El ciberataque que comprometió decenas de miles de servidores Microsoft Exchange en todo el mundo en marzo fue uno de los incidentes de seguridad más importantes del año. Los piratas informáticos, que se cree que están vinculados al gobierno chino, explotaron cuatro vulnerabilidades previamente desconocidas en el popular software de correo electrónico para obtener acceso a datos confidenciales e instalar malware en los sistemas afectados.
Si bien Microsoft lanzó rápidamente parches para corregir las fallas, muchas organizaciones tardaron en aplicarlos o no eran conscientes de la urgencia. Como resultado, los atacantes tuvieron una oportunidad de comprometer tantos servidores como pudieron antes de ser detectados. Según algunas estimaciones, más de 60.000 organizaciones sólo en Estados Unidos se vieron afectadas por la infracción, incluidas pequeñas empresas, gobiernos locales, escuelas y organizaciones sin fines de lucro.
El impacto de la violación aún se está revelando, mientras los investigadores de seguridad y las agencias policiales intentan evaluar el alcance del daño e identificar a las víctimas. Es posible que algunos de los servidores comprometidos todavía alberguen shells web maliciosos que permiten a los piratas informáticos mantener el acceso remoto y ejecutar comandos. Además, los datos robados pueden utilizarse para otros ataques, como phishing, robo de identidad o espionaje.
La violación también plantea dudas sobre la seguridad y confiabilidad de los servicios basados en la nube, especialmente los proporcionados por Microsoft, que domina el mercado de software empresarial.
Si bien Microsoft ha afirmado que su versión de Exchange basada en la nube no se vio afectada por el ataque, algunos expertos han argumentado que la compleja e interconectada infraestructura de la nube de la compañía puede plantear riesgos y vulnerabilidades ocultos que no se comprenden ni se divulgan bien.
Por ejemplo, algunos investigadores han sugerido que los piratas informáticos pueden haber utilizado una técnica llamada “compromiso entre nubes” para aprovechar su acceso a los servidores Exchange y obtener acceso a otros servicios en la nube de Microsoft, como Azure u Office 365. Esto podría exponer potencialmente más datos y sistemas a los atacantes, además de dificultar la detección y eliminación de su presencia.
Otra preocupación es que Microsoft haya estado al tanto de las vulnerabilidades en Exchange durante meses antes de revelarlas públicamente y lanzar parches. Según un informe de The Wall Street Journal, Microsoft fue notificada de las fallas por una compañía de seguridad taiwanesa llamada Devcore en enero, pero no actuó al respecto hasta marzo, cuando se enteró de que estaban siendo explotadas activamente por piratas informáticos.
Este retraso puede haber dado a los atacantes más tiempo para preparar y lanzar su campaña, además de haber aumentado las posibilidades de que otros actores de amenazas descubrieran y explotaran las mismas vulnerabilidades. También plantea dudas sobre la política de divulgación de vulnerabilidades de Microsoft y su responsabilidad de informar y proteger a sus clientes.
La violación de los servidores de Microsoft Exchange es un recordatorio de que los servicios basados en la nube no son inmunes a los ataques cibernéticos y que las organizaciones deben tomar medidas proactivas para proteger sus datos y sistemas.
Esto incluye aplicar parches rápidamente, monitorear la actividad de la red, implementar copias de seguridad y planes de recuperación y educar a los usuarios sobre la higiene cibernética. También significa exigir más transparencia y responsabilidad a los proveedores de nube, como Microsoft, sobre sus prácticas y políticas de seguridad.
Si está interesado en los últimos avances en derechos civiles, ciberseguridad y vigilancia, quizás desee leer esta publicación de blog. Cubre tres historias importantes que han surgido recientemente y explica por qué son importantes para nuestra sociedad.
La primera historia trata sobre un acuerdo histórico de una demanda colectiva contra el Departamento de Policía de Nueva York (NYPD) por su trato violento e ilegal a los manifestantes en 2020. El NYPD fue acusado de usar fuerza excesiva, realizar arrestos falsos y violar la ley constitucional. derechos de miles de personas que salieron a las calles tras el asesinato de George Floyd a manos de un policía de Minneapolis. La demanda estuvo respaldada por una poderosa herramienta que analizó cantidades masivas de evidencia en video de diversas fuentes, como cámaras corporales de la policía, helicópteros y redes sociales.
La herramienta, creada por SITU Research, una agencia de diseño que se especializa en cuestiones de libertades civiles, pudo identificar patrones y tendencias en el comportamiento policial y proporcionar pruebas concretas de los abusos sistémicos. El acuerdo, que asciende a más de 13 millones de dólares para 1.380 demandantes, es uno de los mayores en la historia de Estados Unidos para un caso relacionado con protestas.
La segunda historia trata sobre un nuevo artículo de investigación que expone las alarmantes vulnerabilidades de los satélites en órbita. El artículo, escrito por investigadores de la Universidad de Bochum en Alemania, revela que tres modelos de satélites diferentes tienen múltiples fallas críticas que podrían permitir a los piratas informáticos tomar el control de ellos, interrumpir sus operaciones o incluso estrellarlos contra otros satélites o la Tierra.
Los investigadores probaron los satélites utilizando información y herramientas disponibles públicamente y descubrieron que carecían de medidas de seguridad básicas como cifrado, autenticación y controles de integridad. El documento destaca la urgente necesidad de mejorar la ciberseguridad de los satélites, que son esenciales para muchos aspectos de nuestra vida moderna, como las comunicaciones, la navegación, la previsión meteorológica y la inteligencia militar.
La tercera historia trata sobre un proyecto de ley bipartidista que tiene como objetivo impedir que las agencias de inteligencia y las fuerzas del orden estadounidenses compren datos personales de estadounidenses a intermediarios externos sin una orden judicial. El proyecto de ley, llamado Ley de la Cuarta Enmienda No Está a la Venta, fue presentado por los senadores Ron Wyden y Rand Paul, conocidos por su fuerte oposición a la extralimitación de la vigilancia.
El proyecto de ley cerraría una laguna que permite a las agencias federales eludir las protecciones de la Cuarta Enmienda comprando datos de empresas que los recopilan de diversas fuentes, como aplicaciones, sitios web o dispositivos. El proyecto de ley también prohibiría a las agencias comprar datos obtenidos ilegalmente o sin el consentimiento de gobiernos extranjeros o piratas informáticos. El proyecto de ley ha obtenido el apoyo tanto de demócratas como de republicanos, así como de grupos de libertades civiles y empresas de tecnología.
