En 1972, Edward Norton Lorenz, matemático y meteorólogo, presentó al mundo el efecto mariposa, con el que nació la famosa teoría del caos. El efecto mariposa, se basa en la idea de que el mundo actual está tan interconectado que un pequeño acontecimiento puntual puede tener un gran impacto en un sistema más grande y complejo. Esto lo ilustró con el ejemplo metafórico del aleteo de una mariposa que puede provocar un tornado en otro lugar del planeta. Esta idea se utiliza a menudo para explicar cómo sucesos aparentemente insignificantes en la vida de una persona, pueden tener consecuencias transformadoras.

El efecto dominó de MOVEit

A finales de mayo de 2023, el mundo fue testigo del caos que puede generar la mera utilización de una sencilla aplicación de software de transferencia de archivos llamada MOVEit. MOVEit es una aplicación de software de transferencia gestionada de archivos (MFT) que ofrece a las organizaciones una manera automatizada y segura de transferir datos confidenciales entre socios, clientes, usuarios y sistemas. Un grupo de ransomware ruso se aprovechó de la vulnerabilidad descubierta en esta aplicación, que la mayoría del mundo desconocía, para empezar a llevar a cabo ataques a la cadena de suministro en todo el mundo digital interconectado. El efecto dominó de este suceso similar al efecto mariposa, derribó algunas fichas de dominó de gran tamaño, como las de Shell Oil, Proctor & Gamble, Siemens, Hitachi, British Airways, la BBC, el Departamento de Educación de Nueva York y el Departamento de Energía de Estados Unidos, lo que demuestra que cuanto más grandes son, más fuerte pueden caer.

Para algunos, es probable que el incidente del exploit MOVEit les recordara al infame ataque de SolarWinds que se dio a conocer en diciembre de 2020. En el incidente de SolarWinds, los atacantes lograron infiltrarse en el sistema de actualización de software de SolarWinds para inyectar código malicioso en su suite de software Orion. El código fue entonces enviado inadvertidamente a aproximadamente 18.000 clientes, estableciendo una puerta trasera en esas organizaciones que permitió a los atacantes conseguir acceso de nivel administrativo. Dada la amplia clientela y la relevancia de SolarWinds, las enormes repercusiones de un ataque de este tipo son evidentes. Pero, aunque MOVEit es popular dentro de su nicho de mercado, darse cuenta de que una vulnerabilidad en una herramienta tan especializada en la transferencia de archivos puede causar tales estragos es muy duro para muchos.

Qué había detrás del ataque a MOVEit

El incidente MOVEit se recordará como uno de los más devastadores ataques de día cero, cuyas repercusiones se dejaron sentir en todo el mundo durante casi tres meses, afectando a más de 1.000 organizaciones y a 60 millones de particulares. La vulnerabilidad salió a la luz el 1 de junio, lo que llevó a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) a aconsejar a todos los clientes de MOVEit que comprobaran si había indicios de acceso no autorizado e instalaran el parche de software publicado por el fabricante del programa, Ipswitch, Inc, para solucionar el problema. Por desgracia, esa advertencia llegó demasiado tarde, ya que el grupo ruso de ransomware CLOP llevaba aprovechando la vulnerabilidad desde el 27 de mayo. Conocida ahora como CVE-2023-3462, esta vulnerabilidad de inyección SQL permitía a los ciberdelincuentes insertar un shell web en MOVEit, facilitando la extracción no autorizada de datos de sus bases de datos de transferencias. CLOP comenzó a exigir el pago a grandes empresas e instituciones gubernamentales bajo la amenaza de hacer públicos los datos comprometidos que les habían robado.

La magnitud de los ataques a la cadena de suministro

El incidente de MOVEit subraya los inmensos desafíos de ciberseguridad a los que se enfrentan las organizaciones hoy en día. Mientras que los atacantes sólo necesitan encontrar un único punto débil, los responsables de la defensa tienen la monumental tarea de proteger todos los eslabones de la cadena. Esta situación desafía la creencia tradicional sobre estrategia militar según la cual el que defiende tiene ventaja, ya que una fuerza atacante necesita una ventaja local de al menos 3 a 1 en potencia de combate para romper el frente de un equipo defensor en un punto concreto. Como ponen de manifiesto los recientes acontecimientos, cada vez está más claro que las empresas necesitan aumentar su resistencia a los ataques utilizando múltiples herramientas y recursos, como el marco MITRE o los centros de operaciones de seguridad de terceros, para mejorar su resistencia frente a dichos ataques mediante una estrategia más proactiva.

Tomar el control de la seguridad

Aunque el ataque MOVEit afectó a un gran número de organizaciones, el impacto no fue igual en todas ellas. Las organizaciones que contaban con las herramientas, el personal y los procesos adecuados antes del ataque salieron mejor paradas que las que no lo tenían. Es más, se está investigando y estudiando la exposición al ataque para saber cómo prevenir ataques similares la próxima vez, y esa próxima vez podría ocurrir en cuestión de días, ya que ahora mismo se ha identificado otra vulnerabilidad aprovechable en otra aplicación de transferencia de archivos.

Tomar el control de su propia seguridad implica no depender únicamente de los proveedores de software. Las organizaciones deben investigar debidamente a sus proveedores antes de establecer acuerdos o asociaciones. Esto significa no ser tímido a la hora de preguntar sobre su perfil de seguridad o solicitar pruebas de sus esfuerzos en materia de ciberseguridad, como auditorías de seguridad recientes o pruebas de penetración, si procede.

Un enfoque resiliente multicapa

Proteger cada eslabón de la cadena es todo un desafío, y asumir una invulnerabilidad total es sencillamente poco realista. Los datos deben protegerse antes y después de una brecha de seguridad. Eso significa tener una estrategia de seguridad multicapa para defenderse de los ataques y una estrategia de recuperación para proteger sus datos después de un ciberataque. Para ello es necesario aumentar la capacidad de recuperación de su empresa, de modo que pueda recuperarse lo antes posible.  Ese proceso de recuperación incluye una investigación exhaustiva del alcance de un incidente de intrusión para determinar qué funcionó, qué sistemas se vieron comprometidos, en su caso, y cómo minimizar los daños. Un proceso tan exhaustivo exige una experiencia de la que muchas empresas carecen internamente, lo que lleva a muchas a recurrir a Centros de Operaciones de Seguridad (SOC) gestionados por terceros para dirigir los esfuerzos de detección, mitigación y recuperación.

Conclusión

Al igual que un capitán de barco que navega por aguas impredecibles, adaptándose continuamente a la variación de los vientos y las mareas, los profesionales de la ciberseguridad deben enfrentarse a un panorama de amenazas en constante evolución. Cuando se soluciona una vulnerabilidad, aparece otra poco después. Con cada amenaza neutralizada, los adversarios inventan nuevas tácticas. Es un juego sin fin y, como siempre hay algo nuevo que aprender, hay que estar siempre a la última. La pregunta es si su organización estará preparada para el próximo incidente.