Ciudad de México.
Al menos 10,000 empresas en México están expuestas al ataque en contra de Exchange Server, un servicio de correo electrónico de la estadounidense Microsoft, lo que se corresponde con el número de empresas que usan este servicio y que no han realizado la actualización para proteger su infraestructura tecnológica.
De acuerdo con Dmitry Bestuzhev, director del Equipo Global de Análisis y Respuesta a Incidentes de Kaspersky en América Latina, hay más de 58,000 empresas que utilizan Exchange Server en México y de estas 18.4% o 10,440 aún no han actualizado o “parchado” el software de Microsoft, por lo que están completamente expuestas a que un atacante explote la vulnerabilidad.
El pasado 2 de marzo, Microsoft alertó en su blog de seguridad de la explotación de una vulnerabilidad en su software Exchange Server en los servidores (on premise) de sus clientes. La vulnerabilidad descubierta controla el sistema OWA, que es el motor de acceso web a los correos electrónicos dentro del servicio de Microsoft y su explotación permite acceder a información alojada en los servidores y hasta tomar el control del dispositivo. Hasta 60,000 clientes de la plataforma en todo el mundo podrían verse afectados.
“Está expuesta toda la información del servicio de correo, contactos, mensajes, pero no solamente esto, porque los servidores están conectados a las redes empresariales y el atacante también podría hacer un movimiento lateral, es decir moverse hacia otros servidores y otros equipos de la empresa y así causar un daño mayor”, dijo Bestuzhev en entrevista.
Bancos, preocupados
Entre las empresas que operan en México y que están preocupadas por la difusión de la vulnerabilidad se cuentan algunos bancos, de acuerdo con Jorge Osorio, director de Servicios de Consultoría en la compañía de ciberseguridad CSI. Esto puede significar, según el especialista, que las instituciones se están protegiendo para no ser atacadas o que ya fueron atacadas.
“Sí hemos visto bastantes empresas preocupadas de todos los tamaños, no sólo grandes sino también medianas. Específicamente en el sector bancario, varios bancos preguntaron si alguien conocía alguna forma de proteger los equipos con parches virtuales, lo que da la sensación de que ellos tienen ese problema desde el momento en que se presentó”, dijo.
El Buró Federal de Investigación de Estados Unidos (FBI) publicó una alerta este 10 de marzo en la que advierte que la explotación de las vulnerabilidades en los servidores locales que usan Microsoft Exchange Server “plantea un riesgo grave” para organismos del Poder Ejecutivo federal en Estados Unidos; así como para empresas privadas.
“La explotación exitosa de estas vulnerabilidades permite a un atacante acceder a los servidores Exchange de las víctimas, lo que les permite obtener acceso persistente al sistema y control de una red empresarial”, asienta la agencia estadounidense en su comunicado.
Tanto Microsoft como el FBI atribuyen la explotación de esta vulnerabilidad a un actor con el respaldo de un Estado-nación. Microsoft aseguró que se trata del grupo HAFNIUM, un grupo apoyado por el Estado chino que opera fuera del país asiático.
Actualizaciones, un problema
Todos los expertos en ciberseguridad recomiendan aplicar los parches de seguridad para poder mitigar este tipo de vulnerabilidades. El problema en el caso del ataque a Exchange Server es que se trata, en muchos casos, de equipos viejos, que las organizaciones ni siquiera saben que siguen operando dentro de su infraestructura tecnológica.
Para Andrés Velázquez, fundador y director de Mattica, empresa dedicada a la ciberseguridad estratégica, la respuesta a incidentes de TI e investigaciones digitales, el alcance que puede llegar a tener la explotación de esta vulnerabilidad es crítico. Esto se debe a que, dentro de las organizaciones, los tomadores de decisiones saben que usan el software de Microsoft, pero no tienen claro cuál es la exposición que pudieran llegar a tener.
“Hay organizaciones que dicen: “Yo no tengo nada que temer porque estoy usando el servicio de correo electrónico en la nube. Hay otros que te dicen que no saben si tienen o dónde está un servidor con Microsoft Exchange Server. En muchos casos lo que tienen son soluciones híbridas”, dijo.
Tanto Velázquez como Osorio recomendaron establecer si uno cuenta con un servidor con Microsoft Exchange Server, con el fin de instalar los parches de seguridad lanzados por Microsoft. En caso de que las versiones del software sean obsoletas o no puedan ser actualizadas por tratarse de servidores de misión crítica, advirtieron que se pueden realizar controles compensatorios, como la aplicación de actualizaciones virtuales.
