El "inusualmente agresivo" ciberataque del que Microsoft acusa a China
Un potente hackeo al servicio de correos electrónicos de Microsoft tiene en riesgo a decenas de miles de organizaciones.
Y la escala de la filtración apenas se está comenzando a dimensionar, según los especialistas.
Microsoft asegura tener un "alto nivel de confianza" en que detrás hay un grupo de atacantes patrocinados por China, algo que Pekín niega.
La semana pasada, cuando se dio a conocer el ataque, se pensó que había sido limitado, pero luego se ha reportado un aumento en el uso de estas tácticas, quizás debido a que otros hackers están aprovechando las debilidades del sistema que se hicieron públicas, según informa Gordon Corera, corresponsal de seguridad de la BBC.
Joe Tidy, periodista de tecnología de la BBC, afirma que aunque muchos puedan pensar que esta es simplemente otra crisis de ciberseguridad, en realidad se trata de un hackeo "extremadamente serio".
Brian Krebs, especialista en seguridad informática, calificó el ataque como "inusualmente agresivo".
Al principio se habló de que unas 30.000 organizaciones en Estados Unidos podrían haberse visto afectadas.
Ahora, sin embargo, se estima que podrían ser cerca de 60.000 víctimas, según un reportaje de la agencia Bloomberg que cita a una fuente anónima del gobierno de EE.UU.
Por fuera de EE.UU. ya se han reportado víctimas.
Este lunes, la Autoridad Bancaria Europea confirmó que sus servidores de correo se habían visto comprometidos por culpa de este hackeo.
Entre los blancos de lo que Microsoft considera un ataque pueden estar gobiernos locales, pequeños negocios y también grandes bancos.
Microsoft Exchange es un servicio de correo electrónico ampliamente utilizado en grandes empresas y gobiernos, pero hasta ahora pocas organizaciones han admitido haber sido víctimas del ataque.
Durante el fin de semana, las autoridades de EE.UU. advirtieron que esta situación aun representa una "amenaza activa".
¿Qué se sabe del ataque?
Desde el 2 de marzo, Microsoft informó que sus sistemas estaban siendo atacados.
La filtración se aprovecha de una vulnerabilidad de Microsoft Exchange, o del robo de contraseñas, para hacerse pasar por alguien que tiene acceso autorizado al sistema.
Si logra ingresar de esa manera, el atacante puede tomar control de la cuenta de correo de manera remota y robar datos.
Acusaciones contra China
Microsoft ha señalado a un grupo conocido como Hafnium de ser los responsables del ataque con el respaldo del gobierno de China.
China ha negado las acusaciones.
Voceros de Microsoft han dicho que Hafnium "ataca principalmente entidades en EE.UU.", robando información de organizaciones como "investigadores de enfermedades infecciosas, firmas de abogados, instituciones educativas, contratistas de defensa, centros de pensamiento de políticas públicas y ONG".
La compañía de ciberseguridad Huntress, sin embargo, dice que 300 de sus socios que no cumplen con ese perfil se han visto afectadas.
Entre ellas menciona gobiernos locales, centros de salud, bancos y compañías eléctricas, pero también otras "menos sexy" como una heladería, pequeños hoteles y ancianatos.
Fuera de EE.UU. la Autoridad Bancaria de Europa informó que había sido infiltrada y que los atacantes pudieron haber tenido acceso a datos personales.
¿Qué está haciendo Microsoft?
La noticia del hackeo llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (Cisa) a publicar una directiva de emergencia que llama a las agencias y departamentos a que tomen medidas urgentes.
Jake Sullivan, asesor de seguridad nacional de la Casa Blanca, también instó a los propietarios de estos sistemas a descargar los parches de seguridad lo antes posible.
Microsoft no ha confirmado el número de víctimas de las que se ha hablado, pero dice que está trabajando de cerca con el gobierno de EE.UU.
A sus usuarios les informó que la "mejor protección" es "hacer actualizaciones tan pronto como sea posible en todos los sistemas impactados".
También dijo que estaba implementando algunas técnicas de mitigación diseñadas para ayudar a aquellos que no pueden actualizar rápidamente, pero advirtió que no eran "una solución si sus servidores Exchange ya se han visto comprometidos, ni son una protección total contra ataques".
Microsoft sostiene que el ataque no está relacionado de ninguna manera con el ataque SolarWinds, que afectó a las agencias gubernamentales de EE.UU. a finales del año pasado.
Análisis de Joe Tidy, periodista de tecnología de la BBC
A un lector desprevenido se le perdonará considerar que esta no es más que otra crisis de ciberseguridad.
Al fin y al cabo, el gobierno de EE.UU. todavía está lidiando con los ataques generalizados de SolarWinds que ocurrieron en diciembre.
Pero el hackeo a Microsoft Exchange es en sí mismo extremadamente serio por varias razones.
El ataque de SolarWinds fue sencillo. Se trataba de que Rusia robara inteligencia de seguridad nacional de EE.UU.
En el caso de Microsoft Exchange se culpa a un equipo de hackers chinos llamado Hafnium, pero sus motivos son menos claros.
Algunas pequeñas agencias gubernamentales pueden verse afectadas, pero las víctimas aquí son un grupo mucho más diverso de organizaciones, desde grandes bancos hasta pequeñas empresas.
Además, parece que se está multiplicando el número de piratas informáticos que aprovechan las nuevas técnicas desarrolladas por Hafnium.
Los ataques que se han reportado son tan numerosos que ya hay indicios de que otros grupos, incluyendo bandas de ciberdelincuentes, también podrían estar involucrándose.
Es un desastre.