‘solarwinds123’: con estas contraseñas se entiende el desastre en ciberseguridad

El ex CEO de SolarWinds, Kevin Thompson, ha culpado a un becario por el uso de la contraseña ‘solarwinds123’ en una audiencia conjunta de los comités de Supervisión de la Cámara de Representantes y Seguridad Nacional de Estados Unidos, donde se investiga el desastre en ciberseguridad informática sucedido en su compañía y que por lo que sabemos hasta ahora terminará convirtiéndose en la violación más grave del siglo.

Parece increíble que un ejecutivo responsabilice de alguna manera a un empleado que cobraba mil veces menos que él, pero así va este caso para el que cada día nos llegan novedades y a cual peor. Este intento de despejar responsabilidades no coló y la respuesta de una congresista fue contundente: «Tengo una contraseña más segura que ‘solarwinds123’ para evitar que mis hijos vean demasiado YouTube en su iPad… ¡Se suponía que usted y su compañía estaban impidiendo que los rusos leyeran los correos electrónicos del Departamento de Defensa!». 

está investigando mientras intenta descubrir cómo su seguridad fue comprometida por primera vez y no fueron capaces de descubrir el código malicioso oculto que persistió en actualizaciones de software que la compañía envió a sus 18.000 clientes en una lista que da idea de la dimensión del caso, ya que incluye agencias federales, las cinco ramas del ejército de Estados Unidos, el Departamento de Estado, la NSA, la Oficina del Presidente de Estados Unidos y los 10 principales proveedores de telecomunicaciones del país.

También fueron afectadas la mayoría de grandes empresas de la lista Fortune 500. Además de Cisco, Intel, VMare o NVIDIA (y otras que no se han hecho públicas), Microsoft habría sido una de las grandes tecnológicas afectadas. Los piratas informáticos detrás del ataque obtuvieron un acceso más profundo a los sistemas de lo que la compañía reveló anteriormente. Microsoft ha reconocido que los atacantes lograron obtener acceso a una pequeña cantidad de cuentas internas, que usaron para acceder a los repositorios del código fuente de algunos de sus productos, sistemas operativos, Azure, Exchange e Intune.

El presidente de Microsoft, Brad Smith, quien también testificó en la audiencia del viernes, dijo más tarde que no había evidencias de que el Pentágono hubiera sido realmente afectado por la campaña de espionaje rusa. Microsoft es una de las empresas más afectadas y la que está liderando la investigación forense. 

Solarwinds123

Las credenciales robadas son una de las tres posibles vías de ataque que SolarWinds investiga junto al uso de fuerza bruta de las contraseñas de la empresa, así como la posibilidad de que los piratas informáticos pudieran haber logrado el acceso a través de un software de terceros comprometido.

La contraseña en cuestión, «solarwinds123», fue descubierta en 2019 en la Internet pública por un investigador de seguridad independiente que advirtió a la compañía que la filtración había expuesto un servidor de archivos de SolarWinds. La contraseña filtrada permitió al investigador iniciar sesión y depositar archivos con éxito en el servidor de la empresa. Usando esa táctica, advirtió a la compañía que cualquier pirata informático podría haber cargado software malicioso en SolarWinds.

Los representantes de la compañía dijeron a los legisladores que tan pronto como se informó el problema de la contraseña se corrigió en unos días, pero después se ha conocido que la contraseña había estado en uso desde 2017 para acceder a uno de los servidores de la compañía en GitHub.

Aún no está claro qué papel, si es que lo hubo, pudo haber jugado la contraseña filtrada para permitir que los atacantes, presuntamente piratas informáticos rusos de alto nivel, espiasen a múltiples agencias y empresas federales en una de las violaciones de seguridad más graves en la historia de Estados Unidos.

Durante la audiencia, el CEO de la firma de ciberseguridad FireEye, también comprometida por SolarWinds, explicó que podía ser imposible determinar completamente cuánto daño causó el presunto ataque ruso. Para hacer una evaluación completa de daños, no solo debían catalogar los datos a los que se accedió, sino también imaginar todas las formas en que los datos podrían ser utilizados y mal utilizados por el espionaje extranjero.

Una tarea monumental para un caso tremendo del que solo sabemos una mínima porción de lo ocurrido y las empresas y organizaciones afectadas, aunque sí nos ha dejado lecciones clave para que no se repita.