Los recientes ataques presuntamente perpetrados por el grupo chino Salt Typhoon contra empresas de telecomunicaciones y países, incluido Brasil, han puesto en alerta al mundo entero. Los informes periodísticos hablan de la sofisticación de las intrusiones y, lo más alarmante, los delincuentes, en teoría, aún se encuentran dentro de las redes de estas empresas.
La primera información sobre este grupo surgió en 2021, cuando el equipo de Inteligencia de Amenazas de Microsoft publicó información sobre cómo China se había infiltrado con éxito en varios proveedores de servicios de internet para monitorear empresas y recopilar datos. Uno de los primeros ataques del grupo consistió en una vulneración de los routers Cisco, que servían como puerta de enlace para monitorear la actividad de internet a través de estos dispositivos. Una vez obtenido el acceso, los hackers pudieron expandir su alcance a otras redes. En octubre de 2021, Kaspersky confirmó que los ciberdelincuentes ya habían expandido sus ataques a otros países como Vietnam, Indonesia, Tailandia, Malasia, Egipto, Etiopía y Afganistán.
Si las primeras vulnerabilidades ya se conocían en 2021, ¿por qué seguimos sufriendo ataques? La respuesta reside precisamente en cómo afrontamos estas vulnerabilidades a diario.
Método de violación
Ahora, en los últimos días, información del gobierno estadounidense ha confirmado una serie de ataques a "empresas y países" - que se habrían producido a partir de vulnerabilidades conocidas en una aplicación VPN, del fabricante Ivanti, en el EMS Forticlient de Fortinet, utilizado para monitorizar servidores, en los firewalls de Sophos y también en servidores Microsoft Exchange.
La vulnerabilidad de Microsoft se reveló en 2021 y la compañía lanzó parches poco después. La falla en los firewalls de Sophos se reveló en 2022 y se corrigió en septiembre de 2023. Los problemas encontrados en Forticlient se hicieron públicos en 2023 y se corrigieron en marzo de 2024. Lo mismo ocurre con Ivanti, cuyas CVE (vulnerabilidades y exposiciones comunes) también se registraron en 2023. Sin embargo, la compañía no corrigió la vulnerabilidad hasta octubre pasado.
Todas estas vulnerabilidades permitieron a los delincuentes infiltrarse fácilmente en las redes atacadas utilizando credenciales y software legítimos, lo que hizo casi imposible detectar estas intrusiones. A partir de ahí, los delincuentes se movieron lateralmente dentro de estas redes, implementando malware que facilitó sus esfuerzos de espionaje a largo plazo.
Lo alarmante de los recientes ataques es que los métodos empleados por los hackers del grupo Salt Typhoon coinciden con tácticas de larga data observadas en campañas anteriores atribuidas a actores estatales chinos. Estos métodos incluyen el uso de credenciales legítimas para camuflar actividades maliciosas como operaciones rutinarias, lo que dificulta su identificación por parte de los sistemas de seguridad convencionales. El enfoque en software de uso generalizado, como VPN y firewalls, demuestra un profundo conocimiento de las vulnerabilidades en entornos corporativos y gubernamentales.
El problema de las vulnerabilidades
Las vulnerabilidades explotadas también revelan un patrón preocupante: retrasos en la aplicación de parches y actualizaciones. A pesar de las correcciones proporcionadas por los fabricantes, la realidad operativa de muchas empresas dificulta la implementación inmediata de estas soluciones. Las pruebas de compatibilidad, la necesidad de evitar interrupciones en sistemas críticos y, en algunos casos, el desconocimiento de la gravedad de las fallas contribuyen a aumentar el margen de exposición.
Se trata de una cuestión no sólo técnica, sino también organizativa y estratégica, que involucra procesos, prioridades y, a menudo, la cultura corporativa.
Un aspecto crítico es que muchas empresas tratan la aplicación de parches como una tarea secundaria en comparación con la continuidad operativa. Esto genera el llamado dilema del tiempo de inactividad, donde los líderes deben decidir entre interrumpir temporalmente los servicios para actualizar los sistemas y el riesgo potencial de una futura explotación. Sin embargo, ataques recientes demuestran que posponer estas actualizaciones puede ser mucho más costoso, tanto financiera como reputacionalmente.
Además, las pruebas de compatibilidad son un cuello de botella común. Muchos entornos corporativos, especialmente en sectores como las telecomunicaciones, operan con una compleja combinación de tecnologías heredadas y modernas. Esto significa que cada actualización requiere un esfuerzo considerable para garantizar que el parche no cause problemas en los sistemas dependientes. Esta precaución es comprensible, pero puede mitigarse mediante la adopción de prácticas como entornos de prueba más robustos y procesos de validación automatizados.
Otro factor que contribuye a los retrasos en la aplicación de parches es la falta de conocimiento sobre la gravedad de las fallas. Los equipos de TI suelen subestimar la importancia de un CVE específico, especialmente cuando no se ha explotado ampliamente. El problema es que la ventana de oportunidad para los atacantes puede abrirse antes de que las organizaciones se den cuenta de la gravedad del problema. En este ámbito, la inteligencia de amenazas y una comunicación clara entre los proveedores de tecnología y las empresas pueden marcar la diferencia.
Por último, las empresas necesitan adoptar un enfoque más proactivo y priorizado para la gestión de vulnerabilidades, que incluye la automatización de los procesos de parcheo, la segmentación de las redes para limitar el impacto de posibles intrusiones y la simulación periódica de posibles ataques para ayudar a identificar posibles "puntos débiles".
El problema de los retrasos en la implementación de parches y actualizaciones no solo representa un desafío técnico, sino también una oportunidad para que las organizaciones transformen su enfoque de seguridad, haciéndolo más ágil, adaptable y resiliente. Sobre todo, este modus operandi no es nuevo, y cientos de otros ataques se llevan a cabo con el mismo enfoque. modus operandi, de vulnerabilidades que se utilizan como puntos de entrada. Aprender esta lección puede marcar la diferencia entre ser víctima o estar preparado para el próximo ataque.
