Microsoft ha acusado a un grupo de ciberespionaje chino como responsable del grave ataque dirigido contra su software de correo electrónico. El gigante tecnológico ha asegurado que los piratas informáticos pertenecen a un grupo respaldado por el estado, y los define como un «actor altamente cualificado y con una alta sofisticación técnica».

Desde la compañía han informado que la campaña de piratería aprovechó cuatro vulnerabilidades no detectadas previamente en diferentes versiones del software. Estos fallos de seguridad permitieron a los hackers acceder de forma remota a las bandejas de entrada de correo electrónico.

A pesar de que en un primer momento, cuando se dio a conocer el ataque, se consideró que sus consecuencias eran limitadas, posteriormente se ha reportado un incremento del número de incidentes relacionados, probablemente debido a que otros hackers aprovecharon las vulnerabilidades del sistema que se hicieron públicas para tratar de quebrantar la seguridad del sistema y acceder a la información.

Dichas vulnerabilidades, según ha explicado la empresa europea de ciberseguridad ESET, habrían permitido que los hackers tomaran el control de cualquier servidor Exchange sin necesidad de conocer las credenciales de autenticación, por lo que cualquiera de estos servidores que estuviera conectado a internet sería especialmente vulnerable.

Se estima que 30.000 y 250.000 entidades podrían haber sido víctimas de este hackeo global masivo. Cifras que no han sido confirmadas por la compañía, que por el momento se ha negado a decir cuántos clientes han sido comprometidos hasta el momento. Durante la semana se han sucedido los comunicados en los que la mayor parte de los afectados anunciaban el refuerzo y la contención de los sistemas infectados en un esfuerzo por tratar de disminuir las posibilidades de que los intrusos pudieran apoderarse de nuevos datos o comprometer todavía más sus redes.

Microsoft Exchange es un servicio de correo electrónico ampliamente utilizado por grandes empresas y gobiernos, pero hasta ahora pocas organizaciones han admitido públicamente el haber sido víctimas del ataque. Una de ellas, la Autoridad Bancaria Europea, ha confirmado que sus servidores de correo se han visto comprometidos por culpa de este ciberataque. Según Microsoft, los principales blancos del ataque serían gobiernos locales, pequeñas empresas y entidades bancarias.

La Casa Blanca ha calificado el ataque como una «amenaza activa» y ha anunciado los que funcionarios de seguridad nacional están trabajando en el caso. En esta línea, especialistas en seguridad informática no han dudado en calificar el ciberataque como “inusualmente agresivo”, advirtiendo de que “no se trata de una simple crisis de ciberseguridad” y que estamos ante un hackeo «extremadamente serio».

Al parecer la solución no pasa por pulsar el botón de actualizar y esperar a que amaine el temporal. Según los expertos este incidente requerirá una actualización completa de «Active Directory» de cada organización afectada, lo que viene a ser una revisión completa del catalogo usuarios de correo electrónico y sus respectivos privilegios.

Asimismo la elevada cifra de víctimas actuaría como una oportuna «cortina de humo» para que otros piratas informáticos, esta vez bajo la bandera de otros estados oculten una lista mucho más quirúrgica de objetivos, aprovechando la saturación a la que se enfrentan unos funcionarios de seguridad cibernética sobrepasados por el ataque. Los expertos aseguran que no se dispone de suficiente personal, ni equipos de respuesta  para manejar una situación como esta.

La propia Agencia de Seguridad de Infraestructura y Ciberseguridad de EE UU ha emitido un comunicado a través de su cuenta de Twitter en el que urge a “todas las organizaciones de todos los sectores a seguir las directrices” para evitar que los cibercriminales continúen explotando las vulnerabilidades del servidor Microsoft Exchange.

La respuesta China ante tales acusaciones no se ha hecho esperar y a través de su portavoz en el Ministerio de Relaciones Exteriores, Wang Wenbin, se han apresurado a desmentirlas, defendiendo que China «se opone firmemente y combate los ciberataques y el robo cibernético en todas sus formas», además de advertir que dichas atribuciones “deben basarse en pruebas y no en acusaciones infundadas «.

El “Gran Golpe”

A principios de enero se detectó una primera infracción atribuida al ciberespionaje chino, cuyo objetivo habrían sido determinados think tanks estadounidenses. Durante esta intrusión inicial los piratas informáticos habrían robado datos y credenciales vulnerando las redes internas y dejando “puertas traseras” en universidades, contratistas de defensa, bufetes de abogados y centros de investigación.

Posteriormente a finales del mes pasado, y apenas cinco días antes de que Microsoft implementase un parche de seguridad previsto para el 2 de marzo, se produjo una avalancha masiva de infiltraciones por parte de otros intrusos, que aprovecharon la brecha inicial.

Si bien el hackeo no representa, al menos inicialmente, una amenaza a la seguridad nacional como sí ocurrió durante la campaña de hackeo contra SolarWinds, más sofisticada y de la que la administración Biden hace responsables a la inteligencia rusa, puede convertirse en una amenaza recurrente para aquellas víctimas que no instalaron el parche a tiempo y que a pesar de haberlo hecho a posteriori, correrían el riesgo de que los hackers permanezcan ocultos en sus sistemas.

A pesar de que todas las miradas apuntan a China, los especialistas llaman a la prudencia y advierten que es pronto para atribuir la responsabilidad de manera fiable.