icon

Ciberataque exitoso para obtener datos de gobierno

La empresa cibernética estadounidense FireEye dice que fue perforada por piratas informáticos y el ataque comprometió sus herramientas de software utilizadas para probar las defensas de sus miles de clientes. El ataque apuntó a buscar información sobre clientes gubernamentales.

Kevin Mandia, director ejecutivo de FireEye, cuando fue portada de Fortune: "el CEO que atrapó a los hackers chinos in fraganti". Ahora, llegó la contracara. Debido a que sus clientes les confían un nivel de acceso a la red, las empresas de ciberseguridad son un objetivo atractivo para los piratas informáticos que, a su vez, pueden aprovechar su acceso para entrar en sistemas que pertenecen a los clientes.

FireEye es una empresa de ciberseguridad con sede en Milpitas, California, USA; que ha participado en la detección y prevención de grandes ciberataques. USAToday informó cierta vez que FireEye "ha sido llamado para investigar ataques de alto perfil contra Target, JP Morgan Chase, Sony Pictures, Anthem y otros". 

Fundada en 2004 por Ashar Aziz, ex ingeniero de Sun Microsystems, recibió inversiones de Sequoia Capital, Norwest Venture Partners, DAG Ventures... aún cuando su primer producto se desarrolló y comercializó en 2010.

En diciembre de 2012, llegó el ex CEO de McAfee, David DeWalt, para salir a Bolsa en 2013, y desde 2014 realiza una intensa compra de activos: Mandiant, iSIGHT Partners, Invotas... de todos modos hasta 2016 casi no fue rentable.

FireEye Inc. informó ahora que fue pirateada: un ataque de un gobierno extranjero altamente sofisticado que comprometió sus herramientas de software utilizadas para probar las defensas de sus miles de clientes.

Rusia

La compañía dijo que el atacante también accedió a algunos sistemas internos y principalmente buscó información sobre clientes gubernamentales, aunque los datos que pertenecen a sus clientes no fueron comprometidos.

FireEye se negó a comentar sobre el origen de la violación de sus herramientas de piratería, que según los expertos podrían aprovecharse en futuros ataques contra su base de clientes, que incluye a agencias y empresas de seguridad nacional de USA y otros países.

Según The Wall Street Journal, una persona familiarizada con el asunto dijo que Rusia es considerada como el responsable más probable, pero la investigación continúa. 

Se cree que el servicio de inteligencia exterior de Moscú, conocido como SVR y 1 de los 2 grupos rusos que piratearon el Comité Nacional Demócrata antes de las elecciones presidenciales de 2016, es el responsable, dijo la persona. 

"Llegué a la conclusión de que estamos presenciando un ataque de una nación con capacidades ofensivas de primer nivel", dijo Kevin Mandia, director ejecutivo de FireEye y ex oficial de la Fuerza Aérea, en un blog. 

El ataque

FireEye ayudó a empresas a responder a algunos de los ataques más graves registrados, como el de 2014 a Sony Pictures por Corea del Norte.

FireEye ha sido vista como una industria pionera en detectar y responder a ciberataques llevados a cabo por gobiernos extranjeros, como China e Irán.

Ante el ataque, dijo que trabaja con la Oficina Federal de Investigaciones (FBI) y empresas como Microsoft. Corp. , en una investigación del incidente.

Matt Gorham, subdirector de la división cibernética del FBI, confirmó el ataque de alto nivel operativo.

Personas familiarizadas con la investigación dijeron que los piratas informáticos fueron disciplinados y utilizaron una combinación poco común de herramientas de ataque, algunas de las cuales aparentemente no se habían utilizado anteriormente en ningún ataque conocido contra otras víctimas. Demostración que estaban específicamente dedicadas a FireEye. 

También se describió que los piratas informáticos tomaron medidas avanzadas para ocultar su actividad e identidad.

Vulnerabilidades

Mandia escribió que los investigadores no estaban seguros de qué pretendían hacer los piratas informáticos investigando las "herramientas del equipo rojo" de FireEye: las que utilizan las empresas de ciberseguridad para investigar las defensas de sus clientes e identificar posibles vulnerabilidades que pueden ser atacadas. 

FireEye dijo que se habían tomado más de 300 contramedidas para proteger a los clientes y a la comunidad de Internet en general y que hasta el momento no había evidencia de que ninguna de las herramientas robadas del Equipo Rojo se hubiera utilizado con fines maliciosos, una conclusión que el Departamento de Seguridad Nacional apoyó en un documento por separado.

Todavía se desconoce cuándo se produjo la violación o cuándo se alertó a FireEye.

Dmitri Alperovitch, un experto en ciberseguridad que recibió información sobre los detalles de lo sucedido, dijo que otras empresas de seguridad, como RSA y Kaspersky Lab, habían sido comprometidas en el pasado por piratas informáticos gubernamentales.

"Hacen esto para obtener información que pueda ayudarlos a vencer las contramedidas de seguridad y permitir la piratería de organizaciones en todo el mundo", dijo Alperovitch, cofundador de Silverado Policy Accelerator y ex ejecutivo de CrowdStrike, competidora de FireEye. 

"Cualquiera que vaya tras las principales empresas de ciberseguridad a medida que tengan capacidades de inteligencia de amenazas y respuesta a incidentes tiene que ser extremadamente confiado y también un poco imprudente al mismo tiempo", dijo Thomas Rid, profesor de estudios estratégicos en la Universidad Johns Hopkins. "Porque las posibilidades de que los atrapen son altas".

Pero hay algunas razones por las que FireEye sería un objetivo atractivo. Una agencia de inteligencia podría "solo querer saber lo que saben para mantenerse sigilosos", dijo Rid.

Otro posible motivo: venganza. Las operaciones de inteligencia rusas se han documentado y expuesto en varios informes de FireEye a lo largo de los años, lo que ha sido vergonzoso para los rusos. "No descartaría esto como una forma de represalia", dijo Rid. "Venden seguridad, por lo que si se vulneran es una óptica muy mala".