La administración federal no presta mucha atención a la ciberseguridad de sus proveedores. El caso más reciente de la empresa Concevis demuestra que las cosas no cambiarán tan rápidamente.
La seguridad de la administración federal también depende de sus empresas proveedoras, y existen deficiencias.
La seguridad informática de la administración federal es irregular. La seguridad de los proveedores ha resultado ser una debilidad importante en los últimos meses. En verano se produjeron ciberataques criminales a la empresa de TI Xplain y un estudio de arquitectura bernés conocido. En ambos casos, los atacantes robaron información relevante para la seguridad.
Obviamente, el gobierno federal todavía no ha aprendido nada de estos ataques de los llamados grupos de ransomware, o aún no ha tomado medidas suficientes. La semana pasada, el Centro Nacional de Ciberseguridad (NCSC) anunció otro caso: el La empresa de software Concevis se anunció a principios de este mes. Víctima de un ataque de ransomware en el que probablemente se robaron datos del gobierno federal, de los cantones y de empresas privadas.
Ni la empresa ni el NCSC revelan cómo los atacantes pudieron entrar en los sistemas de Concevis. Pero está claro que el ataque cifró prácticamente toda la red informática de la empresa y la dejó inutilizable. El cifrado completo significa que las medidas de seguridad eran bastante débiles y el ataque se detectó relativamente tarde. Esto no refleja bien la seguridad informática de Concevis.
No se ha realizado ningún control de seguridad durante años.
Pero no es sólo la propia empresa la responsable. El gobierno federal también ha descuidado su capacidad de supervisión. En los contratos con sus proveedores, la administración federal prevé el llamado derecho de auditoría: el gobierno federal puede comprobar la seguridad informática de la empresa externa o hacer que la controlen externamente.
En el caso de Concevis esto no sucedió. «El gobierno federal aún no ha realizado ningún control de seguridad ni auditoría en la empresa Concevis», escribe el NCSC a petición del interesado. Y esto a pesar de que la empresa de software trabaja para el gobierno federal desde al menos 2011. Aquellas agencias federales que compren productos Concevis serían responsables de dicha inspección. Se trata, por ejemplo, de la Administración Federal de Impuestos o de la Oficina Federal de Estadística.
Al parecer, la propia empresa no realizó ningún control de seguridad externo. Concevis respondió evasivamente a la pregunta del NZZ al respecto. En primer lugar, se dice que continuamente se han “implementado” nuevas medidas técnicas y organizativas para garantizar la ciberseguridad. Cuando se le preguntó por primera vez, Concevis se refiere al gobierno federal. Cuando se le preguntó por segunda vez, la empresa escribió que no respondería «preguntas detalladas que conciernen a nuestra infraestructura de TI». Esta comunicación no deja confianza en la seguridad informática.
Al fin y al cabo, la empresa Concevis parece conocer relativamente bien los datos externos que se almacenan en sus propios servidores. Al menos en comparación con la empresa Xplain, según la administración federal, Concevis pudo informar con relativa rapidez sobre qué datos podrían haber robado los delincuentes.
Sin embargo, la información del NCSC sobre la filtración de datos también plantea dudas. El comunicado de prensa habla de “datos operativos más antiguos” que presumiblemente los delincuentes copiaron. Sin embargo, estos datos ya no deberían estar en los servidores de la empresa de TI, especialmente si son más antiguos.
Encontrar a los atacantes es complejo
Los delincuentes amenazaron con publicar los datos en la web oscura. Este es un procedimiento común utilizado por los grupos de ransomware, que también intentan chantajear a la víctima. En junio, por ejemplo, el grupo Play publicó los datos del proveedor de TI Xplain después de que no se hubiera pagado ningún rescate.
En el caso de Concevis, sin embargo, inicialmente hubo indicios de que detrás del ataque podría estar un grupo que vende datos capturados directamente en la Darknet, sin siquiera hacerlos públicos. Las autoridades nunca sabrían entonces exactamente qué información se filtró. Las autoridades ahora creen que existe un grupo que hace públicos los datos robados. No hay información oficial sobre qué grupo de ransomware está detrás del ataque. La fiscalía responsable de Basilea-Ciudad no proporciona ninguna información al respecto.
Según información del NZZ, el ransomware que utilizaron los delincuentes para cifrar los sistemas informáticos de Concevis es Phobos. Este es un malware utilizado por varios grupos, como muestra un nuevo análisis de Cisco Talos. Esto puede haber contribuido a la confusión sobre qué grupo criminal estaba realmente detrás del ataque.
El grupo más conocido que actualmente utiliza Phobos es 8base. Esta banda criminal ha estado extremadamente activa en todo el mundo desde este verano. Sin embargo, los ataques de 8base siguen siendo raros en Suiza. El grupo también gestiona el llamado sitio de filtraciones, un sitio web en la web oscura en el que los delincuentes publican los datos de las víctimas. En el pasado, 8base había mencionado su propio nombre en la nota de rescate, lo que aparentemente no fue el caso de Concevis. Por lo tanto, no está claro si 8base está detrás del ataque a Concevis.
Tras el ataque a Xplain, el Consejo Federal convocó un equipo de crisis para abordar la cuestión. Sin embargo, todavía no ha ordenado ninguna medida importante. El gobierno federal sólo ha emitido una advertencia por escrito a los proveedores de TI para que cumplan con los requisitos de seguridad. También se está llevando a cabo una revisión de los contratos. Hasta el próximo año no estarán disponibles otras medidas, como un control efectivo de la seguridad informática. Hasta entonces, la seguridad de la administración federal sigue siendo insuficiente.