¿Deben las empresas alemanas preocuparse por el hackeo de SolarWinds?

30

Hans Rehder se ajusta nerviosamente la corbata al entrar en el vestíbulo del Hotel Adria, con los ojos buscando a su contacto. ¿Quería estar aquí? No lo sabe, pero tiene una esposa, cuatro hijos y un montón de deudas que no puede pagar. Simón le ha organizado esta reunión y el hombre le ofrece dinero. Todo lo que tiene que hacer es robar secretos de Telefunken, su empleador. El primer pago es de 500 marcos alemanes, dinero fácil. Hans no lo sabe cuando conoce al contacto de Simon, pero acaba de firmar para ser un espía corporativo de la Stasi. Durante los siguientes 28 años robará a Telefunken... y nunca lo atraparán.

El espionaje empresarial respaldado por el Estado ha existido desde los albores de los negocios. En los años 50, en la época de Hans Rehder, ya era una práctica bien perfeccionada. La CIA, el KGB, la Stasi, todos eran maestros de su oficio.

Pero ahora estamos en 2021. La Guerra Fría ha terminado y a todos nos gusta creer que no corremos el riesgo de sufrir tales subterfugios del siglo XX. Pero la realidad es que, desde la primera mitad del siglo XX, la "guerra" tradicional se ha trasladado cada vez más al ámbito cibernético. El espionaje es ahora ciberterrorismo, y como todos dependemos cada vez más de Internet para hacer negocios, nuestras empresas corren más riesgo que nunca. Un Hans Rehder moderno ni siquiera tiene que salir de su casa, y puede hacer mucho más daño.

El hackeo de SolarWinds es un duro recordatorio de la vulnerabilidad del mundo al ciberterrorismo de Estado. Pero como empresa alemana, ¿debería preocuparse por las pérdidas de una empresa estadounidense? Y si es así, ¿qué debería hacer al respecto?

Comprender SolarWinds - y su lugar en el ataque

¿Qué pasó con SolarWinds?

Resumiendo el hackeo

SolarWinds fue un hackeo malicioso y muy sofisticado de la cadena de suministro digital que ha afectado a casi 20.000 empresas de todo el mundo. Si bien el 80% se encuentra en Estados Unidos, hay muchas en el extranjero, incluso en Alemania, como veremos más adelante.

En 2019, unos ciberatacantes que se cree que forman parte del grupo 'Cozy Bear', respaldado por el FSB ruso, colaron un código malicioso en el sistema Orion de SolarWinds. Bautizado como 'Sunspot', se utilizó como ensayo para el ataque principal, y ayudó a inyectar su troyano en una importante actualización de Orion (siendo este nuevo malware apodado 'Sunburst').

Por supuesto, cuando el parche aparentemente normal salió para los clientes en 2020, plantó el malware en decenas de miles de sistemas en todo el mundo, incluyendo organizaciones importantes como Microsoft, FireEye e incluso la Administración Nacional de Seguridad Nuclear del Departamento de Energía de Estados Unidos. También se utilizaron otras dos piezas de malware, Teardrop y Raindrop, que ayudaron a comprometer aún más los objetivos de interés con balizas Cobalt Strike personalizadas.

Identificar la escala del ataque 

En el momento de escribir este artículo, la magnitud del hackeo a SolarWinds aún no se ha revelado: fue un ataque meticulosamente planificado que pasó desapercibido durante meses. Es posible que nunca sepamos el verdadero alcance de los daños y lo que los hackers robaron o dañaron.

¿Fue un acto de ciberterrorismo?

Los atentados terroristas están concebidos para causar daño, socavar el orden, sembrar el caos e interrumpir las infraestructuras. Esto distingue al terror de la delincuencia habitual, ya que el objetivo no es causar daño a un individuo o a un grupo concreto, sino dañar fundamentalmente el orden constitucional de las cosas.

El ataque a SolarWinds eclipsa con creces los viejos tiempos del espionaje corporativo de la Guerra Fría. Fue un acto de ciberterror moderno, no diseñado simplemente para arruinar las acciones de SolarWinds o dañar a su personal, sino para comprometer decenas de miles de sistemas, incluyendo infraestructuras sensibles del gobierno estadounidense. Puede que SolarWinds haya sido la empresa original que fue socavada, pero sus clientes tenían clientes, que a su vez tenían clientes propios. Y así el daño se extendió.

El aumento de los ataques respaldados por el Estado

Los ciberataques de operativos respaldados por el Estado se han vuelto cada vez más angustiosos. 2017 fue el primer año en el que vimos lo realmente devastadores que pueden ser: fue el año de WannaCry y Petya, y luego de NotPetya, el malware autorreplicante desatado por Rusia en Ucrania que accidentalmente hizo caer a la mayor naviera del mundo, Maersk (entre otras muchas empresas también). SolarWinds es solo el último acontecimiento.

Según el Informe de Defensa Digital de Microsoft, los ataques respaldados por el Estado están aumentando y sus actores están utilizando ransomware muy sofisticado, recolección de credenciales y exploits de VPN para infiltrarse y comprometer objetivos importantes. Y estos objetivos no tienen por qué ser agencias gubernamentales; las ONG, los servicios profesionales, las organizaciones internacionales, las empresas de TI y la educación superior son los principales sectores de riesgo, según el informe.

Leer más: "Está la ciberseguridad alemana preparada para 2021?"

SolarWinds fue sobre todo un ataque a los Estados Unidos: ¿debería importarle a los alemanes?

Como ya hemos mencionado, cerca del 80% de las empresas afectadas por SolarWinds tienen su sede en Estados Unidos, por lo que, ¿la mayoría de las empresas alemanas están a salvo?

No, y aquí está la razón.

En primer lugar, se trata de un acontecimiento mundial, aunque sus víctimas sean mayoritariamente estadounidensesD 

Sabemos que algunas de las principales empresas alemanas se han visto afectadas, como Gillette Germany, Siemens y Deutsche Telekom. Es probable que muchas más también hayan sido infectadas, ya sea directamente o a través de un tercero. Por ejemplo, Microsoft Azure fue una de esas víctimas estadounidenses con muchos clientes en Alemania. De hecho, el Foro Económico Mundial descubrió que Alemania es el cuarto país más hackeado del mundo, por detrás de Estados Unidos, Reino Unido e India.

Pero la cosa se pone más alarmante. Con técnicas sencillas como adivinar contraseñas fáciles y explotar problemas conocidos de configuración de la nube con Microsoft Azure, los hackers han podido infectar a miles de clientes que no están realmente vinculados a SolarWinds. De hecho, algunos informes dicen que hasta el 30% de las víctimas no estaban relacionadas con la actualización de Orion. 

En 2021, la realidad que tenemos que aceptar es que la cadena de suministro digital es una red mundial e interconectada de empresas y sólo porque su organización tenga su sede en una nación alejada de una víctima de hacking no significa que esté aislada.

En segundo lugar, los vínculos de Alemania con Rusia pueden ponerla en mayor riesgo

Debido a nuestros estrechos lazos económicos y a nuestra larga historia con Rusia, Alemania corre el riesgo de convertirse en un elemento colateral en cualquier operación de contraataque. De hecho, el gobierno ruso ya está advirtiendo a sus organizaciones que Estados Unidos puede devolver el fuego con un hackeo propio.

Por tanto, muchas empresas alemanas están directa o indirectamente vinculadas a los sistemas rusos, lo que las deja potencialmente expuestas.

¿Se ha visto afectado por SolarWinds? Esto es lo que debe saber (y hacer)

Si cree que su empresa se ha visto afectada por el hackeo de SolarWinds, ya sea como cliente directo o como colateral de otra persona, debe actuar ahora. Cuanto más espere, más expondrá su negocio a los daños.

Hay muchos cambios que puede hacer con el tiempo para mejorar su resistencia a posibles ataques futuros patrocinados por el Estado (que son inevitables), pero puede progresar rápidamente incluso sin ayuda de terceros siguiendo estos pasos:

  1. Identifique si sus sistemas han estado expuestos a la infección a través de cualquier conexión con SolarWinds y sus clientes. Hágase estas preguntas:
  2. ¿Quiénes son los proveedores con los que trabajamos?
  3. ¿Trabajo con terceros que utilizan productos de SolarWinds?
  4. ¿Los socios de mis proveedores utilizan los productos de SolarWinds?
  5. ¿Utilizamos alguno de los proveedores de seguridad que se han visto comprometidos en el hackeo?
  6. Diagnostique si está infectado de alguna manera. Lea primero aquí y luego aquí. Las empresas de seguridad FireEye y Crowdstrike también publicaron herramientas para ayudar a los clientes a investigar si han sido afectados por el malware ruso. Ambas se pueden encontrar en GitHub, la de FireEye aquí y la de Crowdstrike aquí. FireEye también ofrece un libro blanco sobre técnicas de remediación y endurecimiento que puede utilizarse junto con su script de auditoría.
  7. Si puede ver una o más de las detecciones del IPS, bloquee inmediatamente todos los indicadores de IP y dominio asociados. Es probable que esté infectado.
  8. Revoque la confianza en el certificado de SolarWinds comprometido utilizado en estos ataques. Más información aquí.
  9. Organice reuniones de una hora con su equipo de ciberseguridad y las principales partes interesadas de la organización para debatir la postura de seguridad y revisar los puntos débiles y las vulnerabilidades.
  10. Busque los conjuntos de herramientas disponibles dedicados a hacer frente a este ataque, que fue designado UNC2452. Hay uno disponible de Microsoft, además de un marco de trabajo de MITRE ATT&CK.
  11. Utilice un antivirus actualizado o un análisis EDR para comprobar si las bibliotecas de SolarWinds están comprometidas.
  12. Reduzca los permisos de las aplicaciones y los principales servicios, especialmente los permisos de las aplicaciones (AppOnly).

Cómo protegerse de futuros ataques

1. Conozca mejor su panorama de amenazas de ciberterrorismo 

La ignorancia no es una bendición cuando se trata de la exposición al riesgo. Aunque muchas empresas tratan el riesgo, el cumplimiento y la gobernanza (todos ellos vitales para identificar las amenazas terroristas) como meras casillas que hay que marcar, no se puede estar protegido de lo que no se entiende ni se puede identificar.

Reúna a sus principales líderes tecnológicos y empresariales y acuerde la metodología o el catálogo de control de seguridad que refleje sus necesidades organizativas. Si no tiene experiencia en seguridad dentro de la empresa, tendrá que encontrar a un tercero, como dig8ital, para que le ayude. La experiencia moderna es fundamental para el éxito.

Cuando entienda su exposición al riesgo y haya elaborado un modelo para las amenazas, podrá establecer su apetito de riesgo y reducir los aspectos que debe mejorar en toda la empresa.

Además, si su personal de gobierno, riesgo y cumplimiento está separado en equipos aislados, debe asegurarse de que se comunican entre sí y trabajan con un plan alineado o, de lo contrario, pueden formarse brechas entre estas áreas clave.

Un paso más: La alta dirección, incluida la junta directiva, tendrá que estar al tanto de estos cambios y participar en ellos, pero no se puede arrojar un montón de jerga tecnológica sobre sus rodillas. Esa es una forma rápida de que te ignoren. Encuentre un terreno común con otros líderes y ayúdeles a entender la importancia del cumplimiento de la seguridad. Utiliza un lenguaje que entiendan, como la exposición al riesgo y el impacto organizativo, y respáldalo con datos concretos.

Leer más: "Conoce su apetito de riesgo cibernético?"

2. Mejore la transparencia de sus datos

Los datos son la savia de su negocio, y los ciberterroristas lo saben. Tener un mal conocimiento de sus activos de información podría dejarlos vulnerables a los ataques. Una cosa importante a tener en cuenta aquí es que sólo porque su organización tenga un mal registro de sus datos no significa que los hackers también lo hagan. Es muy posible que sepan más de usted que usted.

Hágase estas preguntas para orientarse hacia una mayor transparencia:

  1. ¿Tengo una lista de todos mis activos de seguridad informática?
  2. ¿Entiendo quién es el responsable de ellos?
  3. ¿Conozco los elementos individuales de la red de esos activos?
  4. ¿Tengo una visión completa de los riesgos pasados y presentes asociados a esos activos?
  5. ¿Comprendo lo valiosa que es la información de este activo para mi organización?
  6. ¿Tengo una visión general de los procesos a los que se conectan?

3. Aprender a gestionar los riesgos 

La gestión de riesgos puede considerarse a menudo como un departamento más, una rama de la empresa que no es tan importante como otras y que, por tanto, requiere menos atención. Sin embargo, el riesgo debe gestionarse de principio a fin si se quiere tener éxito, y la empresa moderna está expuesta a muchos riesgos.

La gestión de riesgos de principio a fin implica la identificación, el tratamiento y el seguimiento exhaustivos de los riesgos. No pueden almacenarse en un registro de riesgos y olvidarse. Al fin y al cabo, ¿de qué sirven los datos si no se utilizan para elaborar políticas de seguridad sólidas?

Consejo adicional: Céntrese en utilizar los procesos de gestión de riesgos respaldados por la norma ISO 27001/27002 para obtener orientación sobre el tema.

Leer más: "Los servicios de ciber riesgo de dig8ital"

4. Prepárese para evaluar sus contactos con terceros de forma continua

En este punto del proceso, usted ya ha evaluado a sus socios actuales o está seguro de que no le exponen al pirateo de SolarWinds. Ahora necesita establecer nuevos procesos que evalúen y supervisen a sus terceros de forma regular.

Como parte de sus discusiones sobre el riesgo y el cumplimiento, desarrolle también una evaluación del riesgo de terceros que incluya estos pasos:

  1. Establezca qué riesgos suponen los terceros para su organización.
  2. Desarrollar un proceso de selección de todos los nuevos contactos para comprobar su estado de seguridad.
  3. Repita su evaluación de terceros de forma regular.

¿Aún no sabe por dónde empezar? Podemos ayudarle 

Como ya hemos mencionado, los conocimientos modernos en materia de seguridad son imprescindibles cuando se trata de luchar contra las ciberamenazas modernas. La seguridad es un paisaje en constante evolución y mantenerse al día con los cambios es un trabajo a tiempo completo en sí mismo.

La mayoría de las organizaciones simplemente no tienen esta experiencia en la empresa y eso está bien. Ustedes son los expertos en lo que hacen, y pueden recurrir a nosotros para el resto: somos los expertos en lo que hacemos.

Para saber más sobre cómo podemos ayudar a su empresa a defenderse de la amenaza del ciberterrorismo, póngase en contacto con nosotros hoy mismo para una consulta gratuita sobre la madurez

¿Quiere saber más?

PÓNGASE EN CONTACTO CON NOSOTROS PARA UNA CONSULTA GRATUITA
Política de privacidad | Política de cookies | Impressum
Política de privacidad | Política de cookies | Impressum
Al hacer clic en "Aceptar todas las cookies", usted acepta que se almacenen cookies en su dispositivo para mejorar la navegación por el sitio, analizar el uso del mismo y ayudar en nuestros esfuerzos de marketing. Consulte nuestra política de privacidad para obtener más información.
PreferenciasDenegarAcepta