La semana pasada, la empresa de seguridad cibernética FireEye dijo que había sido hackeada y que sus clientes, entre los que se encuentra el gobierno de los Estados Unidos, habían sido puestos en riesgo. Esta semana, nos enteramos de que SolarWinds, una empresa que cotiza en la bolsa y que proporciona software a decenas de miles de clientes gubernamentales y corporativos, también fue hackeada.

Los atacantes obtuvieron acceso al software de SolarWinds antes de que las actualizaciones de ese software se pusieran a disposición de sus clientes. Los clientes desprevenidos descargaron una versión corrupta del software, que incluía una puerta trasera oculta que daba a los hackers acceso a la red de la víctima.

Esto es lo que se llama un ataque a la cadena de suministro, lo que significa que el camino hacia las redes de destino depende del acceso a un proveedor. Los ataques a la cadena de suministro requieren recursos significativos y a veces años para ejecutarse. Casi siempre son producto de la maquinación de un Estado-nación. Las pruebas del ataque a SolarWinds apuntan a la agencia de inteligencia rusa conocida como la S.V.R., cuyo oficio está entre los más avanzados del mundo.

Según los archivos de SolarWinds S.E.C., el malware estuvo en el software de marzo a junio. El número de organizaciones que descargaron la actualización corrupta podría llegar a 18.000, lo que incluye la mayoría de las redes no clasificadas del gobierno federal y más de 425 empresas de la lista Fortune 500.

Es difícil exagerar la magnitud de este ataque en curso.

Los rusos han tenido acceso a un número considerable de redes importantes y sensibles durante seis a nueve meses. La S.V.R. rusa seguramente habrá utilizado su acceso para explotar y obtener el control administrativo de las redes que consideraba objetivos prioritarios. En el caso de esos objetivos, los piratas informáticos habrán superado hace mucho tiempo su punto de entrada, habrán cubierto sus huellas y habrán obtenido lo que los expertos llaman "acceso persistente", es decir, la capacidad de infiltrarse en las redes y controlarlas de una manera difícil de detectar o eliminar.

Aunque los rusos no tuvieron tiempo de obtener el control completo de cada red que hackearon, ciertamente lo obtuvieron sobre cientos de ellas. Llevará años saber con certeza qué redes controlan los rusos y cuáles sólo ocupan.

La conclusión lógica es que debemos actuar como si el gobierno ruso tuviera el control de todas las redes en las que ha penetrado. Pero no está claro qué es lo que los rusos pretenden hacer a continuación. El acceso del que disfrutan los rusos ahora podría ser usado para mucho más que simplemente espiar.

El control real y percibido de tantas redes importantes podría utilizarse fácilmente para socavar la confianza del público y los consumidores en los datos, las comunicaciones escritas y los servicios. En las redes que los rusos controlan, tienen el poder de destruir o alterar datos, y hacerse pasar por personas legítimas. Las tensiones domésticas y geopolíticas podrían escalar con facilidad si utilizan su acceso para influencias malignas y desinformación, ambos sellos del comportamiento ruso.

¿Qué se debe hacer?

El 13 de diciembre, la Agencia de Seguridad Cibernética y de Infraestructura, una división del Departamento de Seguridad Nacional -siendo ella misma una víctima- emitió una directiva de emergencia ordenando a las agencias civiles federales que retiraran el software de SolarWinds de sus redes.

La eliminación tiene como objetivo detener la hemorragia. Desafortunadamente, la medida es tristemente insuficiente y lamentablemente demasiado tarde. El daño ya está hecho y las redes informáticas ya están comprometidas.

También es poco práctico. En 2017, el gobierno federal fue ordenado a remover de sus redes el software de una compañía rusa, Kaspersky Lab, que fue considerado demasiado riesgoso. Llevó más de un año sacarlo de las redes. Incluso si duplicamos ese ritmo con el software de SolarWinds, e incluso si no fuera ya demasiado tarde, la situación seguiría siendo nefasta durante mucho tiempo.

El esfuerzo por remediar por sí solo será asombroso. Requerirá el reemplazo segregado de enclaves enteros de computadoras, hardware de red y servidores a través de vastas redes federales y corporativas. De alguna manera, las redes sensibles de la nación tienen que seguir funcionando a pesar de los niveles desconocidos de acceso y control ruso. Un "do over" (rehacer) es obligatorio y nuevas redes enteras deben ser construidas  y aisladas de las redes comprometidas.

Los cazadores de amenazas cibernéticas que son más sigilosos que los rusos deben ser liberados en estas redes para buscar los controles de acceso ocultos y persistentes. Estos profesionales de la seguridad de la información buscan, aíslan y eliminan activamente el código malicioso avanzado que evade las protecciones automatizadas. Este será un trabajo difícil, ya que los rusos estarán vigilando cada movimiento en el interior.

La Ley de Autorización de la Defensa Nacional, que cada año otorga al Departamento de Defensa y a otras agencias la autoridad para realizar su trabajo, está atrapada en una disputa partidista. Entre otras disposiciones importantes, la ley autorizaría al Departamento de Seguridad Nacional a realizar la caza de redes en las redes federales. Si no lo era ya, ahora es una legislación de obligado cumplimiento, y no será la última acción del Congreso necesaria antes de que esto se resuelva.

Los operadores de redes también deben tomar medidas inmediatas para inspeccionar más cuidadosamente su tráfico de Internet para detectar y neutralizar anomalías inexplicables y obvios comandos remotos de los hackers antes de que el tráfico entre o salga de su red.

La respuesta debe ser más amplia que la aplicación de parches a las redes. Si bien todos los indicadores apuntan al gobierno ruso, los Estados Unidos, e idealmente sus aliados, deben atribuir pública y formalmente la responsabilidad de estos hackeos. Si se trata de Rusia, el Presidente Trump debe dejar claro a Vladimir Putin que estas acciones son inaceptables. La comunidad militar y de inteligencia de los Estados Unidos debe estar en mayor alerta; todos los elementos del poder nacional deben ponerse sobre la mesa.

Aunque debemos reservarnos el derecho a la autodefensa unilateral, los aliados deben unirse a la causa. La importancia de las coaliciones será especialmente importante para castigar a Rusia y navegar por esta crisis sin una escalada incontrolada.

El Presidente Trump está a punto de dejar atrás un gobierno federal, y quizás un gran número de grandes industrias, comprometidas por el gobierno ruso. Debe usar cualquier palanca que pueda reunir para proteger a los Estados Unidos y castigar severamente a los rusos.

El presidente electo Joe Biden debe comenzar a planificar para hacerse cargo de esta crisis. Tiene que asumir que las comunicaciones sobre este asunto están siendo leídas por Rusia, y asumir que cualquier dato del gobierno o correo electrónico podría ser falsificado.

En este momento, los dos equipos deben encontrar una manera de cooperar.

El Presidente Trump debe superar sus quejas sobre la elección y gobernar por el resto de su mandato. Este momento requiere unidad, propósito y disciplina. Una intrusión tan descarada y de este tamaño y alcance no puede ser tolerada por ninguna nación soberana.

Estamos enfermos, distraídos y ahora bajo un ciberataque. El liderazgo es esencial.