Un grupo de hackers respaldado por China logró lo que muchos considerarían impensable: robar una clave de firma de correo electrónico de Microsoft, abriendo así la puerta a una serie de cuentas gubernamentales de EE. UU. Este artículo desentraña los detalles de este complejo ciberataque.
Todos sabemos que, los ciberataques se han convertido en una herramienta común para la espionaje estatal. Las potencias mundiales invierten en capacidades cibernéticas para obtener ventajas geopolíticas y económicas. El ataque reciente tipo ransomware al ayuntamiento de Sevilla es un claro ejemplo del tema.
El caso es que Microsoft sufrió hace poco un ataque serio. El grupo de hackers conocido como Storm-0558, respaldado por China, es el principal sospechoso detrás de este ataque. Su objetivo era claro: acceder a las cuentas de correo electrónico de funcionarios gubernamentales de EE. UU. para fines de espionaje.
Todo comenzó con un fallo en el sistema de firma de claves de Microsoft en abril de 2021. Este sistema, diseñado para ser altamente seguro, sufrió un colapso que generó una imagen de instantánea para su posterior análisis.
La imagen de instantánea se trasladó a un entorno de depuración conectado a Internet, lo que contradijo las medidas de seguridad habituales. Aquí, la clave de firma de correo electrónico quedó expuesta, aunque no fue detectada por los métodos de escaneo de credenciales de Microsoft.
Un ingeniero de Microsoft con acceso al entorno de depuración tuvo su cuenta comprometida. Aunque no hay pruebas concluyentes, este es el mecanismo más probable por el cual los hackers obtuvieron la clave.
Los atacantes utilizaron malware de robo de tokens para comprometer la cuenta del ingeniero. Este tipo de malware busca tokens de sesión en el equipo de la víctima, permitiendo el acceso sin necesidad de contraseña.
La clave robada permitió a los atacantes acceder a cuentas de correo electrónico tanto personales como empresariales de funcionarios gubernamentales de EE. UU., incluidos el Secretario de Comercio y el Embajador en China.
Aunque se han esclarecido algunos detalles, aún quedan preguntas sin respuesta. ¿Cómo se comprometió exactamente la cuenta del ingeniero? ¿Qué medidas se están tomando para evitar futuros ataques de este tipo?
Este incidente pone de manifiesto la complejidad y la vulnerabilidad inherentes a la ciberseguridad, incluso para gigantes tecnológicos como Microsoft. No es solo una cuestión de fortificar defensas, sino de entender las múltiples formas en que pueden ser eludidas.
Más información en TechCrunch.