Han pasado tres años desde que la empresa de software estadounidense SolarWinds fue víctima de uno de los ciberataques más importantes de la historia. En el incidente, que salió a la luz por primera vez en diciembre de 2020, piratas informáticos rusos violaron la popular red Orion y el software de monitoreo de aplicaciones de SolarWinds durante dos años.
Una vez dentro de la infraestructura técnica de SolarWinds, los ciberdelincuentes crearon y enviaron actualizaciones de software malicioso a miles de empresas y organizaciones que utilizan el software Orion para administrar sus entornos de TI.
La asombrosa cifra de 18,000 usuarios de Orion instalaron sin saberlo las actualizaciones plagadas de malware, lo que permitió a los piratas informáticos acceder a sus redes de TI, sistemas informáticos y datos, así como atacar a sus clientes y otras partes interesadas.
El ataque afectó a múltiples agencias gubernamentales de EE. UU., incluidas Seguridad Nacional, Estado, Hacienda y Comercio, y a grandes corporaciones como Microsoft, Intel, Cisco, Deloitte y FireEye. según lo informado por TechTarget. La violación fue tan grave y de gran alcance que el presidente de Microsoft, Brad Smith descrito lo calificó como “el ataque más grande y sofisticado que el mundo haya visto jamás”.
Si avanzamos hasta 2023, SolarWinds todavía enfrenta las repercusiones de este ciberataque sin precedentes. En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) anunció que emprendería acciones legales contra SolarWinds, acusando a la empresa de tecnología de engañar a los inversores sobre sus prácticas y riesgos de ciberseguridad.
Este hack, junto con los recientes cargos de la SEC contra SolarWinds, resalta la necesidad de que las empresas se tomen en serio el creciente delito cibernético comprendiendo y adoptando prácticas sólidas de seguridad de la información. También presenta valiosas oportunidades de aprendizaje empresarial, muchas de las cuales exploraremos en esta publicación de blog.
Comprender los cargos de la SEC
Una de las cosas más importantes de estos cargos de la SEC es que apuntan no solo a SolarWinds sino también al director de seguridad de la información, Timothy G. Brown.
La SEC alega que, entre su oferta pública inicial en octubre de 2018 y su anuncio de ciberataque en diciembre de 2020, SolarWinds “defraudó a los inversores” al exagerar sus prácticas de ciberseguridad, además de restar importancia y no revelar las vulnerabilidades de ciberseguridad que conocía.
En un comunicado de prensa, la agencia gubernamental estadounidense afirma que SolarWinds sólo informó a los inversores sobre "riesgos genéricos e hipotéticos" a pesar de que SolarWinds y Brown eran conscientes de "deficiencias específicas en las prácticas de ciberseguridad de SolarWinds" y "riesgos cada vez más elevados". La SEC alega que SolarWinds hizo declaraciones públicas engañosas sobre su postura de ciberseguridad, contradiciendo las evaluaciones internas.
Por ejemplo, un ingeniero de SolarWinds creó y distribuyó una presentación interna advirtiendo que el acceso remoto de la empresa no era "muy seguro" y que los piratas informáticos podían "básicamente hacer cualquier cosa sin que lo detectáramos hasta que fuera demasiado tarde". La presentación, que Brown había visto, también advertía sobre “grandes pérdidas financieras y de reputación” si un pirata informático aprovechaba esta vulnerabilidad.
En otras demandas contra SolarWinds por parte de la SEC, Brown supuestamente escribió en una presentación que “el estado actual de seguridad nos deja en un estado muy vulnerable para nuestros activos críticos”. También se afirma que calificó el acceso y los privilegios críticos al sistema y a los datos como “inapropiados” en otra presentación, entre otros casos en los que supuestamente planteó preocupaciones de ciberseguridad internamente.
La SEC acusó a Brown de no “resolver los problemas” y “plantearlos lo suficiente dentro de la empresa” en medidas que significaron que SolarWinds no pudo “brindar garantías razonables de que sus activos más valiosos, incluido su producto estrella Orion, estaban adecuadamente protegido”. Ahora está presionando para obtener “medidas cautelares permanentes, restitución con intereses previos al fallo, sanciones civiles y una prohibición para funcionarios y directores contra Brown”.
Aprendizajes empresariales
Muchas empresas pueden aprender cosas clave para mejorar su postura de ciberseguridad al evaluar el infame hackeo de SolarWinds y los recientes cargos de la SEC.
Quizás el aprendizaje más significativo es que la violación de SolarWinds muestra que “incluso las entidades más sofisticadas y establecidas no son inmunes a las amenazas cibernéticas”, según Sam Peters, director de tecnología de ISMS.online.
A medida que las amenazas cibernéticas se vuelven más complejas y comunes tras la violación de SolarWinds, las empresas deben asegurarse de tener los medios para identificarlas, evaluarlas y gestionarlas. Esto debería implicar “vigilancia continua, evaluaciones periódicas y la adopción de una mentalidad proactiva en materia de ciberseguridad”, afirma Peters.
La mejor manera de gestionar las amenazas de seguridad cibernética nuevas y emergentes es siguiendo las mejores prácticas de la industria, los requisitos regulatorios y marcos reconocidos como ISO/IEC 27001 y la Marco de Ciberseguridad NIST como parte de una “cultura de conciencia de seguridad”.
Peters explica: “Son necesidades empresariales en el panorama actual en el que lo digital es prioritario. Como líderes tecnológicos, debemos ver la ciberseguridad no como una función independiente sino como un aspecto integrado y fundamental de nuestra estrategia comercial general”.
Al seguir marcos como ISO/IEC 27001, las empresas deben cumplir con varios controles técnicos para proteger sus redes, sistemas y datos. Peters explica que deben definir, monitorear y revisar gestión de acceso de usuarios, controles y responsabilidades, además de utilizar cifrado sólido y protocolos de administración de claves. Tomar estas medidas es la clave para "garantizar la confidencialidad de los datos incluso durante las violaciones".
Peters también recomienda que las empresas realicen evaluaciones de vulnerabilidad con regularidad, lo que les permitirá identificar y corregir fallas de software que, de otro modo, podrían proporcionar una puerta trasera a los sistemas sensibles para los piratas informáticos. Implementar un sistema bien documentado gestión de incidentes de seguridad de la información El proceso también permitiría a las empresas identificar, informar y gestionar las infracciones a medida que ocurren.
Además de resaltar la importancia de seguir las mejores prácticas y marcos de la industria, el incidente de SolarWinds también muestra que la debida diligencia de los proveedores es crucial para mitigar los ciberataques. Peters recomienda que las empresas "siempre examinen el software de terceros con el mismo rigor que los sistemas internos".
Luke Dash, director ejecutivo de ISMS.online, cree que la lección más importante que las empresas pueden aprender de la violación de SolarWinds es que la ciberseguridad es “un viaje continuo, no un destino”. Si bien invertir en tecnología puede ayudar a combatir el cibercrimen, Dash dice que las organizaciones también deben invertir en su gente capacitándola constantemente sobre las amenazas y las mejores prácticas de ciberseguridad.
También recomienda crear un plan de respuesta a incidentes para prepararse para futuras amenazas y fomentar una cultura en el lugar de trabajo basada en la comunicación abierta. Esto garantizará que “los empleados se sientan cómodos informando actividades sospechosas sin temor a represalias”. Dash añade: “En ciberseguridad, cada alerta cuenta. Es un esfuerzo colectivo y ser proactivo es la clave”.
Karl Lankford, director de ingeniería de sistemas de Illumio para EMEA, dice que el hackeo de SolarWinds y los cargos de la SEC muestran que “el rol de CISO merece un lugar en el equipo ejecutivo”.
"El C-Suite en general también debe ser responsable de las buenas prácticas de ciberseguridad, ya que a menudo es este equipo el que niega las recomendaciones de un CISO", añade. "Me encantaría ver un cambio en el que al CISO se le asigne la autoridad y los presupuestos adecuados para implementar controles de seguridad eficaces sin tener que buscar aprobación en cada etapa".
Robin Campbell-Burt, director ejecutivo de Code Red, cree que el hackeo de SolarWinds “arroja luz sobre la naturaleza multifacética de las relaciones públicas en las crisis de ciberseguridad” y enfatiza la importancia de lograr que las relaciones públicas sean correctas durante estas situaciones.
Le dice a ISMS.online: “Su respuesta a la infracción subraya el imperativo de una comunicación oportuna en nuestro mundo digital en rápida evolución. Sin embargo, según los recientes cargos de la SEC, es posible que esta respuesta no haya coincidido con la realidad de la postura de ciberseguridad de la empresa, y este tipo de deshonestidad puede ser extremadamente perjudicial para la reputación de una marca”.
Lo más importante es...
El hackeo de SolarWinds y las acciones legales de la SEC demuestran que la mala divulgación de las violaciones y el descuido de la ciberseguridad pueden resultar muy costosos para las empresas. Dado que el panorama de amenazas en línea evoluciona rápidamente, las organizaciones deben reevaluar y reforzar constantemente su postura de ciberseguridad para protegerse a sí mismas y a sus clientes y socios.
Como parte de esto, no se puede subestimar la importancia de emplear mejores prácticas como autenticación multifactor, copias de seguridad periódicas, fomentar una cultura de seguridad que involucre a todos los empleados, seguir los marcos de la industria y colaborar y compartir inteligencia sobre amenazas con pares de la industria.
