Hay miles de hacks más de SolarWinds esperando que sucedan

d

Cuando SolarWinds se vio comprometido, preparó el escenario para que los piratas informáticos respaldados por Rusia se infiltraran en las empresas Fortune 500 y en varias ramas del gobierno de EE. UU. Le dio a Rusia una visión general de la información sensible y señaló el fracaso de la ciberseguridad no como industria, sino como concepto, tal como se prevé actualmente.

Si asocia el reciente ataque de SolarWinds con todo lo demás que sucedió este año para hacer de 2020 sinónimo del viernes 13, no es así. Es otro nivel de fracaso.

La pandemia de Covid-19, los incendios forestales en todo el mundo y la agitación política resultante, la pérdida de puestos de trabajo y la recesión económica eran predecibles, incluso si eran escenarios atípicos. El hack de SolarWinds fue completamente predecible. Y sin embargo sucedió. Se desconoce el daño causado por la creciente lista de agencias y empresas infiltradas.

¿Qué tan malo es?

Este es el nivel «Wyle E. Coyote golpeado en la cabeza por un yunque». Los departamentos de finanzas, comercio, seguridad nacional y energía de EE. UU., Así como el Pentágono, el Servicio Postal y la Administración Nacional de Seguridad Nuclear se han visto comprometidos por actores de amenazas que actúan en nombre de uno o más estados nacionales opuestos.

Los datos sensibles de los sectores privado y sin fines de lucro también están flotando en el viento. Hasta 18.000 empresas y organizaciones, incluidas varias empresas de Fortune 500, han sido víctimas de la misma puerta trasera de software que comprometió a las agencias gubernamentales de EE. UU. En resumen, lo que sabemos ahora es malo y es casi seguro que empeorará mucho.

¿De quién es la culpa?

La respuesta más precisa es que todos somos responsables de este truco. El incidente se remonta al software de monitoreo de TI SolarWinds Orion, que fue comprometido por un programa de malware troyano que se utilizó para comprometer las redes de los clientes. Pero lo que permitió que ocurriera el hackeo es cultural: como sociedad que depende de la transmisión, el almacenamiento y la entrega seguros de los medios digitales, hacemos un trabajo miserable para mantener seguros los procesos que subyacen en la vida cotidiana.

Si bien el dedo proverbial ha señalado a SolarWinds como el eslabón más débil que causó el desastre actual, tres dedos apuntan a todos nosotros.

Esto no le da un pase a SolarWinds. Un investigador de seguridad advirtió a la compañía en 2019 contra una contraseña codificada para proteger el servidor ahora dañado. ¿La contraseña? Fueron los ingredientes de los chistes de la sala de descanso de ciberseguridad: «Solarwinds123». Sin embargo, concentrarse en tal o cual falla significa simplificar demasiado a expensas de un momento propicio para la enseñanza.

Vea el accidente del transbordador espacial Challenger, atribuido en gran parte a una sola pieza defectuosa. Investigaciones posteriores revelaron que varios factores causaron esta tragedia. El resultado final es un fracaso del liderazgo al abordar los problemas de ciberseguridad por parte de nuestras organizaciones y lugares de trabajo. Al igual que con la tragedia del Challenger, en la que la NASA violó las reglas de seguridad, así como una baldosa defectuosa, la violación de SolarWinds representa una falla del sistema.

E Pluribus Unum: Habrá más hacks de este tipo

SolarWinds definitivamente debería haber prestado más atención a su ciberseguridad. Aun así, las naciones de todo el mundo han sido advertidas durante años de que era solo cuestión de tiempo antes de que un ciberataque masivo golpeara objetivos gubernamentales sensibles. En los EE. UU., Un informe reciente de la GAO encontró que la mayoría de las agencias federales no se habían protegido adecuadamente de las vulnerabilidades de la cadena de suministro que causaron la debacle de SolarWinds.

Se sabía que los fondos para la agencia estadounidense para la seguridad cibernética y la seguridad de la infraestructura se desviaron para construir el muro del presidente Trump en la frontera con México. Sin embargo, CISA no tiene más culpa que los clientes de SolarWinds que no reconocieron los riesgos potenciales planteados por los proveedores de TI de terceros y no los revisaron adecuadamente.

Las prácticas descuidadas, las prioridades mal dirigidas y el liderazgo deficiente a lo largo de la cadena de suministro no son exclusivos de SolarWinds. El hack de SolarWinds fue el resultado de nuestro enfoque colectivo de la ciberseguridad que necesita una actualización urgente.

A Peter Drucker se le atribuye a menudo el mérito de tener una estrategia de alimentación cultural para el desayuno. El hack de SolarWinds es una expresión de una crisis en el manejo de nuestros datos sensibles. La cultura de las apariencias debe dar paso a una cultura de lagunas, el fracaso y la vigilancia que es tan implacable como los malos actores que nos atacan.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja un comentario