La reunión, organizada por un grupo de la industria y el gobierno denominado Consejo de Coordinación del Subsector Eléctrico, es sólo un ejemplo de los efectos y alarma causados por la manipulación maliciosa del software de SolarWinds. Según algunas fuentes, los autores serían agentes de un Estado nacional aún no identificado, probablemente Rusia.
Medios estadounidenses reportan que el incidente de SolarWinds ha resultado en brechas en múltiples agencias federales de los Estados Unidos, incluyendo los departamentos del Tesoro y de Seguridad Nacional. El software afectado se utiliza ampliamente en los sectores de la electricidad, el petróleo y el gas y en la industria manufacturera. El proceso de evaluación de la exposición de algunas organizaciones al incidente no ha hecho más que empezar.
“Estamos desglosando algunos de estos conceptos para que el sector entienda cabalmente el impacto que esto tiene para ellos como propietarios y operadores de infraestructuras críticas”, dijo un funcionario estadounidense que participó en las sesiones informativas de SolarWinds para la industria eléctrica a la publicación Cyberscoop.
Robert M. Lee, director general de la empresa de ciberseguridad industrial Dragos, declaró a la publicación que muchas organizaciones que utilizan sistemas de control industrial están cayendo en la cuenta de que el software de SolarWinds está integrado en estos sistemas. “Esta brecha significa que hay numerosas organizaciones con versiones comprometidas de SolarWinds en sus redes ICS”, dijo Lee. “Que sea o no accesible para adversarios depende de las arquitecturas de esas compañías”.
Algunas empresas eléctricas utilizan el software de SolarWinds, conocido como Orion, dentro de las redes sensibles de ICS que están sujetas a normas reglamentarias, según Patrick C. Miller, un consultor de Archer Security Group con amplia experiencia en el sector eléctrico. Según Miller, las organizaciones que cumplen con las regulaciones de la red estadounidense probablemente detectarían los intentos de infiltrarse en tales sistemas de control. Recordó que, al margen de lo anterior, la vulnerabilidad parece estar en manos de un atacante altamente cualificado, lo que conviene tener presente.