La administración estadounidense ha activado un grupo de trabajo de emergencia para hacer frente a un agresivo ciberataque que ha afectado a cientos de miles de clientes de Microsoft en todo el mundo, en lo que constituye la segunda gran campaña de intrusión en Estados Unidos desde las elecciones, después de SolarWinds.
El ataque, identificado como “Hafnium” y reportado inicialmente por el investigador de seguridad Brian Krebs el 5 de marzo, permitió a intrusos acceder a las cuentas de correo electrónico de al menos 30.000 organizaciones en Estados Unidos. Estos canales de acceso remoto pueden afectar a cooperativas de crédito, ayuntamientos y pequeñas empresas, y han hecho que las autoridades estadounidenses se esfuercen por llegar a las víctimas, a las que el FBI instó el domingo a ponerse en contacto con la agencia de seguridad.
El ataque, calificado de “inusualmente agresivo” por Washington, se infiltró en las cuentas utilizando herramientas que dan a los atacantes “un control total y remoto sobre los sistemas afectados”, según informó Brian Krebs.
El sábado, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (Cisa) exhortó a todas las organizaciones que utilizan Microsoft Exchange a escanear los dispositivos en busca de vulnerabilidades. Paralelamente, la secretaria de prensa de la Casa Blanca, Jen Psaki, dijo durante el fin de semana que la brecha representa “una vulnerabilidad significativa que podría tener impactos de gran alcance”, y que es “ante todo, una amenaza activa”.
Psaki se negó a responder si algún gran organismo gubernamental estadounidense se ha visto afectado por la brecha, y aún no se han nombrado otros objetivos.
Un funcionario estadounidense no individualizado comentó a Reuters que el ataque es atribuido a un actor respaldado por el gobierno chino. Microsoft también ha atribuido el ataque a China, situación que un portavoz del gobierno chino desmintió, siempre según Reuters.
Microsoft ya ha publicado parches que aparentemente han neutralizado el problema. Un portavoz de la empresa dijo que la compañía está trabajando estrechamente con Cisa, otras agencias gubernamentales y empresas de seguridad para responder al hackeo. “La mejor protección es aplicar las actualizaciones lo antes posible en todos los sistemas afectados. Seguimos ayudando a los clientes proporcionando una investigación adicional y orientación de mitigación”, dijo. “Los clientes afectados deben ponerse en contacto con nuestros equipos de soporte para obtener ayuda y recursos adicionales”.