Menu
Victimas del Reciente Ciberataque

El ataque a SolarWinds pone en jaque la ciberseguridad a nivel global

El ataque a SolarWinds del que se ha tenido conocimiento recientemente ha supuesto una gran conmoción. Finalmente, el robo de herramientas de seguridad sufrido por FireEye este mismo mes de diciembre era sólo la punta del iceberg. La ciberseguridad está en jaque. Y los expertos hablan sin tapujos de agentes a nivel gubernamental.

¿Qué es SolarWinds? Se trata de una empresa estadounidense especializada en el desarrollo de software de administración de infraestructuras, redes y sistemas. Su herramienta más popular para este cometido es Orion Platform y entre sus clientes hay múltiples organismos gubernamentales tanto de Estados Unidos como del resto del mundo. Como, por ejemplo, el Departamento de Energía de Estados Unidos. Es decir, el responsable de controlar las armas nucleares. De acuerdo con la BBC, no obstante, se asegura que ese arsenal no ha llegado a verse comprometido. Los principales expertos a nivel mundial en materia de seguridad señalan que detrás del ataque podría haber hackers en nómina de organizaciones gubernamentales. E, incluso, ha llegado a insinuarse que Rusia sería la responsable última de los mismos, si bien no se han aportado aún pruebas a este respecto.

El ataque que ha sufrido SolarWinds, bautizado como Sunburst, ha consistido en lo que se conoce como un ataque de cadena de suministros. Los hackers aprovecharon una actualización prevista por el fabricante del software para sustituir una de las dll legítimas por otra que les permitía colarse en el sistema que instalara dicha actualización. O, dicho de otra manera, una de las múltiples formas del típico caballo de Troya. Una vez dentro del sistema, podían actuar a sus anchas. Se sospecha que, fundamentalmente, con ánimo de recabar información. Aunque, en el caso de FireEye, uno de los clientes de SolarWinds, se aprovechó también para robarles herramientas de hackeo.

Ataque a SolarWinds: qué pasos ya se han llevado a cabo desde Microsoft

La detección del ataque por parte de FireEye no fue sencilla. Un centenar de empleados analizaron más de 50.000 líneas de código. Y todo, sólo tras darse cuenta de que había habido un inicio de sesión extraño. Curiosamente, el CEO de FireEye, Kevin Mandia, ya se midió hace casi tres décadas a un ataque de aparente nivel gubernamental procedente también de Rusia. El caso, que podría haber implicado el robo de secretos militares estadounidenses y cuyos detalles aún están clasificados, se conoció como Moonlight Maze.

Desde Microsoft, mientras, aunque todo sigue bajo investigación, se han dado ya varios pasos para combatir este Solarigate. Microsoft Defender y Microsoft Defender for Endpoint, por un lado, ya han recibido las correspondientes actualizaciones para detectar el malware. Y, por el otro, se ha publicado también una guía sobre qué pasos pueden dar sus usuarios para protegerse de este incidente.

Estos son los pasos a seguir en primer lugar en caso de verse afectado por el ataque:

  1. Aislar el dispositivo afectado. Si el código malicioso ya se ha lanzado, es muy probable que esté ya bajo el control de los atacantes.
  2. Identificar qué cuentas se han usado para acceder al equipo afectado y considerarlas comprometidas. Por tanto, habrá que resetear sus passwords o eliminarlas.
  3. Investigar cómo ha podido verse comprometido el equipo.
  4. Investigar el timeline del equipo para buscar actividades colaterales con el uso de alguna de las cuentas comprometidas. Comprobar si los atacantes han introducido herramientas adicionales para permitir el acceso credencial, el movimiento colateral y otras actividades de ciberataque.

La guía de Microsoft detalla además los pasos a seguir si no se puede interrumpir el servicio. Se trata de soluciones temporales, a aplicar hasta que se puedan reemplazar los binarios por otros legítimos o se complete la investigación. Puedes consultarlas aquí.

Ciberataque Solarwinds
La naturaleza de la fase inicial del ataque y la amplitud de la vulnerabilidad de la cadena de suministro se ilustra claramente en este mapa, que se basa en la telemetría del software Defender Anti-Virus de Microsoft. / Fuente: Microsoft DATA

Mejora la seguridad informatica de tu empresa con AWERTY

Desde AWERTY, a través de nuestro departamento de Infraestructura Cloud, podemos ofrecerte múltiples servicios y soluciones para mejorar la seguridad informática de tu negocio. Como, por ejemplo AWERTY Seguridad Anti-Malware o AWERTY Microsoft Defender for Endpoint. O, también, la mejor manera de potenciar el rendimiento de tus sistemas y ahorrar costes, con nuestros Servicios de Migración o la solución AWERTY Virtual Desktop. Si lo que buscas, en cambio, es potenciar la productividad y el trabajo en equipo, tenemos servicios y soluciones para ti en nuestro departamento de Oficina Digital. O, finalmente, si deseas mejorar la gestión integral de tu empresa, podemos ofrecerte múltiples servicios y soluciones a través de nuestro departamento de Gestión del Negocio.

Ante todo, queremos ser tu partner tecnológico de referencia. Ayudarte y guiarte para que puedas aprovechar al máximo todo lo que la transformación digital puede hacer por tu empresa. Si tienes alguna duda o pregunta que plantearnos, ponte en contacto con nosotros. Estaremos encantados de darte una respuesta. Mientras tanto, si quieres aprender más sobre cómo puedes mejorar la seguridad informática de tu negocio, te invitamos a que te descargues nuestra Guía Básica de Seguridad Anti-Malware.

DESCÁRGATE NUESTRA GUÍA BÁSICA DE SEGURIDAD ANTI-MALWARE

Related Posts