✨︎ Resumen (TL;DR):
- Documentos desclasificados revelan que los atacantes controlaron una cuenta de administrador del Departamento del Tesoro en 2020.
- El hackeo abrió la puerta a posibles filtraciones de todas las direcciones de correo @treasury.gov durante más de tres meses.
- La cuenta afectada estaba conectada con más de 300 cuentas adicionales de áreas críticas de inteligencia y sanciones.
El Departamento del Tesoro de los Estados Unidos enfrentó una intrusión mucho más profunda de lo reportado durante el masivo hackeo de SolarWinds. Documentos de la ley de libertad de información (FOIA) obtenidos por Bloomberg revelan que piratas informáticos rusos controlaron cuentas clave que les dieron acceso potencial a todos los correos electrónicos de la institución entre julio y octubre de 2020.
Los documentos del inspector general revelan que los atacantes tomaron el control de una cuenta de administrador global del sistema el 6 de julio de 2020. Desde esta posición, modificaron la herramienta Secure Mail, lo que abrió la posibilidad de ingresar a cualquier buzón con la terminación @treasury.gov.
Este acceso libre se mantuvo activo hasta el 12 de octubre de 2020, cuando un cambio rutinario de configuración bloqueó la cuenta de manera accidental. Aunque los reportes iniciales sugerían que el ataque solo afectó a un grupo limitado de cuentas, la realidad del caso muestra una exposición de magnitudes muy superiores.
Un acceso que superó las estimaciones iniciales
La cuenta comprometida originalmente funcionaba como un puente directo hacia más de 300 cuentas adicionales. Esto dio a los atacantes de la agencia de inteligencia rusa (SVR) privilegios para leer, escribir, editar o borrar información interna.
Las áreas afectadas manejan temas altamente confidenciales del gobierno federal. Entre los departamentos expuestos se encuentran los equipos de: * tecnología; * asuntos internacionales; * terrorismo e inteligencia financiera; * sanciones económicas.
El Tesoro de EE. UU. no solo gestiona la recaudación fiscal, sino que diseña e implementa sanciones financieras internacionales. El acceso a estos correos permitió a agentes extranjeros espiar las estrategias económicas de la potencia norteamericana en tiempo real.
La cadena de suministro como caballo de Troya
SolarWinds Orion es un software de administración que organizaciones públicas y privadas usan para gestionar redes de cómputo. En 2020, atacantes del servicio de inteligencia exterior de Rusia (SVR) contaminaron las actualizaciones oficiales de este programa con código malicioso.
La Oficina de Rendición de Cuentas del Gobierno (GAO) calificó este incidente como uno de los ciberataques más sofisticados registrados en la historia de la administración pública. Cerca de 18,000 clientes instalaron la actualización infectada, aunque los espías seleccionaron únicamente a objetivos estratégicos.
La operación afectó a nueve agencias federales y cientos de corporaciones privadas antes de ser detectada. A pesar de la evidencia técnica reunida por el FBI y la Agencia de Seguridad Nacional (NSA), Rusia niega formalmente cualquier participación en la intrusión.
Aún persisten dudas críticas sobre qué información lograron sustraer los atacantes durante esos meses de libre navegación. Los archivos desclasificados muestran que las agencias federales todavía no tienen certeza de cuáles correos específicos se extrajeron, dejando una brecha de seguridad que tardará años en dimensionarse por completo.
