PROGRESS SOFTWARE CORPORATION Pero más de dos meses después de que Progress Software, con sede en Massachusetts, revelara por primera vez la brecha, el desfile de víctimas apenas se ha ralentizado. Los recuentos muestran que casi 40 millones de personas se han visto afectadas hasta ahora por el pirateo del programa de gestión de archivos MOVEit Transfer de Progress. Ahora, los extorsionadores digitales implicados, un grupo denominado "cl0p", se han vuelto cada vez más agresivos a la hora de hacer públicos sus datos.
"Estamos justo en la fase muy, muy temprana de esto", dijo Marc Bleicher, director de tecnología de la empresa de respuesta a incidentes Surefire Cyber. "Creo que empezaremos a ver el impacto real y las consecuencias más adelante".
MOVEit es utilizado por organizaciones para enviar grandes cantidades de datos a menudo sensibles: información sobre pensiones, números de la seguridad social, historiales médicos, datos de facturación y similares. Dado que muchas de esas organizaciones manejaban datos en nombre de otras, que a su vez los obtenían de terceros, el hackeo se ha extendido hacia el exterior de formas a veces enrevesadas.
Por ejemplo, cuando cl0p subvirtió el software MOVEit utilizado por una empresa llamada Pension Benefit Information, especializada en localizar a familiares supervivientes de titulares de fondos de pensiones, accedió a los datos de la Teachers Insurance and Annuity Association of America, con sede en Nueva York, que a su vez gestiona programas de pensiones para 15.000 clientes institucionales, muchos de los cuales han pasado las últimas semanas notificando a sus empleados su exposición.
"Se ha producido un efecto dominó", afirma John Hammond, de Huntress Security, uno de los primeros investigadores en empezar a seguir la pista de la filtración.
Los ataques de grupos como cl0p se producen con una regularidad adormecedora. Pero la enorme variedad de víctimas del compromiso de MOVEit, desde estudiantes de escuelas públicas de Nueva York a conductores de Luisiana o jubilados de California, lo han convertido en uno de los ejemplos más visibles de cómo un único fallo en una oscura pieza de software puede desencadenar un desastre global de privacidad.
Christopher Budd, experto en ciberseguridad de la empresa británica Sophos, dijo que la brecha era un recordatorio de lo interdependientes que eran las organizaciones de las defensas digitales de los demás.
Progress dijo que había sido víctima de "un grupo cibercriminal avanzado y persistente" y que su atención se centraba en apoyar a sus clientes.
MILES DE EMPRESAS
La campaña de pirateo de Cl0p comenzó el 27 de mayo, según dos personas familiarizadas con la investigación de Progress.
Progress se enteró del compromiso al día siguiente, cuando un cliente alertó a la empresa de una actividad anómala, dijeron estas fuentes. El 30 de mayo, la empresa envió una advertencia, y al día siguiente emitió un "parche", o reparación, que frustró parcialmente la campaña de los piratas informáticos.
"De hecho, muchas organizaciones pudieron desplegar el parche antes de que pudiera ser explotado", afirmó Eric Goldstein, alto cargo de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos.
No todas las organizaciones tuvieron tanta suerte. Los detalles sobre la cantidad de material robado o el número de organizaciones afectadas no están disponibles públicamente, pero Nathan Little, cuya firma Tetra Defense -parte de la empresa de seguridad Arctic Wolf- ha respondido a docenas de incidentes relacionados con el MOVEit, estimó que la brecha probablemente afectó a miles de empresas.
"Puede que nunca conozcamos el número exacto detallado", dijo.
Algunos analistas han intentado llevar la cuenta. Hasta el martes, la empresa de ciberseguridad Emsisoft había contabilizado 602 víctimas con 39,7 millones de personas afectadas.
El analista informático alemán Bert Kondruss ha llegado a cifras similares, que Reuters corroboró cotejándolas con declaraciones públicas, archivos corporativos y mensajes de cl0ps.
¿QUIÉN SE HA VISTO EXPUESTO?
Las organizaciones educativas -colegios, universidades e incluso escuelas públicas de Nueva York- constituyen una cuarta parte de las víctimas, y Emsisoft y Kondruss contabilizan más de 100 sólo en Estados Unidos.
La exposición ha ido mucho más allá del mundo académico.
¿Conducir un coche? Las autoridades de vehículos a motor de Luisiana y Oregón revelaron colectivamente el compromiso de unos 9 millones de registros. ¿Se jubiló? Organizaciones de gestión de pensiones como el Sistema de Jubilación de los Empleados Públicos de California y T. Rowe Price sufrieron filtraciones a través de Pension Benefit Information. Sólo la brecha en el contratista del gobierno estadounidense Maximus resultó en el compromiso de entre 8 y 11 millones de registros de personas.
¿Un tenue resquicio de esperanza? Es posible que los piratas informáticos hayan ingerido demasiados datos como para divulgarlos todos.
Alexander Urbelis, asesor principal del bufete de abogados Crowell & Moring, con sede en Nueva York, que ha ayudado a las víctimas a calibrar su exposición a la red de arrastre de los piratas informáticos, afirmó que las velocidades de descarga extraordinariamente lentas del chirriante sitio web de la darknet de los piratas "hicieron prácticamente imposible que nadie" -bienintencionado o no- "pudiera acceder a los datos robados."
Goldstein, el funcionario estadounidense, dijo que "en muchos casos" aún no se habían filtrado los datos.
Cl0p, que no devolvió los mensajes de Reuters, parece estar intentando mejorar su juego. A finales del mes pasado creó sitios web específicamente destinados a difundir mejor los datos robados. A principios de esta semana comenzó a compartir los datos a través de redes peer-to-peer.
Eso son malas noticias para las víctimas, dijo Bleicher, de Surefire.
"Una vez que estos datos empiezan a filtrarse lentamente, aparecen más en la clandestinidad", dijo. A su vez, el impacto de la filtración "probablemente será mucho mayor de lo que pensamos ahora". (Reportaje de Raphael Satter y Zeba Siddiqui; Edición de Chris Sanders y Grant McCool)
