Expulsar a hackers en intrusión masiva en EEUU es complejo

Los esfuerzos en Estados Unidos para evaluar el impacto de una campaña de ciberespionaje de más de siete meses atribuida a Rusia — y expulsar a los intrusos — siguen en sus etapas iniciales, dijo la firma de ciberseguridad que descubrió el ataque.

El hackeo ha sacudido al gobierno federal y el sector privado. La firma, FireEye, dio a conocer una herramienta y un informe oficial el martes para ayudar a víctimas potenciales a revisar sus instalaciones de Microsoft 365 en la nube —donde residen los correos electrónicos, documentos y otras herramientas colaborativas de los usuarios— para determinar si los hackers entraron y siguen activos.

El objetivo no es solamente descubrir y expulsar a los hackers, sino impedir que reingresen, dijo Matthew McWhirt, líder de equipo.

“Existen muchas cosas específicas que tienes que hacer — lo aprendimos en nuestras investigaciones — para erradicar realmente al agresor”, dijo.

Desde que FireEye reveló su descubrimiento a mediados de diciembre, se han descubierto infecciones en agencias federales, como los departamentos de Justicia, Comercio y el Tesoro y en cortes federales. También están comprometidos, dijo el director técnico de FireEye Charles Carmakal, decenas de firmas del sector privado, con una alta concentración en la industria de software y en centros de estudios en Washington.

Los intrusos han estado recolectando información durante meses, escogiendo cuidadosamente sus blancos entre alrededor de 18.000 clientes infectados con un código malicioso que ellos activaron tras colocar subrepticiamente en un software de actualización de redes lanzado inicialmente en marzo por SolarWinds, basada en Texas.

“Aparecen nuevas víctimas todos los días. Aún pienso que estamos en los días iniciales para entender la magnitud de la actividad”, dijo Carmakal.

El público no ha escuchado mucho sobre quién exactamente fue afectado porque muchas víctimas aún no pueden determinar qué han hecho los agresores y por tanto “pudieran no sentir la obligación de reportarlo”.

“Este elemento amenazador es tan bueno, sofisticado, disciplinado, paciente y esquivo que es difícil para las organizaciones entender la magnitud y el impacto de las intrusiones, pero les aseguro que hay numerosas víctimas más allá de lo que se conoce hasta ahora”, dijo Carmakal.

Encima de eso, dijo, los hackers “continuarán accediendo a organizaciones. Habrá nuevas víctimas”.

Microsoft reveló el 31 de diciembre que los hackers habían visto parte de su código fuente. Dijo que no encontró “indicios de que nuestros sistemas hayan sido usados para tacar a otros”.