{"id":2503,"date":"2020-12-21T17:57:40","date_gmt":"2020-12-21T22:57:40","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2503"},"modified":"2021-01-07T17:41:26","modified_gmt":"2021-01-07T22:41:26","slug":"ciberataque-solarwinds-que-tiene-en-jaque-a-eeuu","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/ciberataque-solarwinds-que-tiene-en-jaque-a-eeuu\/","title":{"rendered":"Que se conoce del Ciberataque SolarWinds que tiene en Jaque a EEUU"},"content":{"rendered":"\n<p>SolarWinds es una empresa de tecnolog\u00eda de 20 a\u00f1os con sede en Austin, Texas, con ingresos proyectados para superar los mil millones de d\u00f3lares este a\u00f1o. Seg\u00fan su sitio web, los clientes de SolarWinds incluyen Microsoft, McDonald&#8217;s, Lockheed Martin y Yahoo, as\u00ed como muchos departamentos gubernamentales y militares en los EE. UU. Y en el extranjero.\u00a0<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-4-3 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe title=\"Conozca las causas del mayor ciberataque en la historia de EEUU - SolarWinds\" width=\"650\" height=\"488\" src=\"https:\/\/www.youtube.com\/embed\/4xP2c3JMLvM?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>El gobierno de Estados Unidos ha emitido una advertencia de emergencia sobre lo que parece ser una de las campa\u00f1as de ciberespionaje m\u00e1s sofisticadas de los \u00faltimos a\u00f1os. Los piratas inform\u00e1ticos que trabajaban para un estado-naci\u00f3n lograron infiltrarse en el software utilizado por agencias gubernamentales clave y las empresas m\u00e1s grandes del mundo justo cuando Occidente entr\u00f3 en bloqueo a principios de este a\u00f1o.<\/p><cite>https:\/\/www.ft.com\/content\/3558b9b6-465f-4338-9d66-70b2fbe8f900<\/cite><\/blockquote>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img data-opt-id=2024407313  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/12\/image-26.png\" alt=\"\" class=\"wp-image-2508\" width=\"601\" height=\"397\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:475\/h:314\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/12\/image-26.png 475w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:198\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/12\/image-26.png 300w\" sizes=\"(max-width: 601px) 100vw, 601px\" \/><\/figure>\n\n\n\n<p>Microsoft est\u00e1 al tanto de un <strong>sofisticado ataque<\/strong> de cadena de suministro dirigido a diversas v\u00edctimas en el \u00faltimo a\u00f1o. El ataque utiliza archivos maliciosos SolarWinds que posiblemente dieron a los ciberdelincuentes acceso a algunas redes de las v\u00edctimas. Los expertos en ciberseguridad de Microsoft est\u00e1n investigando el ataque para ayudar a garantizar que los clientes de Microsoft est\u00e9n lo m\u00e1s seguros posible.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfQui\u00e9nes eran los hackers y qu\u00e9 buscaban? <\/h3>\n\n\n\n<p>Los expertos en seguridad occidentales r\u00e1pidamente se\u00f1alaron con el dedo a Rusia, aunque no ha habido confirmaci\u00f3n oficial. FireEye dijo: \u00ab<strong>La campa\u00f1a es el trabajo de un actor altamente calificado y la operaci\u00f3n se llev\u00f3 a cabo con una seguridad operativa significativa<\/strong>\u00ab. FireEye fue la primera en dar la voz de alarma, despu\u00e9s que le robaron herramientas de test de seguridad sin que nadie los detectase\u00bb. Para encontrar el fallo, FireEye necesit\u00f3 de m\u00e1s de 100 empleados y una revisi\u00f3n de 50.000 l\u00edneas de c\u00f3digo despu\u00e9s de que uno de los trabajadores encontrara un extra\u00f1o inici\u00f3 de sesi\u00f3n de un usuario.<\/p>\n\n\n\n<p>Robert Hannigan, exdirector general de la agencia de inteligencia de se\u00f1ales del Reino Unido GCHQ, dijo que si bien a\u00fan era demasiado pronto para saber qui\u00e9n era el responsable, las agencias rusas tienen un historial de uso de actualizaciones de software para realizar ataques, como lo hicieron estos atacantes a trav\u00e9s de Orion. As\u00ed fue como una unidad cibern\u00e9tica operada por el servicio de inteligencia militar GRU de Rusia implant\u00f3 el virus NotPetya en el software de contabilidad ucraniano en 2017.<\/p>\n\n\n\n<p>Algunos medios van m\u00e1s all\u00e1 y el propio Wired asegura que esta historia es la de \u00abc\u00f3mo Rusia logr\u00f3 realizar el mayor ataque de espionaje jam\u00e1s registrado\u00bb. &#8216;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.washingtonpost.com\/national-security\/leading-cybersecurity-firm-fireeye-hacked\/2020\/12\/08\/a3369aaa-3988-11eb-98c4-25dc9f4987e8_story.html\" target=\"_blank\">The Washington Post<\/a>&#8216;, por su parte, se atreve hasta a dar el nombre del equipo que estar\u00eda detr\u00e1s y se\u00f1ala a un viejo conocido. Se\u00f1alan a&nbsp;<strong>APT29 o Cozy Bear<\/strong>, el mismo grupo que &#8216;hacke\u00f3&#8217; los servidores del Comit\u00e9 Nacional Dem\u00f3crata antes de las elecciones presidenciales de 2016 o atac\u00f3 el Departamento de Estado y la Casa Blanca durante la Administraci\u00f3n Obama.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 ha pasado aqu\u00ed y c\u00f3mo han llegado tan lejos?<\/strong>&nbsp;<\/h3>\n\n\n\n<p>La historia es larga, y a\u00fan, casi dos semanas despu\u00e9s de los primeros avisos, se siguen descubriendo nuevos puntos relativos a este caso, pero poco a poco ya se van conociendo m\u00e1s y m\u00e1s detalles.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>Como explica el experto en ciberseguridad Sergio de los Santos, se trata de&nbsp;<strong>un sofisticado ataque muy preparado y estudiado a un punto clave del sistema<\/strong>&nbsp;y uno de los casos m\u00e1s interesantes de los \u00faltimos tiempos. Uno de esos movimientos que, sobre todo, muestra la fragilidad de nuestra ciberseguridad y la necesidad de asumir esos riesgos, ser transparentes y buscar la madurez del sector para luchar contra ellos. \u00abEs una frase bastante manida, pero deja claro que esto es una cadena y que un fallo en el eslab\u00f3n m\u00e1s d\u00e9bil puede afectarnos a todos, por mucho que el resto est\u00e9n m\u00e1s que preparados. Y no pasa nada, tenemos que aprender a asumirlo y a responder\u00bb.<\/p><\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfC\u00f3mo ha sido el ataque?<\/h3>\n\n\n\n<p>Como dec\u00edamos, la v\u00eda de entrada ha sido el programa Orion, pero el ataque no se hizo de cualquier manera. \u00abEs lo que se suele llamar&nbsp;<strong>un ataque de &#8216;cadena de suministros&#8217;<\/strong>. Lo que hicieron fue troyanizar Orion y sustituir un paquete de actualizaci\u00f3n del programa por otro con &#8216;malware&#8217; y hasta firmarlo con el &#8216;sello&#8217; oficial de la compa\u00f1\u00eda. Es algo supersofisticado y lo que consigues es que todo cliente que, l\u00f3gicamente, se f\u00ede de esa actualizaci\u00f3n acabe con el &#8216;malware&#8217; dentro creyendo que se ha descargado un &#8216;update&#8217; m\u00e1s, oficial y totalmente de confianza\u00bb, comenta De los Santos, que asemeja lo ocurrido a si un atacante cuela un producto en mal estado en un supermercado para impactar en los usuarios consiguiendo todos los sellos oficiales de la propia tienda.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfY ahora?<\/h3>\n\n\n\n<p>Sobre el futuro de todo el caso, De los Santos se\u00f1ala que a\u00fan es pronto para saberlo, pues ni siquiera se sabe ni lo que hicieron los atacantes dentro de todas las v\u00edctimas ni si han aprovechado otras puertas traseras o esas herramientas robadas a FireEye. Pero s\u00ed advierte de que&nbsp;<strong>debe servir como precedente para un cambio de mentalidad&nbsp;<\/strong>y un aviso de lo que puede pasar pr\u00f3ximamente. \u00abDebemos aprender que esto puede pasarle a cualquiera y que estamos en un momento en el que necesitamos transparencia y rapidez para actuar y defendernos como comunidad con madurez, si no es as\u00ed ser\u00e1 imposible contrarrestar estos ataques de forma individual y controlar los da\u00f1os\u00bb, se\u00f1ala el experto.<\/p>\n\n\n\n<p>En EEUU ya se ha puesto en tela de juicio sistemas que en teor\u00eda deb\u00edan haber detectado lo sucedido y se ha pedido a la nueva Administraci\u00f3n, presidida por Joe Biden, que<strong>&nbsp;ponga a\u00fan m\u00e1s atenci\u00f3n a esta guerra cibern\u00e9tica<\/strong>. Habr\u00e1 que ver si acaban tomando m\u00e1s medidas con respecto a la ciberseguridad, pero est\u00e1 claro que esto solo es un nuevo paso en la escalada de un conflicto cibern\u00e9tico global.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img data-opt-id=2074107888  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/12\/image-28.png\" alt=\"\" class=\"wp-image-2513\" width=\"629\" height=\"354\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:519\/h:292\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/12\/image-28.png 519w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:169\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2020\/12\/image-28.png 300w\" sizes=\"(max-width: 629px) 100vw, 629px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Orientaci\u00f3n<\/strong> de Microsoft<\/h2>\n\n\n\n<p>A continuaci\u00f3n se muestra una gu\u00eda de comunicaci\u00f3n lista para el cliente que puede aprovechar cuando deba comunicarse con ellos:<\/p>\n\n\n\n<p>El 17 de diciembre de 2020, Brad Smith public\u00f3 una entrada de&nbsp;<strong><a rel=\"noreferrer noopener\" href=\"https:\/\/note0.microsoft.com\/LP12YY00l7gF0U6Bl0i0q0n\" target=\"_blank\">blog<\/a>&nbsp;<\/strong>en la que comparti\u00f3 la informaci\u00f3n m\u00e1s actualizada, as\u00ed como informaci\u00f3n t\u00e9cnica detallada para los defensores.<\/p>\n\n\n\n<p>Como es una investigaci\u00f3n continua, los equipos de ciberseguridad de Microsoft siguen siendo los primeros en responder ante estos ataques. Sabemos que los clientes y socios tendr\u00e1n preguntas continuas y Microsoft se compromete a proporcionar actualizaciones oportunas a medida que haya informaci\u00f3n nueva disponible. <\/p>\n\n\n\n<p>Hay una serie de recursos publicados por Microsoft para ayudar a los clientes a proteger sus entornos:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>\u2022<\/td><td>Hemos publicado un&nbsp;<a href=\"https:\/\/note0.microsoft.com\/v01B0nDJ0qiYUlxlY02P007\" target=\"_blank\" rel=\"noreferrer noopener\">blog<\/a>&nbsp;que describe este panorama din\u00e1mico de amenazas y los principios con los que abordamos la investigaci\u00f3n.<\/td><\/tr><tr><td>\u2022<\/td><td>Hemos publicado un&nbsp;<a href=\"https:\/\/note0.microsoft.com\/s0hF0il0BYn70U7P1l20q0Y\" target=\"_blank\" rel=\"noreferrer noopener\">blog ancla con detalles t\u00e9cnicos del ataque<\/a>. Este blog se actualizar\u00e1 con informaci\u00f3n nueva a medida que contin\u00fae la investigaci\u00f3n. Los clientes deben acudir a este blog como \u00fanico lugar para recibir actualizaciones sobre el ataque sofisticado.<\/td><\/tr><tr><td>\u2022<\/td><td>El antivirus de Microsoft Defender y Microsoft Defender for Endpoint han lanzado protecciones para el software malicioso SolarWinds y otros artefactos del ataque.<\/td><\/tr><tr><td>\u2022<\/td><td>Microsoft Azure Sentinel ha lanzado&nbsp;<a href=\"https:\/\/note0.microsoft.com\/g90B1ni0P20lYY0qU007WCl\" target=\"_blank\" rel=\"noreferrer noopener\">orientaci\u00f3n<\/a>&nbsp;para ayudar a los clientes de Azure Sentinel a buscar en sus entornos la actividad relacionada que hemos observado con este ataque sofisticado.<\/td><\/tr><tr><td>\u2022<\/td><td>Los clientes de Microsoft 365 Defender y Microsoft Defender for Endpoint deben revisar el art\u00edculo&nbsp;<a href=\"https:\/\/note0.microsoft.com\/kU0zi0n70Al02YqPBl0O10Y\" target=\"_blank\" rel=\"noreferrer noopener\">Threat Analytics (An\u00e1lisis de amenaza) en la consola de Defender (es necesario iniciar sesi\u00f3n)<\/a>&nbsp;para obtener informaci\u00f3n sobre la detecci\u00f3n y el potencial impacto para sus entornos.<\/td><\/tr><tr><td>\u2022<\/td><td>Para cualquier cliente de Microsoft Threat Experts (MTE), donde hemos observado actividad sospechosa en los entornos de los clientes, hemos completado las Notificaciones de cuentas dirigidas.<\/td><\/tr><tr><td>\u2022<\/td><td>Si un cliente tiene alguna necesidad relacionada con el soporte t\u00e9cnico del producto, siga remiti\u00e9ndolo al soporte t\u00e9cnico de Microsoft (CSS) que sigue siendo el lugar principal para atender todas las necesidades de soporte al cliente.<\/td><\/tr><tr><td>\u2022<\/td><td>Para los profesionales de identidad y el administrador de Microsoft 365, hemos publicado un blog con orientaci\u00f3n sobre c\u00f3mo&nbsp;<a href=\"https:\/\/note0.microsoft.com\/TCnUz0l0l007BYS20i1PqY0\" target=\"_blank\" rel=\"noreferrer noopener\">proteger Microsoft 365 de los ataques locales<\/a>.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Publicaremos las actualizaciones en nuestro blog de noticias de acuerdo a las publicaciones realizadas por <\/strong>el Centro de respuesta de seguridad de Microsoft (MSRC), en\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/note0.microsoft.com\/b0007qYiCU80YllV020PB1n\" target=\"_blank\">https:\/\/aka.ms\/solorigate<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Para recibir las actualizaciones de esta y m\u00e1s noticias de ciberseguridad y protecci\u00f3n de datos reg\u00edstrese en nuestro Bolet\u00edn de noticias:<\/h4>\n\n\n\n<p><\/p>\n\n\n\n<iframe src=\"https:\/\/emailmarketing.secureserver.net\/signups\/317083\/iframe\" scrolling=\"no\" frameborder=\"0\" height=\"810\" style=\"max-width: 600px; width: 100%;\"><\/iframe>\n\n\n\n<p><strong>Nota<\/strong>: Al registrarse recibir\u00e1 un correo de confirmaci\u00f3n. Revise su bandeja de correo no deseado o bandeja de entrada.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SolarWinds es una empresa de tecnolog\u00eda de 20 a\u00f1os con sede en Austin, Texas, con ingresos proyectados para superar los mil millones de d\u00f3lares este a\u00f1o. Seg\u00fan su sitio web, los clientes de SolarWinds incluyen Microsoft, McDonald&#8217;s, Lockheed Martin y Yahoo, as\u00ed como muchos departamentos gubernamentales y militares en los EE. UU. Y en el&hellip;<\/p>\n","protected":false},"author":1,"featured_media":2511,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[276,278,53,277,275],"class_list":["post-2503","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-ataque-sofisticado","tag-cadena-de-suministros","tag-ciberataque","tag-orion","tag-solarwinds"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2503","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2503"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2503\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2511"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2503"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2503"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2503"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}