Alertas, protocolos y casos internacionales: cómo fue el incidente de ciberseguridad que sufrió la CMF
A inicios de mes el CSIRT había advertido sobre esta vulnerabilidad que requería parches para ser subsanada. La banca también lo tenía en el radar y había parchado sus sistemas con anterioridad. El sábado la industria se enteró oficialmente de la brecha que estaba afectando a la autoridad, por lo que se encendieron las alarmas. Fue el mismo que afectó a la Autoridad Bancaria Europea y al parlamento de Noruega.
Fue el domingo cuando la Comisión para el Mercado Financiero (CMF) informó mediante un comunicado que “el viernes 12 de marzo la institución fue afectada por un incidente de ciberseguridad provocado por vulnerabilidades en la plataforma de correo electrónico Microsoft Exchange”.
En palabras simples, lo que pretende este tipo de ataques, es que mediante esta filtración “se aprovecha de una vulnerabilidad de Microsoft Exchange, o del robo de contraseñas, para hacerse pasar por alguien que tiene acceso autorizado al sistema (cuando en realidad no lo tiene). Si logra ingresar de esa manera, el atacante puede tomar control de la cuenta de correo de manera remota y sustraer datos”, explica Carlos Landeros, director nacional CSIRT de gobierno, equipo de respuesta ante incidentes de seguridad informática dependiente del Ministerio del Interior.
De todas maneras, la CMF el mismo domingo informó que “la detección en una fase temprana ha permitido la contención del incidente de manera controlada”. Y este martes señalaron que “los análisis realizados por el área de seguridad de la información y tecnología de la CMF, junto a apoyo especializado externo, confirmaron que se trató de un incidente aislado y circunscrito a la plataforma Microsoft Exchange, sin afectación de otras plataformas o servicios de la Comisión”.
Así, advirtieron que “se encuentran disponibles y operando con normalidad los canales de comunicación con el público en general y los supervisados: Extranet, Sistema SEIL y CMF sin papel”.
La vulnerabilidad
Fue el 2 de marzo cuando Microsoft lanzó varias actualizaciones de seguridad para su software de correo electrónico Microsoft Exchange Server, luego de que detectó una brecha que había afectado desde enero a varias entidades alrededor del mundo.
De inmediato, cuando se conocieron estas actualizaciones de seguridad, los bancos de la plaza local empezaron a parchar sus sistemas, según revelan fuentes ligadas a distintas entidades.
El CSIRT advirtió sobre esta vulnerabilidad el 3 de marzo, indicando los parches que habían sido dispuestos para ello, y lo reiteró el 11 de marzo con mayor detalle.
Allí señaló que “una entidad que declaró haber sido afectada es la Autoridad Bancaria Europea, que el 8 de marzo comunicó sufrir una brecha en sus servidores producto de estas vulnerabilidades en Exchange. Asimismo, el parlamento de Noruega (llamado Storting) informó que sus servidores también fueron vulnerados y parte de su información sustraída. La institución señaló no creer que el actual ataque se relacione con uno similar que sufrieron en diciembre, y que fue atribuido al grupo con apoyo estatal ruso APT 28”.
EL CSIRT también explicó que “según investigadores de ciberseguridad, más de 30 mil entidades ya habrían sido víctimas en EEUU”. En esa investigación se detalla que se trata de “una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones víctimas”.
A nivel mundial existen sistemas que monitorean dónde podría haber vulnerabilidades, y la banca local se enteró por un sistema de este tipo que existía una brecha que podría estar afectando al regulador. Es por esto que entre el viernes por la noche y el sábado se comunicaron con la CMF, y el mismo sábado la industria encendió las alarmas luego de recibir la confirmación de la autoridad.
De esta manera, según los protocolos de contingencia que ha establecido la banca, informaron a todos los bancos y las sociedades de apoyo el giro de lo que estaba sucediendo, para que tomen las medidas correspondientes (como bloquear cierto tipo de contactos habituales con el regulador) hasta que se supiera el alcance de la vulnerabilidad. En todo caso, no pasó a mayores y ya estaría todo controlado.
El domingo la CMF informó que “una vez identificada esta vulnerabilidad, se activaron los protocolos de ciberseguridad y las medidas de contención dispuestas a mantener la continuidad de los servicios”.
El lunes el regulador actualizó la información, y señaló que “los análisis realizados por al área de seguridad de la información y tecnología de la CMF, junto a apoyo especializado externo, desestiman hasta ahora la presencia de un ransomware e indican que el incidente estaría circunscrito a la plataforma Microsoft Exchange”.
Asimismo, agregaron que “desde que fue detectada la vulnerabilidad, la CMF está en contacto con el grupo de continuidad operacional del Consejo de Estabilidad Financiera, así como con el CSIRT del Ministerio del Interior. La CMF continúa la investigación del incidente”.
¿Por qué fue atacada la CMF en particular y no otro organismo? Landeros dice que “cualquiera de las empresas o instituciones que cuentan con servidores de correos de las versiones vulnerables (Microsoft Exchange Server: Versiones desde la 2013, 2016 y 2019) podría haber sido afectada, por tanto, no existe alguna particularidad en que haya sido la CMF por sobre otra industria o empresa”.
En ese sentido, puntualiza que esto revela “la importancia de que las organizaciones realicen las mitigaciones y actualizaciones correspondientes, en base a la última actualización liberada por Microsoft”.
Comenta
Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.