Los recientes ataques presuntamente realizados por el grupo chino Salt Typhoon a empresas de telecomunicaciones y países – entre ellos estaría el Brasil – dejó el mundo entero en alerta. Noticias hablan del nivel de sofisticación de las invasiones y, lo que es más alarmante – los delincuentes, teóricamente, todavía estarían dentro de las redes de estas empresas
La primera información sobre este grupo surgió en 2021, cuando el equipo de Threat Intelligence de Microsoft difundió información sobre cómo China habría infiltrado con éxito en varios proveedores de servicio de internet, para vigilar las empresas – y capturar datos. Uno de los primeros ataques realizados por el grupo fue a partir de una violación en routers Cisco, que servían como una gateway para monitorear actividades de internet ocurriendo a través de esos dispositivos. Una vez que el acceso era obtenido, los hackers lograban expandir su alcance a redes adicionales. En octubre de 2021, la Kaspersky confirmó que los cibercriminales ya habían expandido los ataques a otros países como Vietnam, Indonesia, Tailandia, Malasia Egipto, Etiopía y Afganistánistán.
Si las primeras vulnerabilidades ya eran conocidas desde 2021 – por qué aún fuimos atacados? La respuesta está, justamente, en cómo manejamos con estas vulnerabilidades en el día a día
Método de violación
Ahora, en los últimos días, información del gobierno norteamericano confirmó una serie de ataques a ⁇ empresas y países ⁇ – que habrían sucedido a partir de vulnerabilidades conocidas en una aplicación de VPN, del fabricante Ivanti, en Fortinet Forticlient EMS, utilizado para hacer el monitoreo en servidores, en firewalls Sophos y también en servidores Microsoft Exchange.
La vulnerabilidad de Microsoft fue divulgada en 2021 cuando, justo en la secuencia, la empresa publicó las correcciones. La falla en los firewalls Sophos fue publicada en 2022 – y corregida en septiembre de 2023. Los problemas encontrados en el Forticlient se hicieron públicos en 2023, y corregidos en marzo de 2024 – así como los de Ivanti, que también tuvieron sus CVEs (Common Vulnerabilities and Exposures) registrados en 2023. La empresa, sin embargo, sólo corrigió la vulnerabilidad en octubre pasado.
Todas estas vulnerabilidades permitieron que los criminales fácilmente se infiltraran en las redes atacadas, usando credenciales y softwares legítimos, lo que hace la detección de estas invasiones casi imposible. A partir de ahí, los criminales se movieron lateralmente dentro de esas redes, implantando malwares, que ayudaron en el trabajo de espionaje de largo plazo.
Lo que es alarmante en los recientes ataques es que los métodos utilizados por los hackers del grupo Salt Typhoon son consistentes con las tácticas de largo plazo observadas en campañas anteriores atribuidas a agentes estatales chinos. Estos métodos incluyen el uso de credenciales legítimas para enmascarar actividades maliciosas como operaciones rutinarias, dificultando la identificación por sistemas de seguridad convencionales. El enfoque en softwares ampliamente utilizados, como VPNs y firewalls, demuestra un conocimiento en profundidad de las vulnerabilidades en entornos corporativos y gubernamentales
El problema de las vulnerabilidades
Las vulnerabilidades explotadas también revelan un patrón preocupante: retrasos en la aplicación de patches y actualizaciones. A pesar de las correcciones facilitadas por los fabricantes, la realidad operativa de muchas empresas dificulta la implementación inmediata de estas soluciones. Pruebas de compatibilidad, la necesidad de evitar interrupciones en sistemas críticos de misión; y, en algunos casos, la falta de concientización sobre la gravedad de las fallas contribuyen a la ampliación de la ventana de exposición
Esta cuestión no es sólo técnica, pero también organizativa y estratégica, implicando procesos, prioridades y, muchas veces, cultura corporativa
Un aspecto crítico es que muchas empresas tratan la aplicación de patches como una tarea ⁇ secundaria ⁇ en comparación con la continuidad operativa. Esto crea el llamado dilema del downtime, donde los líderes tienen que decidir entre la interrupción momentánea de servicios para actualizar sistemas y el riesgo potencial de una explotación futura. Sin embargo, los ataques recientes muestran que posponer esas actualizaciones puede salir mucho más caro, tanto en términos financieros como reputacionales
Además de eso, las pruebas de compatibilidad son un estrangulamiento común. Muchos ambientes corporativos, especialmente en sectores como telecomunicaciones, operan con una compleja combinación de tecnologías heredadas y modernas. Esto hace que cada actualización requiera un esfuerzo considerable para garantizar que el patch no cause problemas en sistemas dependientes. Este tipo de cuidado es comprensible, pero puede ser mitigado con la adopción de prácticas como entornos de prueba más robustos y procesos automatizados de validación
Otro punto que contribuye al retraso en la aplicación de patches es la falta de concienciación sobre la gravedad de las fallas. Muchas veces, equipos de TI subestiman la importancia de un CVE específico, especialmente cuando no ha sido ampliamente explotado hasta el momento. El problema es que la ventana de oportunidad para los atacantes puede abrirse antes de que las organizaciones se den cuenta de la gravedad del problema. Este es un campo donde inteligencia de amenazas y comunicación clara entre los proveedores de tecnología y las empresas pueden hacer toda la diferencia
Por fin, las empresas necesitan adoptar un enfoque más proactivo y priorizado para gestión de vulnerabilidades, lo que incluye la automatización de los procesos de patching, la segmentación de las redes, limitando el impacto de posibles invasiones, la rutina de simular regularmente posibles ataques, lo que ayuda a encontrar los potenciales ⁇ puntos débiles ⁇.
La cuestión de los retrasos en patches y actualizaciones no es sólo un desafío técnico, pero también una oportunidad para las organizaciones de transformar su enfoque de seguridad, haciéndola más ágil, adaptable y resiliente. Sobre todo, este modo de operación no es nuevo, y cientos de otros ataques son realizados con el mismométodo de operación, a partir de vulnerabilidades que son usadas como puerta de entrada. Aprovechar esa lección puede ser el diferencial entre ser víctima o estar preparado para el próximo ataque
