Servidor Supermicro usado por Hillary Clinton expone los riesgos de seguridad de la tecnología china

Un detalle poco conocido en los archivos de investigación del FBI relacionados con los servidores de correo electrónico de la ex secretaria de Estado Hillary Clinton puso de relieve los riesgos de seguridad inherentes a la actual cadena de suministro de tecnología.

El uso de servidores privados de correo electrónico por parte de Clinton durante su mandato en el período 2009-2013 planteó la cuestión de si la información clasificada estaba siendo almacenada o transmitida de forma inadecuada.

Anteriormente el presidente Donald Trump había sugerido en Twitter que China tuvo acceso a los correos electrónicos de Clinton. Varios medios de comunicación también citaron fuentes anónimas que dijeron que China tuvo acceso a sus correos electrónicos.

Pero la marca del servidor particular que utilizó Clinton para hacer copias de sus correos electrónicos se convirtió en un detalle revelador después de que el artículo explosivo de Bloomberg publicado en octubre de 2018 expusiera que un microchip malicioso fue presuntamente plantado por espías chinos en placas madre de servidores fabricadas en China.

En 2013, después de que Clinton dejara el cargo, el proveedor de servicios de tecnología informática (TI) que Clinton contrató para gestionar el servidor de correo electrónico, Platte River Networks (PRN), trasladó el servidor a un centro de datos en Secaucus, Nueva Jersey, llamado Equinix. Allí, el personal de PRN estableció un sistema de backup utilizando Datto, una compañía de backup de datos de Estados Unidos. El servidor de backup de Datto tomaba múltiples instantáneas al día del servidor principal del correo electrónico que luego se eliminaban cada 60 días.

Ese servidor Datto fue a su vez fabricado por Supermicro, según archivos del FBI.

Supermicro es la compañía de tecnología en el centro de la historia de Bloomberg.

El usuario de Twitter @Joestradamus91 fue uno de los primeros en darse cuenta y dar a conocer este detalle.

El artículo de Bloomberg cita a funcionarios estadounidenses anónimos y a personas de la compañía de tecnología para afirmar que una unidad militar china diseñó microchips maliciosos con acceso por la puerta trasera, y que pudo implantarlos en secreto en fábricas chinas que suministraban placas madre a Supermicro. Esas placas madre afectadas se instalaron en servidores ensamblados en Supermicro.

La empresa, con sede en Estados Unidos y fundada por un empresario taiwanés en 1993, es un proveedor muy popular entre las empresas de tecnología. Diseña servidores de acuerdo a las especificaciones de los clientes, generalmente a precios mucho más baratos que sus competidores, según Gary Miliefsky, experto en ciberseguridad y CEO de Cyber Defense Media Group. La mayoría de los componentes de Supermicro se fabrican en China.

Aunque Supermicro y sus dos clientes mencionados en el artículo de Bloomberg –Apple y Amazon– han negado las acusaciones, expertos cibernéticos creen que tales ataques son plausibles pero difíciles de rastrear y de atribuir un culpable.

Yossi Appleboum, fundador y CEO de la empresa de ciberseguridad Sepio Systems y exagente de inteligencia israelí, dijo en una entrevista anterior con la edición israelí de La Gran Época que había visto antes implantes de este tipo de hardware, incluso en teclados de computadoras e impresoras.

“En la mayoría de los casos, los fabricantes de hardware dejan los conectores de hardware abiertos en la placa madre, lo que permite el acceso tanto a los procesadores como a las conexiones de Internet. Esta situación es un paraíso para los atacantes”, dijo Appleboum.

En respuesta al artículo de Bloomberg, Apple escribió una carta al Congreso que decía que no había detectado “tráfico saliente” que pudiera sugerir malware o actividad maliciosa.

Pero Miliefsky señaló que el tráfico aparentemente benigno podría ser aprovechado. Un ejemplo hipotético: el tráfico podría ir a un sitio web que vende productos de Apple, pero esa dirección IP podría haber sido configurada por un hacker para transferir datos a China.

Otro ejemplo de un ataque difícil de detectar es si fuera diseñado para ser lanzado en un momento específico en el futuro.

Datto tuvo fallas de seguridad antes, como en noviembre de 2017, cuando detectó vulnerabilidades que permitían el acceso remoto a los datos, aunque la compañía dijo en ese momento que no se había reportado que ningún dispositivo de sus clientes se había visto afectado.

Datto no respondió a una petición de comentarios.

No se sabe si el servidor Datto de Clinton fabricado por Supermicro tenía vulnerabilidades que podrían haber sido aprovechadas por organismos chinos; Supermicro no respondió tampoco a una petición de comentarios. Pero Miliefsky dijo que existe un riesgo inherente en el uso de productos fabricados en China.

“La mayoría del hardware construido en China tiene ahora una vulnerabilidad de día cero”, dijo Miliefsky en una entrevista telefónica, refiriéndose a un fallo existente que podría ser aprovechado por los atacantes sin el conocimiento de los desarrolladores. Cuando el desarrollador se da cuenta del ataque, los atacantes ya han hecho el daño.

“Si hay hardware malicioso, puede derribar un [avión de combate] F-15 si tienen una puerta trasera”, dijo Miliefsky.

Debido a los prolíficos ciberataques del régimen chino, el hecho de que gran parte del hardware tecnológico actual se fabrique y desarrolle en China es una preocupación importante, dijo Appleboum.

Miliefsky dijo que para garantizar la seguridad de los datos, las empresas y los consumidores deben auditar dónde se fabrican los componentes tecnológicos críticos y qué hay en sus códigos.

“La gestión de la cadena de suministro es uno de los temas más importantes de la ciberseguridad en este momento”, remarcó.

***

A continuación

¿Por qué el comunismo no es tan odiado como el fascismo?