que constituyen la puerta de entrada a una inmensa cantidad de organizaciones públicas y privadas, usuarias del software, equipamiento y servicios de TI; sin mencionar que muchas de ellas tienen presencia internacional por lo que la afectación del incidente se extiende a varios países, con la misma velocidad que el Covid-19. En el caso de SolarWinds, su software Orion de monitoreo es utilizado por más de 30.000 clientes dentro y fuera de Estados Unidos. Y aunque esta cifra puede resultar escalofriante, algunos expertos de la comunidad TI sostienen que los clientes de la cartera de productos SolarWinds superaban ampliamente los 150.000 y los 3 millones de usuarios desde el año 2010.
A tan sólo dos meses del devastador descubrimiento que hizo la empresa FireEye sobre la vulnerabilidad del software Orion, una nueva alarma se encendió en Francia. En esta oportunidad, el ataque fue dirigido a la empresa francesa Centreon, con oficinas centrales en Paris, y proveedor del software homónimo. Básicamente se trata de otra solución tecnológica para monitorear aplicaciones, sistemas y redes, pero esta vez basada en el código fuente Nagios. El producto de Centreon que se comercializa desde 2007, en sus orígenes fue denominado Oreon pero posteriormente debió modificar su nombre debido a su similitud con el componente Orion de SolarWinds que ya estaba en el mercado. La empresa francesa ofrece cuatro versiones, la primera de código abierto gratuita es la más limitada, siendo su producto estrella las tres versiones aranceladas y customizadas (TI, Comercial y Administrador de Servicios). Como ya mencionamos, Centreon está basado en el software de monitoreo Nagios de código abierto, pero incluye una interfaz de usuario web que aumenta y facilita su funcionalidad, incorporando una capa de visualización en tiempo real de mapas personalizados, tráficos de red, etc.
El 15 de febrero la Agencia Nacional para la Seguridad de los Sistemas de Información de Francia (ANSSI) informó que varias organizaciones, mayoritariamente proveedores de tecnologías de la información, fueron víctimas de una campaña de intrusión, ejecutada desde el 2017 hasta el 2020, a través de una vulnerabilidad en el software Centreon.
Podrás consultar el análisis de incidente que publicó la ANSSI en el siguiente enlace:
Como ocurre en casi todas estas situaciones, la Agencia de Ciberseguridad gala no especificó cuáles fueron las organizaciones directamente afectadas, la empresa Centreon declaró que ninguno de sus 600 clientes fueron afectados, para luego admitir que el evento afectó a no más de 15 organizaciones que descargaron la versión gratuita donde la vulnerabilidad estaba presente ya que no había sido actualizada en por lo menos cinco años. El Ministerio de Justicia francés, el cliente estatal más importante de Centreon así como las empresas involucradas no brindaron información a la prensa o se limitaron al clásico «estamos evaluando el grado de afectación».
Pero, si consultamos el listado de los principales clientes que podrían encontrarse «evaluando el grado de afectación» nos encontramos, nada más ni nada menos que con los siguientes:
- El gigante aeroespacial Airbus, especializada en aeronáutica civil y militar y en el sector espacial (lanzadores, satélites y servicios orbitales) y con presencia global, cuenta con filiales en Brasil, Chile y México;
- la empresa de aviación Air France;
- el megagrupo electrónico Thales, también con presencia en todo el mundo y en casi todos los países de América Latina, pionero en soluciones de Inteligencia Artificial y tecnologías cuánticas, que será el proveedor de la primera nube desplegable de la OTAN para zona de operaciones;
- el principal productor de acero a nivel mundial Arcelor Mittal, con filiales en Brasil y Argentina (Arcelor Mittal Acindar);
- la empresa de electricidad francesa EDF;
- la empresa de telecomunicaciones Orange, que ya fue víctima de dos importantes ciberagresiones en 2014 y 2020 que resultaron en pérdida de datos e importantes daños económicos;
- la empresa de correos y telecomunicaciones de Nueva Caledonia;
- una cooperativa agroalimentaria internacional no identificada pero con presencia en 55 países;
- la proveedora de servicios de Tecnologías de la Información nc2;
- el Grupo Parot, principal distribuidor de automóviles en territorio francés;
- la Escuela Politécnica de Paris considerada el principal centro tecnológico de Francia,
- además de AFP, una de las principales agencias de noticias del mundo.
- Y entre los organismos públicos, como ya mencionamos, nada más ni nada menos que el Ministerio de Justicia de Francia.
Hackers y la inteligencia rusa en la mira
Si bien el vector de ataque contra Centreon no ha sido identificado aún, según la ANSSI, la modalidad empleada podría atribuirse al grupo ruso de ciberespionaje Sandworm, vinculado al GRU, organismo de la inteligencia rusa. La talla de los clientes de Centreon bien podría justificar una acción de ciberespionaje perpetrada por un gobierno extranjero. Por otra parte y según fuentes periodísticas, Dmitri Peskov, vocero del Kremlin, negó rotundamente el involucramiento de su gobierno en el ataque a las empresas francesas.
El gobierno de Rusia nunca ha tenido, no tiene y nunca tendrá ninguna relación con acciones de la ciberdelincuencia.
Dmitri peskov
El gobierno norteamericano ha acusado anteriormente al grupo Sandworm, también conocido como Unidad 74455, de perpetrar una cantidad de ataques a gran escala en los últimos años. Entre ellos podemos mencionar, en el período comprendido entre 2015 y 2018, los ciberataques al sistema de distribución de energía eléctrica de Ucrania, a los inspectores de armas químicas en el Reino Unido, al partido del presidente francés Emmanuel Macron, a los servidores del Partido Demócrata en EEUU y la autoría del devastador NotPetya que en 2017 afectara a empresas y organismos públicos en más de 60 países.
La relación de este grupo con la inteligencia rusa ha sido un argumento recurrente en casi todos los casos mencionados. El dilema de la atribución de los ataques en el ciberespacio continúa sin resolverse y este caso no es una excepción. Diferente sería la situación si la Agencia francesa basara su presunción del atacante en información propia. Si se basa en informes de empresas y organismos mayoritariamente norteamericanos o apela a la similitud del ataque a SolarWinds para señalar a Sandworm como responsable, la Agencia francesa podría exponerse a repetir la situación de su entonces director, Guillaume Poupard. En 2017, tras meses de acusaciones a Rusia, concluyó declarando que la investigación final de la intrusión a la campaña de Macron no pudo determinar ninguna evidencia de origen ruso.
Esto no significa que se excluye a Rusia o a otro país de estar detrás de todos estos eventos, máxime si se tiene en cuenta que por un lado los organismos de seguridad y de inteligencia son especialistas en la colección de datos físicos o virtuales. Pero tampoco hay que minimizar el hecho que, durante la pandemia de Covid los riesgos y la actividad delictiva aumentaron al mismo ritmo que la conectividad y la transformación digital de las organizaciones y que la comercialización de grandes volúmenes de datos en los mercados negros digitales constituye hoy una de las actividades clandestinas más lucrativas.
Ante la gravedad del impacto que tienen estos eventos de intrusiones y robo de datos, sería prudente agilizar los procesos de integración público-privada para diseñar estrategias y modos de acción adecuados a la nueva normalidad que plantea no sólo la pandemia sino la diversidad de riesgos derivados del ciberespacio.
Fuentes:
– https://www.latribune.fr/depeches/reuters/KBN2AF1TG/france-la-societe-informatique-centreon-ciblee-par-des-hackers-dit-l-anssi.html
– https://reports.weforum.org/global-risks-report-2020
– https:77www.cert-ssi.gouv.fr/cti/CERTER-2021-CTI-004/
Ciberprisma - alianza por la ciberseguridad 