Solorigate: la mayor trama de espionaje de la historia

Muchas de las batallas de esta era son invisibles para la gran mayoría de los ciudadanos. Apenas unas líneas de código insertadas en una plataforma tecnológica de un actor en apariencia menor tienen hoy la capacidad de desatar un incidente de proporciones globales. Y eso es, precisamente, lo que acaba de pasar con el ataque a SolarWinds, una empresa del sector IT de la que seguramente nunca haya oído hablar, pero que acaba de verse envuelta en un incidente que ha comprometido la seguridad de 18.000 compañías y gobiernos de 17 países.

Firmas tan conocidas como Microsoft, Intel, Cisco, Orange o Nvidia y entidades públicas tan críticas como los departamentos de Seguridad Nacional, de Estado y de Energía de EE.UU., la NNSA que controla todo el arsenal nuclear estadounidense o el Departamento de Salud británico, por citar solo algunos ejemplos. A lo largo de los últimos días ha salido a la luz pública la que es, probablemente, la mayor operación de espionaje a escala mundial jamás detectada.

Para entender cómo unas cuantas líneas de código insertas en una plataforma de un actor en apariencia menor pueden generar semejante estropicio y causar una caída generalizada en las Bolsas hay que detenerse primero en analizar la operativa del mundo por el que transitamos. En la elevada interconexión entre empresas y agentes sobre el papel independientes pero que están conectados entre sí en algún punto por la derivada tecnológica. Es lo que se conoce como cadena de suministro.

En este caso, el objetivo seleccionado por los atacantes fue SolarWinds. Una actor desconocido para el gran público pero con un papel clave en el universo tecnológico de la actualidad. La compañía cotizada con sede en Austin (Texas) suministra software empresarial a miles de corporaciones de referencia en sus respectivos sectores. Basta decir que 425 de las 500 compañías del índice Fortune 500 trabajan con este proveedor. Sus clientes del sector público son aún más populares para el imaginario colectivo: la NASA, el Pentágono, el Gobierno británico, el Parlamento europeo… Y sí, la Administración pública española también.

Los hackers sabían lo que hacían cuando apuntaron a esta compañía. Atacando a SolarWinds podrían colarse por la puerta de atrás en cientos de objetivos estratégicos. ¿Cómo lo hicieron? Pues exactamente así: creando una puerta trasera.

Básicamente, su modus operandi consistió en introducir malware (código malicioso) en una plataforma de SolarWinds bautizada como Orion con la que trabajan miles de compañías y gobiernos de América, Europa, Asia y Oriente Medio. Pero no en un punto cualquiera de la plataforma, sino en uno concreto que amplificaba la capacidad de extender el ataque con un potencial pocas veces visto: el servidor utilizado para crear las actualizaciones de software de la plataforma Orion.

De esa forma, cada vez que un cliente actualizaba Orion (un procedimiento habitual y recomendado), los autores del ataque abrían una puerta para acceder a esa empresa o institución. El potencial de infección ha sido inmenso. Tanto, que los daños se están calculando aún. El troyano, bautizado como Solorigate por Microsoft y como Sunburst por la firma de ciberseguridad FireEye, habría podido permitir a los responsables del ataque colarse en cientos de empresas y organizaciones y robarles información estratégica.

Porque esto es lo único que parece claro por el momento en relación con este episodio: que se trata de espionaje y no de destrucción. ¿Se imaginan lo que hubiese sucedido si además de robar los datos, hubiesen introducido ramsonware (un programa que secuestra datos como el recordado WannaCry) en el servidor de SolarWinds? Las consecuencias habrían sido imprevisibles.

 Sospechas

Los piratas informáticos diseñaron un ataque extremadamente sofisticado (en este extremo hay consenso entre la comunidad de ciberseguridad) que ha levantado decenas de voces en los últimos días. Muchas de ellas, como la del secretario de Estado estadounidense, Mike Pompeo, acusan de nuevo a Rusia de estar detrás del episodio y en concreto a un grupo conocido como APT29 o Cozy Bear, vinculado al Kremlin. Donald Trump se desmarcó de su colega hace unos días y señaló a China desde su perfil de Twitter.

La autoría, en todo caso, sigue siendo un misterio. Y puede que nunca se sepa. Lo que sí tenemos claro en Tarlogic es que el mundo que viene necesitará de servicios de ciberseguridad cada vez más sofisticados que no podrán concentrarse únicamente en responder a los ataques, sino sobre todo en prevenir. En anticiparse a los malos.

En el misterioso episodio de SolarWinds, el equipo de Microsoft se encontró con un segundo caballo de Troya dentro de la red de servidores del proveedor de Texas. Y al parecer con un origen distinto a Solorigate. ¿Extraño? En absoluto, la cantidad de amenazas presentes ahí fuera son múltiples y con intereses muchas veces distintos. Apostar por la ciberseguridad hace tiempo que dejó de ser una opción para convertirse en uno de los grandes retos de la era en que vivimos.

Andrés Tarasco y Borja Merino, CEO y Threat Research Lab Manager de Tarlogic Security, una empresa gallega especializada en servicios de ciberseguridad de alto nivel.