El presidente ordenó a una junta que investigara un ciberataque masivo ruso. Nunca lo hizo.
Esta historia fue publicada originalmente por ProPública.
Investigamos cómo el proveedor de software más grande del mundo maneja la seguridad de sus propios productos omnipresentes.
Después de que la inteligencia rusa lanzó uno de los ataques de ciberespionaje más devastadores de la historia contra agencias del gobierno estadounidense, la administración Biden creó una nueva junta y le encargó averiguar qué sucedió y contárselo al público.
Los piratas informáticos estatales se habían infiltrado en SolarWinds, una empresa de software estadounidense que presta servicios al gobierno de Estados Unidos y a miles de empresas estadounidenses. Los intrusos utilizaron un código malicioso y una fall a en un producto de Microsoft para robar información de la Administración Nacional de Seguridad Nuclear, los Institutos Nacionales de Salud y el Departamento del Tesoro en lo que El presidente de Microsoft, Brad Smith, llamó
El presidente emitió una orden ejecutiva que establece la Junta de Revisión de Seguridad Cibernética en mayo de 2021 y le ordenó comenzar a trabajar revisando el ataque SolarWinds.
Pero por razones que los expertos dicen siguen sin estar claras, eso nunca ocurrió.
La junta tampoco investigó a SolarWinds para su segundo informe.
En su tercer caso, la junta investigó un ataque separado de 2023, en el que piratas informáticos estatales chinos explotaron una serie de fallas de seguridad de Microsoft para acceder a las bandejas de entrada de correo electrónico de altos funcionarios federales.
Un relato público y completo de lo que ocurrió en el caso Solar Winds habría sido devastador para Microsoft. ProPublica reveló recientemente Microsoft conocía desde hacía tiempo una falla utilizada en el ataque, pero se negó a solucionarla. La inacción de la empresa tecnológica reflejó una cultura corporativa que priorizaba las ganancias sobre la seguridad y dejaba al gobierno estadounidense vulnerable, dijo un denunciante.
La junta fue creada para ayudar a abordar la grave amenaza que representan para la economía y la seguridad nacional de Estados Unidos los piratas informáticos sofisticados que penetran constantemente en los sistemas gubernamentales y corporativos y se llevan grandes cantidades de información confidencial, secretos corporativos o datos personales.
Durante décadas, la comunidad de ciberseguridad ha pedido un equivalente cibernético de la Junta Nacional de Seguridad del Transporte, la agencia independiente obligada por ley a investigar y emitir informes públicos sobre las causas y las lecciones aprendidas de cada accidente de aviación importante, entre otros incidentes. La NTSB está financiada por el Congreso y cuenta con personal especializado que trabaja fuera de la industria y de otras agencias gubernamentales. Sus audiencias públicas e informes estimulan el cambio en la industria y la acción de los reguladores como la Administración Federal de Aviación.
Hasta ahora, la Junta de Revisión de Seguridad Cibernética ha trazado un camino diferente.
La junta no es independiente, está ubicada en el Departamento de Seguridad Nacional. Rob Silvers, el presidente de la junta, es subsecretario de Seguridad Nacional. Su vicepresidente es un alto ejecutivo de seguridad de Google. La junta no tiene personal a tiempo completo, poder de citación judicial ni fondos específicos.
Silvers dijo a ProPublica que el DHS decidió que la junta no necesitaba hacer su propia revisión de SolarWinds como lo ordenó la Casa Blanca porque el ataque ya había sido “estudiado de cerca” por los sectores público y privado.
“Queremos que la junta se centre en las revisiones en las que todavía queda mucho por extraer, muchas lecciones aprendidas que se pueden extraer a través de la investigación”, dijo.
Como resultado, el gobierno no ha investigado públicamente el problema de seguridad no abordado en Microsoft que fue explotado por los piratas informáticos rusos. Ninguno de los informes de SolarWinds identificó ni entrevistó al denunciante que expuso los problemas dentro de Microsoft.
Al negarse a revisar SolarWinds, la junta no descubrió el papel central que jugó la débil cultura de seguridad de Microsoft en el ataque ni impulsó cambios que podrían haber mitigado o prevenido el hackeo chino de 2023, dijeron a ProPublica expertos en ciberseguridad y funcionarios electos.
“Es posible que el ataque más reciente se hubiera podido evitar con una supervisión real”, dijo en un comunicado el senador Ron Wyden, miembro demócrata del Comité Selecto de Inteligencia del Senado. Wyden ha pedido a la junta que revise SolarWinds y que el gobierno mejore sus defensas de ciberseguridad.
En un comunicado, un portavoz del DHS rechazó la idea de que una revisión de SolarWinds pudiera haber expuesto las fallas de Microsoft a tiempo para detener o mitigar el ataque estatal chino del verano pasado. “Los dos incidentes fueron bastante diferentes en ese sentido, y no creemos que una revisión de SolarWinds hubiera descubierto necesariamente las lagunas identificadas en el último informe de la Junta”, dijeron.
Los demás miembros de la junta se negaron a hacer comentarios, remitieron las consultas al DHS o no respondieron a ProPublica.
En declaraciones anteriores, Microsoft no cuestionó la versión del denunciante, pero enfatizó su compromiso con la seguridad. “Proteger a los clientes es siempre nuestra máxima prioridad”. Un portavoz le dijo previamente a ProPublica“Nuestro equipo de respuesta de seguridad se toma muy en serio todos los problemas de seguridad y realiza la debida diligencia en cada caso con una evaluación manual exhaustiva, además de realizar una confirmación cruzada con socios de ingeniería y seguridad”.
El fracaso de la junta a la hora de investigar a SolarWinds también subraya una pregunta que los críticos, incluido Wyden, han planteado sobre la junta desde su creación: si una junta cuya mayoría está formada por funcionarios federales puede responsabilizar a las agencias gubernamentales por su papel en la falta de prevención de ciberataques.
“Sigo profundamente preocupado por el hecho de que una de las principales razones por las que la Junta nunca investigó a SolarWinds (como le ordenó el presidente) fue porque eso habría requerido que la Junta examinara y documentara una negligencia grave por parte del gobierno de los EE. UU.”, dijo Wyden. Entre sus preocupaciones es un sistema de ciberdefensa del gobierno que no detectó el ataque de SolarWinds.
Silvers dijo que si bien la junta no investigó a SolarWinds, la Oficina de Responsabilidad del Gobierno independiente le dio un pase, que dijo en Un estudio de abril examinar la implementación de la orden ejecutiva de que la junta había cumplido con su mandato de realizar la revisión.
La determinación de la GAO desconcertó a los expertos en ciberseguridad. “Rob Silvers ha estado declarando por decreto durante mucho tiempo que la CSRB hizo su trabajo con respecto a SolarWinds, pero simplemente declarar algo como tal no lo hace cierto”, dijo Tarah Wheeler, directora ejecutiva de Red Queen Dynamics, una empresa de ciberseguridad, quien fue coautora de un informe. Informe de la Escuela Kennedy de Harvard que describe cómo debería funcionar una “NTSB cibernética”.
Silvers dijo que el primer y segundo informe de la junta, si bien no investigaron a SolarWinds, resultaron en cambios importantes en el gobierno, como Nuevas reglas de la Comisión Federal de Comunicaciones Relacionado con los teléfonos celulares.
“Los impactos tangibles del trabajo de la junta hasta la fecha hablan por sí solos y confirman la sabiduría de las decisiones que la junta ha revisado”, dijo.