Ciberataque a la ONU

Una semana después de que la ONU reclamara una investigación sobre el hackeo del móvil del Jeff Bezos, fundador de Amazon y propietario del Washington Post, por la Arabia Saudí del príncipe Prince Mohammed bin Salman, se acaba de conocer que las mismas Naciones Unidas ha sufrido un ciberataque.


Los hechos se han conocido después de que se filtrara un informe interno de la ONU a un grupo de investigadores de The New Humanitarian, la antigua publicación oficial de las Naciones Unidas que cubría las crisis humanitarias. Al parecer, los servidores centrales del organismo internacional habría sido objeto de un ciberataque que habría conseguido penetrar en los sistemas de información. Aunque el informe está fechado el 20 de septiembre de 2019 por la Oficina de Tecnologías de la Información de las Naciones Unidas, el ataque se habría producido el pasado mes de julio, descubriéndose un mes después (la primera alerta se lanzó el 30 de agosto). Este informe refleja que hasta 42 servidores fueron comprometidos, a los que habría que sumar otros 25 en sospecha.

Las informaciones de The New Humanitarian indican que los sistemas afectados son fundamentalmente los relacionados con las oficinas de Derechos Humanos de la ONU, así como su departamento de recursos humanos, ubicados en Ginebra y Viena. Informaciones muy sensibles del Alto Comisionado para los Derechos Humanos habrían estado expuestas, con el consiguiente riesgo para las personas incluidas en ellas.

El ataque se habría hecho con algunas cuentas de administrador, accediendo a los sistemas de gestión de usuarios y contraseñas, a los mismos controles del sistema y a los cortafuegos de seguridad. Por todo ello, se solicitó al personal la modificación de las contraseñas.

Hasta el momento nadie se ha atribuido el ataque, aunque el modus operandi conduce a un APT (Amenaza Persistente Avanzada, por sus siglas en inglés), que es una de las prácticas habituales del ciberespionaje entre Estados. Asimismo y aunque desde la ONU se asume que el dominio entero estuvo comprometido, el informe indica que el atacante no ha dado muestras de actividad, habiendo mantenido durmiente su posición infiltrada.

Windows fue, una vez más, la puerta de entrada para los ciberatacantes. Concretamente, la vulnerabilidad CVE-2019-0604,  sobre la que ya se había informado en marzo de 2019, y que afecta a la plataforma colaborativa Microsoft SharePoint, que se integra con Microsoft Office. Dicho de otro modo, pese a disponer ya del parche de seguridad de Microsoft casi cinco meses antes del ataque, la ONU no lo había instalado, mostrándose vulnerable a los ataques remotos.

Esta negligencia no sorprende, dado que una auditoría oficial de 2018 ya sacó los colores a la ONU, evidenciando el gran número de vulnerabilidades detectadas (de cerca de  1.500 sitios web y aplicaciones web, tan sólo uno había realizado una evaluación de seguridad), buena parte de ellas asociadas las externalizaciones de múltiples servicios informáticos por un coste cercano a los 1.700 millones dólares.