Los ataques informáticos cada vez son más especializados y peligrosos. Todos los que tenemos contacto con el mundo digital estamos expuestos a amenazas . El problema es que los riesgos también están aumentando cuando se trata de grandes empresas y gobiernos. Como ejemplo, hace poco te contamos de un hackeo que tuvo como fin modificar la fórmula del agua que abastece una ciudad de Estados Unidos . Es por ello que las autoridades cada vez están tomando más medidas y ahora el FBI está intentando detener la propagación de un virus .
De acuerdo con el medio TechCrunch, un tribunal de Houston autorizó una operación del Buró Federal de Investigaciones (FBI) para "copiar y eliminar" puertas traseras de cientos de servidores de correo electrónico de Microsoft Exchange en Estados Unidos, meses después de que los piratas informáticos utilizaran cuatro vulnerabilidades para atacar miles de redes.
Para entender de qué se trata esta operación hay que señalar que, en marzo, Microsoft descubrió un nuevo grupo de piratas informáticos, denominado Hafnium , que afirmó estaban patrocinados por el gobierno de China, que estaban dirigiendo sus ataques a los servidores Exchange que se ejecutan desde las redes de la empresa.
Según lo que se sabe, las cuatro vulnerabilidades que explotaron los ciberdelincuentes cuando estuvieron encadenadas, permitieron a los piratas informáticos irrumpir en un servidor Exchange y robar su contenido. Microsoft solucionó el problema, pero los parches no pudieron cerrar las puertas traseras de los servidores que ya habían sido violados.
Así, en cuestión de días, otros grupos de piratas informáticos comenzaron a atacar servidores vulnerables con las mismas fallas para implementar ransomware y, a pesar de que la cantidad de servidores infectados disminuyó a medida que se aplicaron los parches, la realidad es que cientos de sistemas Exchange permanecieron vulnerables porque las puertas traseras son difíciles de encontrar y eliminar, dijo el Departamento de Justicia en un comunicado.
El FBI entró en acción
Justo en esta parte es en donde entra el FBI que se ha encargado de entrar a los sistemas infectados para evitar que la amenaza llegue a propagarse de manera más amplia.
De acuerdo con el Departamento de Justicia ha sido una operación exitosa. “Esta operación eliminó los riesgos restantes de un grupo de piratería que podrían haberse utilizado para mantener y aumentar el acceso persistente y no autorizado a las redes estadounidenses”, señalaron a través de un comunicado.
Las autoridades de Estados Unidos compartieron que el FBI llevó a cabo la eliminación de las amenazas emitiendo un comando diseñado para hacer que el servidor eliminara solo el riesgo identificado por su ruta de archivo única.
El FBI también dijo que está intentando informar, por correo electrónico , a los propietarios de los servidores diciendo que tuvo que “hackearlos” para poder eliminar las puertas traseras que representaban un riesgo.
Sobre el tema, el asistente del fiscal general John C. Demers dijo que la operación "demuestra el compromiso del Departamento de Justicia de interrumpir la actividad de los ciberdelincuentes utilizando todas nuestras herramientas legales, no solo los enjuiciamientos".
Se cree que este es el primer caso conocido en el que el FBI limpia de manera efectiva redes privadas luego de un ciberataque . Sin embargo, el Departamento de Justicia también dijo que la operación solo eliminó las puertas traseras, pero no paró las vulnerabilidades explotadas por los piratas informáticos que ya habían iniciado, y que tampoco eliminó el malware dejado, por lo que aún se tiene que estar alerta sobre este tema.
Las opiniones sobre esta intervención son encontradas. Por un lado hay quien señala que el FBI hizo bien al involucrarse para evitar una propagación mayor de la amenaza, pero también los que señalan que se trata de una violación y que podría sentar un precedente para que accedan a sistemas privados según sus conveniencias. Aunque hay que decir que otros países, como Francia, han utilizado poderes similares para secuestrar una botnet y cerrarla de forma remota.