Los recientes ataques supuestamente realizados por el grupo chino Salt Typhoon a empresas de telecomunicaciones y países, entre ellos Brasil, han puesto al mundo en alerta. Las noticias hablan del nivel de sofisticación de las invasiones y, lo que es más alarmante, los delincuentes, en teoría, todavía estarían dentro de las redes de esas empresas.
La primera información sobre este grupo surgió en 2021, cuando el equipo de Inteligencia de Amenazas de Microsoft divulgó información sobre cómo China se habría infiltrado con éxito en varios proveedores de servicios de internet, para vigilar a las empresas y capturar datos. Uno de los primeros ataques realizados por el grupo fue a partir de una violación en routers Cisco, que servían como una puerta de enlace para monitorear actividades de internet que ocurrían a través de estos dispositivos. Una vez que se obtenía el acceso, los hackers lograban ampliar su alcance a redes adicionales. En octubre de 2021, Kaspersky confirmó que los ciberdelincuentes ya habían expandido los ataques a otros países como Vietnam, Indonesia, Tailandia, Malasia, Egipto, Etiopía y Afganistán.
Si las primeras vulnerabilidades ya eran conocidas desde 2021, ¿por qué todavía fuimos atacados? La respuesta está, justamente, en cómo lidiamos con esas vulnerabilidades en el día a día.
Método de violación
Ahora, en los últimos días, información del gobierno estadounidense confirmó una serie de ataques a "empresas y países" que habrían ocurrido debido a vulnerabilidades conocidas en una aplicación de VPN del fabricante Ivanti, en Fortinet Forticlient EMS, utilizada para monitorear servidores, firewalls Sophos y también servidores Microsoft Exchange.
La vulnerabilidad de Microsoft fue divulgada en 2021 cuando, justo después, la empresa publicó las correcciones. La falla en los firewalls Sophos fue publicada en 2022 y corregida en septiembre de 2023. Los problemas encontrados en Forticlient se hicieron públicos en 2023 y fueron corregidos en marzo de 2024, al igual que los de Ivanti, que también tuvieron sus CVEs (Vulnerabilidades y Exposiciones Comunes) registrados en 2023. La empresa, sin embargo, solo corrigió la vulnerabilidad en octubre pasado.
Todas esas vulnerabilidades permitieron que los delincuentes se infiltraran fácilmente en las redes atacadas, utilizando credenciales y softwares legítimos, lo que hace que la detección de estas invasiones sea casi imposible. A partir de entonces, los delincuentes se movieron lateralmente dentro de estas redes, implementando malware, que ayudaron en el trabajo de espionaje a largo plazo.
Lo alarmante de los ataques recientes es que los métodos utilizados por los hackers del grupo Salt Typhoon son consistentes con las tácticas a largo plazo observadas en campañas anteriores atribuidas a agentes estatales chinas. Estos métodos incluyen el uso de credenciales legítimas para enmascarar actividades maliciosas como operaciones rutinarias, dificultando la identificación por sistemas de seguridad convencionales. El enfoque en softwares ampliamente utilizados, como VPNs y firewalls, demuestra un conocimiento profundo de las vulnerabilidades en entornos corporativos y gubernamentales.
El problema de las vulnerabilidades
Las vulnerabilidades explotadas también revelan un patrón preocupante: retrasos en la aplicación de parches y actualizaciones. A pesar de las correcciones proporcionadas por los fabricantes, la realidad operativa de muchas empresas dificulta la implementación inmediata de estas soluciones. Pruebas de compatibilidad, la necesidad de evitar interrupciones en sistemas de misión crítica y, en algunos casos, la falta de conciencia sobre la gravedad de las fallas contribuyen a la ampliación de la ventana de exposición.
Se trata de una cuestión no sólo técnica, sino también organizativa y estratégica, que involucra procesos, prioridades y, a menudo, la cultura corporativa.
Un aspecto crítico es que muchas empresas consideran la aplicación de parches como una tarea "secundaria" en comparación con la continuidad operativa. Esto crea el llamado dilema del tiempo de inactividad, donde los líderes deben decidir entre la interrupción momentánea de los servicios para actualizar los sistemas y el riesgo potencial de una explotación futura. Sin embargo, los ataques recientes muestran que posponer estas actualizaciones puede ser mucho más costoso, tanto en términos financieros como de reputación.
Además, las pruebas de compatibilidad son un cuello de botella común. Muchos entornos corporativos, especialmente en sectores como las telecomunicaciones, operan con una combinación compleja de tecnologías heredadas y modernas. Esto hace que cada actualización requiera un esfuerzo considerable para garantizar que el parche no cause problemas en sistemas dependientes. Este tipo de cuidado es comprensible, pero puede mitigarse con la adopción de prácticas como entornos de prueba más robustos y procesos automatizados de validación.
Otro punto que contribuye al retraso en la aplicación de parches es la falta de conciencia sobre la gravedad de las fallas. Muchas veces, los equipos de TI subestiman la importancia de un CVE específico, principalmente cuando no ha sido ampliamente explotado hasta el momento. El problema es que la ventana de oportunidad para los atacantes puede abrirse antes de que las organizaciones perciban la gravedad del problema. Este es un campo donde la inteligencia de amenazas y la comunicación clara entre los proveedores de tecnología y las empresas pueden marcar toda la diferencia.
Por último, las empresas necesitan adoptar un enfoque más proactivo y priorizado para la gestión de vulnerabilidades, que incluye la automatización de los procesos de parcheo, la segmentación de las redes, limitando el impacto de posibles invasiones, la rutina de simular regularmente posibles ataques, lo que ayuda a encontrar los posibles "puntos débiles".
La cuestión de los retrasos en los parches y actualizaciones no es solo un desafío técnico, sino también una oportunidad para que las organizaciones transformen su enfoque de seguridad, haciéndolo más ágil, adaptable y resiliente. Por encima de todo, este modo de operação não é novo, e centenas de outros ataques são realizados con el mismométodo de operación,a partir de vulnerabilidades que son utilizadas como puerta de entrada. Aprovechar esta lección puede ser la diferencia entre ser víctima o estar preparado para el próximo ataque.
