Los ciberataques más importantes de la historia VI: «RSA 2011»

Uno de los ciberataques más importantes en la historia fue sin duda el ocurrido a la empresa RSA en 2011, que dejó al descubierto graves problemas de seguridad en “sistemas” que se consideraban prácticamente invulnerables en ese momento.

RSA era en ese entonces una de las empresas líderes a nivel mundial en seguridad informática, y el mundo se paralizó el día que se anunció que había sufrido un ciberataque, y que no se trataba de uno cualquiera, si no que había sido muy bien planificado y con técnicas muy sofisticadas. Este ataque ocasionó que RSA fuese altamente criticada por el ojo público, ya que el mundo se preguntaba cómo era posible que una empresa tan respetada e importante en el sector de la ciberseguridad pudiese haber sido vulnerada.

El ciberataque a RSA se originó por un ataque de phishing, donde los atacantes enviaron correos electrónicos “aparentemente legítimos” a un pequeño grupo, previamente seleccionado, de empleados de la compañía. El email incluía el asunto “2011 Recruitment Plan» y contenía un archivo excel con el mismo nombre adjunto, por lo que, ante la aparente autenticidad del correo electrónico, lograron engañarlos para que hicieran clic y así descargasen los archivos comprometidos. De hecho, se dice que incluso el correo había ido a parar a la carpeta de correo no deseado de algunos destinatarios, pero que éstos motivados por la curiosidad y el morbo, picaron.

El archivo Excel contenía una vulnerabilidad desconocida en ese momento de Adobe Flash, que permitía la ejecución de código remoto, y de esta manera, los atacantes lograron infiltrarse en la red interna de RSA.

Una vez dentro del sistema, los delincuentes se centraron en el robo de toda la información valiosa que estuviese relacionada con el sistema de autenticación “SecurID”, un mecanismo desarrollado por RSA y basado en el factor de doble autenticación, que en ese momento, era utilizado por muchas otras empresas para proteger el acceso a sus sistemas. El impacto del ciberataque tuvo un mayor alcance ya que otras empresas que confiaban y tenían contratados productos de RSA, precisamente como el “SecurID”, vieron amenazada su seguridad.

A día de hoy, no se ha confirmado quienes fueron los autores de dicho ciberataque, pero se ha apuntado hacia un grupo de ciberdelincuentes orientales que estuviesen financiados por el estado, o bien, que formasen parte de un grupo de ciberdelincuencia muy bien organizado.

El ataque logró ser contenido, y RSA lanzó comunicados diciendo que los miembros de su Computer Incident Response Team habían logrado localizar el ataque cuando se estaba produciendo, por lo que no llegó a mayores y no robaron ninguna información “relevante” para la empresa o para sus clientes. Sin embargo, los atacantes sí que lograron identificar a otros usuarios con mayor jerarquía en la empresa y que tenían un rango de admin en los sistemas, lo que hacia que tuviesen acceso a información más valiosa y hacerse con sus cuentas.

A pesar de ello, y según indicó RSA, lo único que hicieron los atacantes fue transferir archivos protegidos por contraseña desde el servidor de RSA hacia un tercero externo (aunque nunca han dicho de qué archivos se trataba), descargar la información, borrarla del servidor y quedarse con ella.

Difiriendo con la versión oficial de RSA, se sabe que uno de los objetivos finales fue la empresa Lockheed Martín, conocida por ser un contratista del Ministerio de Defensa de Estados Unidos, de los que el acceso a ciertos sistemas estaba protegido gracias a los Tokens SecurID de RSA, que gracias a las semillas y la relación de estas con los números de serie de los tokens físicos presuntamente robadas, permitieron a terceros saltarse las medidas de protección en la autenticación con un doble factor basado en el tiempo.

Una vez controlado el ataque y al ver que no había pasado a mayores, todo fue volviendo a la normalidad y Adobe emitió un parche de actualización para corregir la vulnerabilidad en Flash, sin embargo, este ciberataque sirvió como recordatorio de que incluso las empresas líderes en seguridad pueden resultar un blanco fácil a estos ataques y que no son inmunes a las amenazas cibernéticas.