Agencia de ciberseguridad de EE.UU. emite directiva de emergencia por hackeo a SolarWinds

Los clientes de SolarWinds incluyen agencias gubernamentales de EE.UU.

Por Zachary Stieber
14 de diciembre de 2020 1:10 PM Actualizado: 14 de diciembre de 2020 1:10 PM

La agencia de ciberseguridad de Estados Unidos instó a todas las agencias civiles federales a revisar sus redes, para determinar si fueron comprometidas, después de que una red de SolarWinds fuera hackeada y siguiera siendo explotada.

La directiva de emergencia se emitió el domingo por la noche en respuesta a una afectación conocida que involucra los productos Orion de SolarWinds, los cuales actualmente están siendo explotados por actores maliciosos, dijo la Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA).

“La afectación de los productos de gestión de red Orion de SolarWinds plantea riesgos inaceptables para la seguridad de las redes federales”, dijo Brandon Wales, director interino de la agencia, en un comunicado.

“La directiva de esta noche tiene como objetivo mitigar posibles afectaciones dentro de las redes civiles federales, e instamos a todos nuestros socios, en los sectores público y privado, a evaluar su exposición a esta afectación y proteger sus redes contra cualquier explotación”.

De acuerdo con la ley federal, las agencias federales deben cumplir con las directivas.

La acción de emergencia se desencadenó porque CISA determinó que la explotación representaba un riesgo inaceptable para las agencias federales, con base en la explotación actual de los productos afectados y su uso generalizado que permite monitorear el tráfico en los principales sistemas de redes federales, el alto potencial de compromiso de los sistemas de información de las agencias, y el «grave impacto» de una afectación exitosa.

La única solución conocida es desconectar los dispositivos afectados, según CISA.

Según SolarWinds, más de 300,000 clientes en todo el mundo, incluida la oficina del presidente de Estados Unidos, el Pentágono y la NASA, utilizan sus productos y servicios.

SolarWinds está trabajando para proporcionar parches de software actualizados, dijo CISA. La empresa proveedora de software dijo que un parche estaría disponible el martes.

La compañía dijo en un aviso que acababa de saber que sus sistemas experimentaron un ataque altamente sofisticado.

“Nos han informado que este ataque probablemente fue realizado por un estado nacional externo y tenía la intención de ser un ataque limitado, extremadamente dirigido y ejecutado manualmente, en lugar de un ataque amplio en todo el sistema”, dijo SolarWinds.

Se les pidió a los usuarios que actualizaran su software Orion mientras esperaban el parche. Según la compañía, los pasos de mitigación principales incluyen instalar el software que soporta el cortafuegos, deshabilitar el acceso a Internet para la plataforma y limitar los puertos y conexiones a solo lo necesario.

Una vista exterior del edificio del Departamento del Tesoro de Estados Unidos se muestra el 23 de febrero de 2004, en Washington, D.C. (Alex Wong/Getty Images)

El Departamento de Comercio confirmó a The Epoch Times el domingo que fue hackeado, mientras que, según informes, el Departamento del Tesoro también sufrió una filtración.

El Consejo de Seguridad Nacional de la Casa Blanca dijo que estaba al tanto de los informes.

La semana pasada, FireEye, una firma de ciberseguridad de EE.UU., anunció que fue pirateada por lo que describió como «un actor de amenazas altamente sofisticado, uno cuya disciplina, seguridad operativa y técnicas nos llevan a creer que fue un ataque patrocinado por un estado».

La firma dijo el domingo que descubrió una “campaña de intrusión global”, o un ataque que usaba actualizaciones de SolarWinds Orion para distribuir un malware que llamó SUNBURST.

El malware es software malicioso que los delincuentes utilizan para acceder a los sistemas.

Según FireEye, los actores detrás de la nueva campaña han obtenido acceso a numerosas organizaciones públicas y privadas de todo el mundo, incluidas entidades gubernamentales, de consultoría y tecnológicas en América del Norte, Europa y Asia. Es posible que la campaña de intrusión haya comenzado en la primavera de este año.

“La actividad posterior, a esta afectación, de la cadena de suministro ha incluido acciones encubiertas y robo de datos. La campaña es el trabajo de un actor altamente cualificado y la operación se llevó a cabo con una seguridad operacional significativa”, dijo FireEye.

Sigue a Zachary en Twitter: @zackstieber


Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí


A continuación

Cifras inusuales en las elecciones de EE.UU.

Cómo puede usted ayudarnos a seguir informando

¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.