Hackers chinos violan sistemas del Tesoro de EE.UU. en alarmante incidente de ciberseguridad
El Departamento del Tesoro de Estados Unidos confirmó que piratas informáticos chinos accedieron de forma remota a estaciones de trabajo departamentales y a documentos no clasificados en lo que los funcionarios califican de “incidente de ciberseguridad importante”. La violación se produjo después de que los piratas informáticos comprometieran un servicio basado en la nube operado por BeyondTrust, una empresa especializada en la gestión de acceso privilegiado.
Si bien los funcionarios del Tesoro reconocieron la gravedad del incidente, los detalles críticos siguen sin estar claros. El departamento no ha revelado la cantidad de estaciones de trabajo afectadas ni la naturaleza de los documentos a los que se tuvo acceso.
Tabla de contenido
Violación de seguridad vinculada a amenaza persistente avanzada vinculada a China
El ataque, atribuido a un grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado chino, se produjo después de que los piratas informáticos explotaran una clave API robada utilizada por BeyondTrust. Según Aditi Hardikar, subsecretaria de Gestión del Departamento del Tesoro, BeyondTrust notificó al Tesoro el 8 de diciembre sobre una actividad sospechosa vinculada a su servicio de soporte técnico basado en la nube.
“Con acceso a la clave robada, el actor de amenazas pudo anular la seguridad del servicio, acceder de forma remota a las estaciones de trabajo de los usuarios de las Oficinas Departamentales del Tesoro (DO) y recuperar documentos no clasificados mantenidos por esos usuarios”, explicó Hardikar en una carta a los legisladores.
Si bien los sistemas no clasificados generalmente son menos sensibles que las redes clasificadas, su vulneración aún puede representar un riesgo significativo, exponiendo potencialmente las operaciones del gobierno o posibilitando más ataques.
Respuesta coordinada en marcha
El Tesoro ha contratado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), al FBI, a la Comunidad de Inteligencia y a investigadores forenses privados para analizar la vulneración y evaluar su impacto. Según Hardikar, estas agencias están colaborando para garantizar que el incidente se contenga y para reforzar las defensas contra futuras amenazas.
La rápida respuesta de CISA, junto con la decisión del Tesoro de desconectar inmediatamente el servicio comprometido, no ha revelado hasta el momento señales de que los piratas informáticos aún tengan acceso a los sistemas departamentales.
Vulnerabilidad de BeyondTrust explotada
BeyondTrust, el proveedor que se encuentra en el centro del incidente, publicó recientemente parches para una vulnerabilidad crítica (CVE-2024-12356) en sus productos Privileged Remote Access (PRA) y Remote Support (RS). El 5 de diciembre, la empresa descubrió que una clave API para su SaaS Remote Support había sido comprometida, lo que desencadenó el cierre inmediato de las instancias afectadas y la notificación a los clientes afectados.
Contexto: Una ola más amplia de ciberespionaje chino
Este ataque al Tesoro se produce en medio de crecientes preocupaciones sobre una campaña de ciberespionaje china más amplia, apodada " Salt Typhoon ". Según se informa, esa campaña otorgó a Beijing acceso a comunicaciones sensibles, incluidos mensajes de texto y conversaciones telefónicas, que involucraban a ciudadanos estadounidenses.
A fines de diciembre, funcionarios estadounidenses confirmaron que nueve empresas de telecomunicaciones habían sido atacadas por Salt Typhoon. La violación de datos del Tesoro, aunque aparentemente no está relacionada, pone de relieve el alcance y la sofisticación de las operaciones cibernéticas patrocinadas por el Estado chino dirigidas a la infraestructura y los sistemas gubernamentales estadounidenses.
Puntos clave
Este incidente es un duro recordatorio de las vulnerabilidades críticas que plantean las dependencias de software de terceros. Los servicios basados en la nube, que suelen considerarse prácticos y seguros, pueden convertirse en una puerta de entrada para los atacantes si se los explota.
Las organizaciones, tanto gubernamentales como privadas, deben permanecer alertas, garantizar protocolos de seguridad sólidos, parches periódicos y planes integrales de respuesta a incidentes. La rápida intervención de las agencias de ciberseguridad por parte del gobierno de Estados Unidos subraya la importancia de una respuesta coordinada a las amenazas cibernéticas.
A medida que avanza la investigación, una cosa queda clara: los riesgos en materia de ciberseguridad son mayores que nunca en una era de crecientes tensiones geopolíticas y ciberataques cada vez más sofisticados.