Así fue como Microsoft, que también resultó afectada, se refirió a la instalación de un malware que primero atacó los sistemas de SolarWinds y luego a los de sus clientes de forma silenciosa, en una cadena que terminó infectando los sistemas de empresas ubicadas en Bélgica, Canadá, México, España, Reino Unido, Israel y Emiratos Árabes; y de las cuales, al menos 400 hacen parte de la lista de Fortune 500.

Mandiant, una empresa estadounidense considerada como una de las mejores en ciberseguridad, fue la que detectó la vulnerabilidad sobre la cual se especuló en un principio que había podido ser financiada o por el gobierno chino, o por el de Rusia. La compañía hizo el reporte en diciembre de ese mismo año y, desde entonces, se ubicó en la mira de gigantes como Microsoft y de Google quienes mostraron interés en comprarla. ¿La razón? El negocio de los servicios en la nube es lucrativo para ambas empresas, ambas compiten por dominarlo y ambas saben que solo ganará la que pueda garantizar el sistema más seguro para sus clientes.

Te puede interesar: La verificación en dos pasos de Google es todo un éxito

En un acuerdo de US$5.400 millones, en donde Google pagará US$ 23 por cada acción de Mandiant, la empresa de Alphabet finalmente adquirió a la compañía de ciberseguridad. En un comunicado citado por The Verge, el CEO de Google Cloud, Thomas Kurian celebró la compra asegurando que “hoy más que nunca las organizaciones están enfrentando retos sin precedentes de seguridad online, debido a la sofisticación de los ataques; pues aunque estos antes se limitaban a vulnerar los sistemas estatales, ahora se expanden a cualquier empresa de cualquier sector”.

Los servicios de Mandiant servirán de esta forma para fortalecer la seguridad en los servicios de la nube de Google, la cual le representa al gigante un negocio de más de US$ 19 mil millones anuales.

Imágenes: Photo by Mitchell Luo on Unsplash 

Mandiant, una firma de seguridad informática, publicó un reporte en el cual asegura que el ejército chino está detrás de muchos de los ataques informáticos que han sufrido las empresas estadounidenses.

La empresa de seguridad lleva más de seis años detrás de un grupo de hackers que ellos llaman ‘Comment Crew’ ‘Shangai Group’ o ‘Advanced Persistent Threat 1 (APT1)’. “Los detalles analizados durante cientos de investigaciones nos han convencido que los grupos realizando estas actividades están ubicados en China y que el gobierno chino está enterado” de su existencia, aseguró la compañía en un reporte de 60 páginas.

“Nuestro análisis nos han llevado a concluir que APT1 probablemente cuenta con el apoyo del gobierno y y es uno de los actores más persistentes del ciberataque chino”, agregó Mandiant.

La investigación encontró que el 90% de los ataques se generaron en un barrio que tiene un edificio propiedad del ejercito chino. La unidad 61.398 está en las afueras de Shanghai, y Mandiant logró rastrear a los hackers hasta este edificio, aunque no pudo confirmar que trabajen desde allá. Sin embargo, queda difícil explicar la actividad de otra forma. “O provienen de la unidad 61.398 o la gente que maneja el internet más controlado y monitoreado del mundo está despistada y no sabe que miles de ataques se están generando de un pequeño barrio”, aseguró Kevin Mandia, CEO de Mandiant.

El New York Times tuvo acceso al reporte antes de su publicación y pudo reconfirmar las conclusiones del documento con otras compañías de seguridad y con el gobierno estadounidense. El senador republicano Mike Rogers ratificó que las conclusiones “son completamente consistentes con el tipo de actividad que el Comité de Inteligencia ha visto durante un tiempo”.

La investigación asegura que desde 2006 Mandiant ha visto como APT1 ha comprometido a 141 compañías en más de 20 industrias. Con dichos ataques, el grupo se robó cientos de terabytes de información y, lo peor de todo, es que Mandiant aseguró que no tiene un panorama completo de la actividad del grupo de piratas informáticos. Según el periódico de Nueva York, aunque el reporte no especifica cuales empresas fueron atacadas, se cree que Coca-Cola y RSA fueron algunas de las afectadas.

Mientras que Coca-Cola estaba en negociaciones para comprar el grupo Huiyuan Juice por 2.400 millones de dólares, los hackers están robando información confidencial para influir en el negocio. Cuando APT1 atacó RSA, obtuvo los códigos de los tokens, que posteriormente fueron reemplazados. Muchas empresas usan la tecnología de RSA para tener una verificación de dos pasos en sus sistemas. 

Se cree que el grupo de Shanghai se ha robado desde planos de diseños de productos hasta estrategias de negociación de varias compañías estadounidenses. No obstante, los ataques ahora están enfocados en la infraestructura del país del norte. Se teme que los atacantes informáticos puedan llegar a controlar la infraestructura –líneas de gas, electricidad y oleoductos– de Estados Unidos.

Además, APT1 usa herramientas que se han visto en otros ataques informáticos, como Getmail y Mapiget, diseñadas especialmente para robarse información de los correos electrónicos.

La cancillería de China declaró que las acusaciones “no son profesionales”. “Hacer acusaciones basadas en reportes preliminares es tanto irresponsable como no profesional y no son útiles para resolver el problema”, aseguró Hong Lei, un portavoz de la cancillería. “China se opone al hacking y ha establecido leyes relevantes y regulaciones contra los ataques online”, agregó.

Este hecho debería ponernos a todos con los pelos de punta. De seguir el camino trazado, se podría abrir un frente de ciberataques entre los dos países. La semana pasada, Obama firmó una decisión ejecutiva que permite a compañías compartir información confidencial, así como las firmas digitales de los atacantes, con las agencias de inteligencia.

Este documento parece confirmar que China tiene como política de estado al hacking a gran escala. Ojalá esto no pase de los 1 y 0 a un plano terrenal.