Siempre se ha dicho que lo más fácil es echar la culpa a los becarios. Es una frase común que se a veces se convierte en realidad. El mayor ciberataque que ha tenido lugar en los últimos tiempos por sus repercusiones, el de la firma SolarWinds, que ha dado acceso a las entrañas de organismos de la administración del Estado en Estados Unidos, podría deberse a la debilidad de la contraseña que puso en un becario.
Fue mediante la plataforma Orion, una de las aplicaciones de SolarWinds, por donde entraron los ciberatacantes a los servidores de organismos tan delicados como el Departamento de Defensa y Energía. Fueron miles los servidores vulnerados. Yahoo ya había apuntado que la culpa la tuvo el mal uso de la contraseña que llevó a cabo un becario. Y hoy hemos confirmado, según informa la CNN, que esta podría ser la razón última que explique el éxito del ataque.
El ex CEO de SolarWinds ha comparecido en el congreso del país y ha causado un enorme impacto con esta afirmación: la culpa la tiene un becario. Uno de los estudiantes en prácticas de la empresa creó la contraseña “solarwinds123” para poder acceder de forma remota a los servidores de la compañía.
Parece increíble pero es cierto. No hacer falta ni un ataque de fuerza bruta para cargársela, solo probar con varias posibilidades. Es una contraseña tan fácil de adivinar que la congresista Katie Porter ha manifestado: "Mi iPad tiene una contraseña más sólida para evitar que mis hijos vean YouTube (...). Usted y su empresa deberían garantizar que los rusos no puedan leer los emails de Defensa”, concluyó.
El ataque a Solar Winds ha puesto en peligro la confianza en el poderío tecnológico de Estados Unidos. Los atacantes se llevaron munición de envergadura, aparte de información sensible.
Según manifestó el Senador Demócrata Mark Warren: "Las indicaciones preliminares sugieren que el alcance y la escala de este incidente van más allá de cualquiera otro a que nos hayamos enfrentado previamente como nación…, y sus implicaciones son muy significativas (...) Los puntos de apoyo que estos piratas informáticos ganaron en las redes privadas, incluidos algunos de los proveedores estadounidenses de TI más grandes del mundo, pueden brindar oportunidades para futuras intrusiones cibernéticas en los próximos años”.
En el vídeo que acompaña a estas líneas, el especialista en ciberseguridad Steve Gibson, de grc.com, apenas puede contener la risa ante lo ocurrido, por no llorar.