Bloomberg — Los piratas informáticos respaldados por el Estado que violaron la empresa de ciberseguridad F5 Inc. ingresaron a fines de 2023 y acecharon en los sistemas de la empresa hasta que fueron descubiertos en agosto de este año, según personas que fueron informadas por F5 sobre el incidente.
Los atacantes penetraron en los sistemas informáticos de F5 aprovechando un software de la empresa que había quedado vulnerable y expuesto a Internet, según estas personas.
Ver más: Microsoft impulsa el control por voz en Windows 11 con nuevas funciones de IA
F5 informó a sus clientes de que los piratas informáticos pudieron entrar después de que el personal de la empresa no siguiera las directrices de ciberseguridad que proporciona a los clientes, dijeron las personas, que hablaron con la condición de no ser identificadas porque no estaban autorizadas a hablar del asunto.
Un portavoz de F5 declinó hacer comentarios.
F5, con sede en Seattle, reveló a principios de esta semana en una presentación regulatoria que se había enterado el 9 de agosto de que piratas informáticos de un Estado-nación habían comprometido sus sistemas y habían obtenido “acceso persistente a largo plazo”.
Los intrusos descargaron algunos archivos del conjunto de servicios de aplicaciones BIG-IP de F5, incluido parte del código fuente e información sobre vulnerabilidades no reveladas que la empresa estaba trabajando para solucionar.
Hackers chinos respaldados por el Estado estaban detrás del ataque, según personas familiarizadas con el asunto. Un funcionario chino calificó la afirmación de “acusaciones infundadas hechas sin pruebas”.
La revelación hizo que las acciones de F5 se desplomaran más de un 10% el 16 de octubre.
¿Qué es la plataforma BIG-IP de F5?
La plataforma BIG-IP de F5 forma parte integral de los sistemas informáticos de muchas grandes organizaciones. Realiza muchas funciones, entre ellas el “equilibrio de carga”, que se refiere a dirigir el tráfico a los sistemas apropiados para que las aplicaciones funcionen sin problemas, y envolver esos programas de software con funciones de seguridad para impedir que los piratas informáticos accedan a ellos.
Los expertos en ciberseguridad afirman que la principal preocupación de la brecha es que los piratas informáticos puedan haber utilizado el código fuente robado para buscar o desarrollar formas de vigilar y manipular silenciosamente el tráfico que fluye a través de esos dispositivos o para desconectarlos por completo.
El ataque provocó alertas de los gobiernos de Estados Unidos y Reino Unido, y un funcionario estadounidense advirtió de consecuencias potencialmente “catastróficas”. Entre los clientes de F5 se encuentran agencias gubernamentales y el 85% de las empresas Fortune 500.
En los días transcurridos desde el anuncio, los responsables de F5, incluido su consejero delegado, Francois Locoh-Donou, han informado a los clientes sobre el incidente, según ha informado Bloomberg. La empresa ha contratado a las firmas de ciberseguridad CrowdStrike Holdings Inc. y Mandiant de Google, además de trabajar con las fuerzas de seguridad y funcionarios gubernamentales.
Los atacantes utilizaron un tipo de malware llamado Brickstorm, según personas familiarizadas con el asunto. Se sabe que Brickstorm es utilizado por un presunto “actor de amenazas chino”, que lo ha utilizado para mantener un “acceso sigiloso a largo plazo” a proveedores de tecnología, servicios jurídicos y subcontratistas de procesos empresariales, según Mandiant.
Tras obtener un acceso inicial a través del software F5 BIG-IP en 2023, los hackers se trasladaron a las máquinas virtuales y la infraestructura VMware de la empresa para lograr un acceso persistente, según una de las personas. A continuación, los piratas informáticos permanecieron prácticamente en silencio durante más de un año, una táctica utilizada habitualmente para frustrar a las empresas que dejan de conservar los costosos registros al cabo de un año, según la persona.
Los registros de ciberseguridad proporcionan datos forenses sobre la forma en que los hackers penetran en las organizaciones y ayudan a las organizaciones víctimas a reconstruir los comportamientos de los atacantes. Los piratas informáticos pueden cubrir sus huellas esperando a que dichos registros caduquen.
Un representante de Broadcom Inc, propietaria de VMware, declinó hacer comentarios.
F5 ha dicho que los piratas informáticos robaron información de un pequeño porcentaje de clientes y que no tenía conocimiento de la explotación activa de ninguna vulnerabilidad no revelada.
Tampoco hay pruebas de que se haya modificado el código fuente de la empresa, según un comunicado de F5.
Una “amenaza significativa” a las redes federales
El incidente fue calificado de “ciberamenaza significativa dirigida a las redes federales” en una directiva de emergencia emitida el miércoles por la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. que ordenaba a todas las agencias federales identificar y actualizar sus productos F5 antes del 22 de octubre.
Ver más: IBM alerta que Latinoamérica corre el riesgo de rezagarse en la carrera cuántica
El Centro Nacional de Ciberseguridad del Reino Unido también emitió el miércoles una alerta sobre la brecha, advirtiendo de que los piratas informáticos podrían utilizar su acceso a los sistemas de F5 para explotar la tecnología de la empresa e identificar vulnerabilidades adicionales.
--Con la colaboración de Patrick Howell O’Neill.
Lea más en Bloomberg.com
