Ciberataque a SolarWinds: qué se sabe y cómo protegerse




Fue el pasado 08 de Diciembre, cuando Kevin Mandia, CEO de la empresa de ciberseguridad estadounidense FireEye, comunicaba a través de su sitio web que la compañía las acciones que estaba aplicando para proteger a sus clientes y la comunidad en general, luego de haber resultado víctima de un ciberataque altamente sofisticado en el cual cibercriminales robaron herramientas de Red Team empleadas para evaluar la seguridad de sus clientes.

Tan solo 5 días mas tarde, las oficinas del gobierno de Estados Unidos revelaron haber sido blanco de una serie de ataques presuntamente relacionados con organizaciones de amenazas patrocinados por el estado.

Dichos ataques fueron dirigidos a diversas organizaciones gubernamentales y tecnológicas alrededor del mundo.

¿Cómo se lograron estos ataques?


A través de una puerta trasera (malware troyano) insertada por ciberdelincuentes a las actualizaciones de software de la plataforma Orion de SolarWinds, las cuales fueron descargadas por al menos 18,000 empresas y oficinas de gobierno.

Lo que parecía software legítimo y de rutina, en realidad había comprometido los activos de las organizaciones, tanto en la nube como en sus instalaciones, permitiendo a los ciberdelincuentes espiarlas y acceder a sus datos.

El 80% de las víctimas estarían ubicadas en EEUU, entre ellas Microsoft, y el 20% restante en diferentes países del mundo, como México, España y Canadá.

Este reciente ataque de alto perfil representa una evidencia adicional del surgimiento de la Generación V de ciberataques sofisticados, el cual ha sido nombrado por los investigadores como Sunburst y aseguran que podría llevar años comprender del todo la gravedad de este ataque a gran escala.


Estas son 6 recomendaciones emitidas por Check Point para protegerse ante el ataque Sunburst:



1. Back to Basic: en este tipo de circunstancias, las prácticas de seguridad básicas de menor privilegio y segmentación dificultan el acceso de los adversarios a los activos críticos.

2. Defensa a profundidad: asegúrese de que múltiples protecciones operen en paralelo para identificar y prevenir diferentes vectores de ataque en tiempo real, como el bloqueo del tráfico C&C, así como la explotación de elementos vulnerables.
    3. Asegúrese de que sus soluciones de seguridad estén actualizadas.
      4. Configure sus soluciones de seguridad en modo Prevent: a medida que los atacantes eliminan sus rastros, para cuando detecte y analice sus acciones, será demasiado tarde.
        5. El ataque muestra una atención específica a los activos de la nube; asegúrese de buscar en ellos actividad sospechosa o inusual.
          6. Análisis de eventos automatizado: Es fundamental para los esfuerzos de remediación de Sunburst la capacidad de encontrar evidencia de impacto rápidamente. Las herramientas automatizadas de análisis de eventos juegan un papel importante en tales esfuerzos de investigación.