Fiabilidad

Hackers Rusos Violan las “Llaves del Reino” de Microsoft: Análisis de expertos

Mientras siguen apareciendo noticias sobre un presunto pirateo ruso contra Microsoft -con los últimos informes que revelan que Microsoft aún no ha podido deshacerse del grupo delictivo vinculado a Rusia Midnight Blizzard (también conocido como Nobelium)-, los expertos opinan sobre las consecuencias del ataque.

Las organizaciones de ciberseguridad creen que el ataque tiene implicaciones para la seguridad nacional e internacional, debido a la naturaleza de la cadena de suministro de Microsoft y sus socios en todos los sectores, desde la administración pública hasta los sectores de defensa, industrial y empresarial. Los expertos también creen que el público puede estar expuesto a riesgos.

Techopedia habló con expertos en ciberseguridad y cumplimiento para comprender qué significa el ataque, a quién afecta y cómo debe avanzar esta conversación.

Puntos clave

  • Ciberdelincuentes apoyados por el Estado han violado repositorios de código fuente de Microsoft, información sensible de la empresa, comunicaciones de socios y mucho más.
  • Mientras el ataque sigue desarrollándose y los atacantes persisten en sus esfuerzos contra Microsoft, los expertos hablan de las consecuencias.
  • Desde la ciberseguridad hasta la privacidad y el cumplimiento, la brecha de Microsoft se considera grave en todos los frentes.
  • A pesar de que Microsoft asegura que no se ha accedido a ningún sistema frontal, los expertos afirman que el código fuente exfiltrado puede provocar un aumento de las vulnerabilidades de día cero, lo que tiene el potencial de afectar a las organizaciones, a los usuarios y al público.

¿Cuál es la gravedad del ataque a Microsoft?

Microsoft afirma en su blog y en su formulario de divulgación a la SEC que no se ha puesto en peligro ningún sistema orientado al cliente y que no se han interrumpido las operaciones de la empresa.

Sin embargo, debido a la naturaleza sensible de los datos robados y de los sistemas afectados, muchos creen que los rusos se llevaron las “Llaves del Reino”, una frase que Microsoft utiliza en sus páginas de soporte sobre la seguridad de sus dispositivos y cuentas.

Ariel Parnes, Director de Operaciones y Cofundador de Mitiga y ex Jefe del Departamento Cibernético del Servicio de Inteligencia israelí describió el ataque como “grave”.

“Este incidente, revelado inicialmente en enero, se ha reconocido ahora como mucho más grave de lo que se entendió en un principio, lo que subraya la naturaleza crítica de la seguridad del código fuente en la era digital”.

Shawn Waldman, Consejero Delegado y Fundador de Secure Cyber Defense, también tuvo palabras contundentes al referirse a la profundidad y las consecuencias de aquel ataque.

“El hackeo fue el peor escenario posible, con acceso obtenido no sólo por un hacker, sino por uno de los mayores atacantes rusos de estado-nación. Sus intenciones van mucho más allá de buscar un rescate; su objetivo es penetrar en la seguridad nacional e infligir un daño sostenido”.

“En este caso, el actor de la amenaza pudo acceder al código fuente de un número no revelado de productos de Microsoft, así como a correos electrónicos internos”, añadió Waldman.

Código fuente de Microsoft comprometido

Los sistemas y datos a los que accedió Midnight Blizzard en esta persistente serie de ciberataques contra Microsoft -que comenzó en noviembre de 2023- incluyen: correos electrónicos de miembros del equipo directivo, correos electrónicos confidenciales de Microsoft con socios, secretos criptográficos como contraseñas, certificados y claves de autenticación, y código fuente.

“El código fuente es esencialmente el código fundamental de los programas de software: es lo que hace que el software funcione como lo hace”, explicó Parnes.

“Para los cibergrupos avanzados de los estados-nación, acceder al código fuente de una empresa es como encontrar la llave maestra de su reino digital, abriendo vías para encontrar nuevas vulnerabilidades de día cero: fallos de seguridad no descubiertos que pueden explotarse antes de que sean conocidos por los creadores del software o por el público”.

“Estas vulnerabilidades son increíblemente peligrosas porque proporcionan a los piratas informáticos una vía encubierta para infiltrarse en los sistemas, a menudo con importantes repercusiones antes de que pueda aplicarse ninguna medida defensiva”, añadió Parnes.

Waldam se mostró de acuerdo con Parnes.

“Para los usuarios de productos de Microsoft, la situación es profundamente preocupante. La violación por parte de un agente de amenazas de un estado-nación, con acceso al código fuente, aumenta significativamente la probabilidad de descubrir y explotar vulnerabilidades de día cero previamente desconocidas.”

Waldman añadió que el incidente es también un duro golpe para la “reputación de Microsoft como proveedor, que habla mucho de la seguridad de su organización”.

Comparó este incidente con la vulnerabilidad Ivanti y el incidente Eternal Blue de 2017.

EternalBlue es un exploit de software de Microsoft desarrollado por la NSA para recabar información de inteligencia: el exploit permite el acceso remoto a los datos de los dispositivos de Microsoft. EternalBlue fue robado a la NSA en 2017 y desde entonces ha participado activamente en ciberataques en todo el mundo.

“Este incidente se hace eco del reciente ataque a CISA a través de la vulnerabilidad Ivanti, poniendo de relieve un problema recurrente en la ciberseguridad”, dijo Waldman. “Recordemos el incidente Eternal Blue de 2017, en el que la Agencia de Seguridad Nacional (NSA) descubrió y explotó una vulnerabilidad de Microsoft para sus fines sin informar a Microsoft.

“Nos encontramos en una situación similar, lo que subraya la necesidad crítica de vigilancia y mejora de los protocolos de seguridad para protegernos contra amenazas tan sofisticadas.”

Implicaciones para el cumplimiento global y regional

Además de los riesgos de ciberseguridad, los usuarios y socios del entorno Microsoft podrían enfrentarse a complicaciones de cumplimiento. Aún no está claro el alcance total de las consecuencias del reciente pirateo de Microsoft.

Sin embargo, existen algunas áreas potenciales de impacto, entre las que se incluyen infracciones de leyes internacionales, federales o estatales, posibles causas judiciales, multas e infracciones de ciberseguridad para organizaciones y usuarios de la cadena de suministro y socios de Microsoft en todo el mundo, así como daños a la reputación.

Larry Whiteside, Jr. ex oficial de las Fuerzas Aéreas de EE.UU. con más de 25 años de experiencia en la creación y supervisión de programas de ciberseguridad, y CISO de RegScale, una plataforma de supervisión continua de controles (CCM) que ayuda a las empresas a agilizar la gobernanza, el riesgo y el cumplimiento, habló con Techopedia sobre el tema.

“Los actores de las amenazas aprovechan los puntos débiles para acceder a los datos de una empresa, que luego extorsionan y/o exfiltran. A continuación, la empresa empieza a ser machacada por los reguladores de distintos países sobre las especificidades de los datos y su impacto en sus ciudadanos, lo que da lugar a una miríada de preguntas en un esfuerzo por identificar cómo se produjo la violación.”

Como el entorno de Microsoft es internacional, también pueden surgir otros problemas de cumplimiento, como dijo Whiteside.

“Aunque las preguntas de los reguladores de cada país sean similares, las respuestas conllevan implicaciones diferentes, y los resultados de esas respuestas impondrán sanciones diferentes”.

Whiteside habló de cómo el panorama global del cumplimiento presiona a los equipos de Gobierno, Riesgo y Cumplimiento (GRC).

“Esto pone a los equipos de GRC en una batalla interminable de whack-a-mole geográfico. Cada vez que se produce una infracción o un acontecimiento significativo, el nivel de esfuerzo para determinar qué normativas se ven afectadas y los requisitos de información de dichas normativas se convierte en un inmenso crucigrama.

Proveedores como Azure, Google Cloud y AWS no son sólo participantes en el mercado tecnológico global; son sus arquitectos, dando forma al paisaje digital.”

Teniendo en cuenta la escala de los entornos que han establecido en todo el mundo, deberían adoptar un papel proactivo y colaborador en la configuración de la normativa mundial.

“Ellos (los proveedores de la nube) necesitan equilibrar sus intereses empresariales con el interés público más amplio, aprovechando su influencia de forma responsable para hacer avanzar un ecosistema digital global seguro, eficiente y equitativo.”

Seguridad Aftermath: Vulnerabilidad de día cero y caza de amenazas

Aunque Microsoft no ha revelado con todo detalle qué información se ha filtrado, la empresa aseguró que estaba en comunicación con sus socios para asegurar los sistemas. Sin embargo, como ya mencionamos -y como coincidieron los expertos a los que entrevistamos- el ataque a Microsoft puede dar lugar a vulnerabilidades de día cero porque el código fuente se ha visto comprometido.

Las vulnerabilidades de día cero pueden afectar a las operaciones internas y externas de Microsoft, es decir, también al público. Parnes, de Mitiga, explicó por qué las vulnerabilidades de día cero son tan peligrosas e instó a las organizaciones a tomar medidas de defensa proactivas.

“Las vulnerabilidades de día cero representan una amenaza crítica porque no hay una forma sencilla de detectarlas hasta después de que hayan sido descubiertas y divulgadas por los creadores del software.

“Ante este panorama desafiante, las organizaciones deben redoblar las medidas de ciberseguridad centradas en la defensa proactiva”.

Parnes añadió que esperar a que se revelen las vulnerabilidades no es una estrategia viable contra las amenazas de día cero.

“Las organizaciones deben invertir en capacidades avanzadas de caza de amenazas. Esto implica buscar activamente amenazas potenciales que podrían no conocerse todavía, supervisar los sistemas en busca de cualquier anomalía que pudiera indicar una intrusión, y tirar de hilos de investigación que pudieran descubrir brechas ocultas.”

Además, Parnes habló de la importancia de tener un sólido plan de respuesta a incidentes y una fuerte cultura de seguridad en toda la organización.

“Al comprender los graves riesgos que plantean las vulnerabilidades de día cero y adoptar medidas integrales para mitigarlas, las organizaciones pueden proteger mejor sus activos digitales críticos frente a las amenazas en constante evolución que plantean los ciberactores de los estados-nación”, aseguró Parnes.

Lo esencial

Es imposible hablar del hackeo de Microsoft -ejecutado según todos los indicios por una banda de ciberdelincuentes apoyada por Rusia- sin decir que el ataque no es más que una grave escalada en el estado actual de la ciberguerra mundial.

Este nuevo ataque también aporta muchos mensajes y enseñanzas. Si una empresa como Microsoft -en la que confían millones de organizaciones y usuarios de todo el mundo por sus elevados estándares de seguridad- puede sufrir una violación cibernética tan grave, caben dos hipótesis. Uno, los estándares de Microsoft no son tan elevados como se esperaba, o dos, los ciberatacantes tienen la capacidad y los recursos tecnológicos necesarios para vulnerar incluso las empresas más seguras y ricas del mundo.

Además, estamos siendo testigos de cómo los ataques a las cadenas de suministro, que empezaron afectando a pequeñas redes, se vuelven extremadamente peligrosos.

También es más que probable que los ciberdelincuentes estén aprendiendo de este ataque. Ir a por organizaciones concretas para comprometer cadenas de suministro importantes es una tendencia que se ha venido reproduciendo en los últimos años.

Además, este ataque añade tensión al ya tenso entorno geopolítico. La actual guerra entre Rusia y Ucrania, la guerra entre Israel y Hamás y otros acontecimientos internacionales importantes, como las elecciones, se están extendiendo al mundo digital sin fronteras en forma de ciberataques.

La ciberseguridad es una batalla continua y, aunque las organizaciones saben que deben adaptar continuamente sus defensas para adelantarse a las amenazas en evolución, los incidentes de ciberseguridad son cada día más graves.

En esta nueva Guerra Fría digital en curso, el hackeo de Microsoft es otra llamada de atención. La pregunta que se plantea es: ¿cuánto daño debe causar el próximo ciberataque antes de que se produzca un cambio real?

Temas relacionados

Sam Cooling
Editor

Sam es un periodista de tecnología con un enfoque en noticias del mercado de criptomonedas e inteligencia artificial, con sede en Londres. Su trabajo ha sido publicado en Yahoo News, Yahoo Finance, Coin Rivet, CryptoNews.com, Business2Community y Techopedia. Con una Maestría en Gestión del Desarrollo de la London School of Economics, Sam ha trabajado previamente como Consultor de Tecnología de Datos para la Fundación Fairtrade y como Investigador Asociado Junior para la Academia de Defensa del Reino Unido. Ha estado operando activamente con criptomonedas desde 2020, contribuyendo de manera activa a proyectos como Fetch.ai y Landshare.io. La pasión de Sam…