Home Gobierno La ONU ocultó información sobre un ataque informático del que fue víctima,...

La ONU ocultó información sobre un ataque informático del que fue víctima, en 2019

Funcionarios de la Organización de las Naciones Unidas supuestamente descubrieron en agosto de 2019, que piratas informáticos habían comprometido sus sistemas informáticos en Ginebra y Viena, el pasado verano. Pero el ataque de espionaje cibernético, permaneció sin ser revelado hasta el último miércoles, en una exposición de The New Humanitarian (TNH).

TNH, que una vez operó bajo los auspicios de la Oficina de Coordinación de Asuntos Humanitarios de la ONU, se enteró del incidente después de obtener una alerta interna de la ONU, fechada el 20 de septiembre de 2019, que compartía ciertos detalles del pirateo. Una copia de la alerta, que fue preparada por la Oficina de las Naciones Unidas en Ginebra, fue posteriormente compartida con la Prensa Asociada.

Según se informa, el sofisticado ataque afectó a varios servidores de las principales oficinas de la ONU en Ginebra y Viena, además de la sede de la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos en Ginebra. Stéphane Dujarric, portavoz del Secretario General de la ONU, supuestamente reconoció a TNH que el hack afectó “componentes de la infraestructura central”. Según se informa, esos componentes incluían recursos humanos, impresión, antivirus, gestión de usuarios y contraseñas, controles de sistema y cortafuegos de seguridad.

La intrusión tuvo lugar a mediados de julio y fue descubierta posteriormente el 30 de agosto, pero la mayoría de los funcionarios de las instalaciones afectadas -unos 4.000 en total- no fueron informados de que sus datos podían haber sido comprometidos. Los únicos a los que se les informó fueron los equipos internos de TI y los jefes de las oficinas principales de Ginebra y Viena.

La ONU no está sujeta a regulaciones globales de privacidad como la GDPR, lo que significa que el organismo puede actuar con impunidad cuando decide no revelar una violación, dijo TNH, citando a expertos legales.

La AP informó que 42 servidores fueron confirmados como comprometidos, con otros 25 posiblemente afectados. No se ha confirmado con precisión qué datos fueron tomados o en qué cantidad, aunque un alto funcionario anónimo de TI de la ONU, que se quejó de la “cultura de encubrimiento” de su organización, supuestamente dijo a TNH que se descargaron unos 400 GB de datos.

La alerta de la ONU sugiere que pueden haberse exfiltrado documentos internos, bases de datos, correos electrónicos, información comercial y datos personales, informó TNH. Según se informa, los atacantes violaron las cuentas de administración y robaron al menos un Directorio Activo, que según el informe de las Naciones Unidas probablemente contiene una lista de datos de usuarios, recursos humanos y sistemas de seguro médico, bases de datos adicionales y recursos de red. Esa riqueza de información podría utilizarse potencialmente para facilitar futuros ataques selectivos contra el personal de las Naciones Unidas afectado, incluso como correos electrónicos de suplantación de identidad (phishing).

En una sesión informativa para la prensa, Dujarric minimizó el impacto de la brecha. Al preguntársele por qué las Naciones Unidas no revelaron públicamente un ataque contra computadoras que contenían datos confidenciales sobre organizaciones humanitarias y de derechos humanos, organizaciones asociadas y organismos de ayuda, el portavoz respondió: “El servidor de Ginebra al que usted se refiere formaba parte de un entorno de desarrollo y contenía datos de prueba no confidenciales de dos servidores de desarrollo utilizados para aplicaciones web”.  Se notificó a las personas que necesitaban ser notificadas”.

Antes, TNH dijo que Dujarric dijo a la publicación que las oficinas de la ONU optaron por no revelar la violación, “ya que no se pudo determinar la naturaleza y el alcance exactos del incidente”.

“…La ONU no es diferente de cualquier organización o individuo. La amenaza de futuros ataques continúa, y la ONU… nuestros colegas en la Secretaría detectan y responden a múltiples ataques con varios niveles de sofisticación diariamente”, dijo Dujarric durante la sesión informativa para la prensa. “Este ataque en particular… no es un acontecimiento histórico, continuó, señalando que “los intentos de atacar la infraestructura de TI de las Naciones Unidas suceden a menudo”.

En un comunicado, la Oficina de Derechos Humanos de Ginebra reconoció que su Directorio Activo fue robado, pero dijo que los datos sensibles no se vieron afectados porque los piratas informáticos irrumpieron en servidores de desarrollo no conectados a sus sistemas regulares.

“Aunque los piratas informáticos accedieron a una parte autónoma de nuestro sistema en julio de 2019, los servidores de desarrollo a los que accedieron no contenían ningún dato sensible o información confidencial”, decía la declaración. “Los hackers consiguieron acceder a nuestro Directorio Activo de Usuarios, que contiene las identificaciones de usuario de nuestro personal y dispositivos. Sin embargo, no lograron acceder a las contraseñas. Tampoco lograron acceder a otras partes del sistema”.

“Una vez que nos dimos cuenta del ataque, tomamos medidas para cerrar los servidores de desarrollo afectados”, continuó la declaración.

El atacante sigue siendo desconocido, pero Dujarric señaló en su informe que el incidente fue, “según todos los indicios, un ataque con buenos recursos”.

“La noticia de que la ONU fue víctima de una amenaza persistente avanzada (APT), probablemente patrocinada por el estado, con fines de espionaje, no es tan sorprendente”, dijo Rui Lopes, director de ingeniería y soporte técnico de Panda Security. La ONU mantiene datos críticos a escala mundial que múltiples estados y organizaciones quisieran tener en sus manos, y este nivel de sofisticación es indicativo de ese propósito. Lo que puede resultar sorprendente es que la estrategia de seguridad informática de la ONU probablemente no incluya una fuerte postura de protección de puntos finales, incluyendo la supervisión y control de acceso a los datos, así como la caza de amenazas, permitiendo así a los malos actores exfiltrar cantidades incalculables de datos”.

Hank Thomas, CTO y director de la junta de SCVX, especuló sobre el motivo del atacante: “Tanto Viena como la ONU son bien conocidas por ser frecuentes lugares de paso para los servicios de inteligencia y seguridad del mundo. El objetivo… sugiere que el perpetrador es un régimen autocrático que busca ver qué tipo de informe de calificaciones está recibiendo de la ONU, con la mirada puesta en cómo cambiar sus malas notas de cara al futuro”, dijo Thomas a SC Media. “Asumo que quienquiera que esté detrás de esto está buscando identificar a los principales interesados y reclutarlos para que cada vez más pasen por alto su mal comportamiento y aprendan sobre las fuentes que la ONU está utilizando para reunir información sobre sus abusos de derechos humanos dentro de sus países”.

Según AP, el informe de la ONU dice que los atacantes explotaron una falla en el software SharePoint de Microsoft para entregar un malware desconocido. “Durante años, estos ataques a la vulnerabilidad de las aplicaciones han interrumpido con éxito las operaciones y han filtrado información sensible”, dijo Craig Hinkley, director general de WhiteHat Security, en comentarios por correo electrónico.

El investigador de seguridad Matt Suiche, fundador de Comae Technologies, supuestamente revisó el informe y dijo a la AP que los atacantes podrían haber entrado a través de un rastreador anticorrupción de la Oficina de Drogas y Crimen de las Naciones Unidas.

Según se informa, Dujarric dijo a TNH que la ONU en diciembre de 2019 acordó un “plan integral de contención, mitigación y recuperación” que requeriría la reconstrucción de la infraestructura informática, el reemplazo de llaves y credenciales y la adición de más controles técnicos y de procedimiento.

Con información de: RedUSERS.