Si a todo el lío político del Gobierno de Donald Trump y las elecciones presuntamente amañadas le sumamos un grupo de hackers que durante meses ha estado colándose por la puerta de atrás de un montón de organizaciones federales, lo que nos da es un cóctel altamente explosivo.

Pero, ¿qué ha pasado? Pues así, de forma rápida y sencilla, que unos piratas informáticos rusos se han conseguido colar en agencias gubernamentales como el Tesoro de los Estados Unidos así como a los Departamentos de Comercio y Seguridad Nacional. Como veis, no es cosa menor.

La brecha de seguridad fue detectada el pasado 13 de diciembre y lo que no se sabe con seguridad es el tiempo que han estado explotando este agujero, poniendo en un compromiso a miles de empresas y al mismísimo Gobierno de los Estados Unidos.

¿Cómo lo hicieron? Aquí está la genialidad de los piratas informáticos, ya que primero se colaron en los sistemas de SolarWinds, una compañía de software americana. Allí insertaron una puerta trasera en Orion, uno de los productos de la compañía que las organizaciones utilizan para ver y manejar vastas redes internas de computadoras. A partir de marzo cualquier cliente que se actualizara a la última versión de Orion -firmada digitalmente por SolarWinds, y por tanto legítima- descargaba involuntariamente el software comprometido, dando a los piratas una vía de entrada a sus sistemas.

El problema es que SolarWinds tiene alrededor de 300.000 clientes en todo el mundo -muchos de ellos en la lista Fortune 500- y muchos gobiernos. En un nuevo comunicado a la Comisión de Valores y Bolsa, la empresa dijo que “menos de” 18.000 organizaciones habían descargado la actualización comprometida.

Según explica Greg Touhill, ex jefe federal de seguridad de la información, al MIT Technology Review los piratas informáticos fueron “extremadamente inteligentes y estratégicos” ya que una vez que obtuvieron acceso a través de la puerta trasera en Orión, conocida como Sunburst, se movieron lenta y deliberadamente, y en lugar de infiltrarse en muchos sistemas a la vez, lo que podría haber levantado sospechas fácilmente, se centraron en un pequeño conjunto de objetivos seleccionados.

En pos de cubrir sus huellas, los piratas utilizaban los ordenadores y las redes una sola vez para comunicarse con la puerta trasera de un objetivo determinado, lo que equivale a utilizar un teléfono desechable para una conversación poco legal. Además el malware que desplegaron no reutilizaba código, lo que hizo que el espionaje fuera más difícil de detectar porque los programas de seguridad buscan código que ya ha aparecido en hackeos anteriores.

Según los informes de seguridad de Microsoft y FireEye, es posible que la infiltración se produjese el pasado marzo, por lo que las organizaciones que sospechen que podrían haber sido un objetivo del hackeo tienen ahora que examinar, al menos, 10 meses de registros (cosa que es bastante difícil de hacer, por cierto).

¿Quiénes son los responsables del ataque? De momento desde Estados Unidos se apunta al grupo ruso conocido como SVR, la principal agencia de inteligencia extranjera del país, y famosa por llevar a cabo otros trabajos similares, como hackeo del Comité Nacional Democrático en 2016.