Un ciberataque rudimentario, a nivel de parvulario, ha comprometido las cuentas de hasta 90 personas en el parlamento británico hace ya quince días, gracias a la falta de las prácticas más básicas de seguridad.
Las cuentas hackeadas usaban contraseñas débiles que no se ajustaban a las normas de seguridad parlamentaria recomendadas, confirmó un portavoz de la Cámara de los Comunes en un comunicado. Menos del 1% de las 9000 cuentas de correo electrónico de la red parlamentaria fueron afectadas por el ataque.
Los hackers intentaron repetidamente acceder a los correos electrónicos de los políticos durante el «ciberataque sostenido y determinado» que tuvo lugar el pasado viernes 23 de junio. Los miembros de ambas cámaras del parlamento, incluyendo al primer ministro, otros ministros del gobierno y sus ayudantes, utilizan la red de correo electrónico afectada por el ataque.
Este es un rudimentario ataque de rutina», dice Dave Palmer, director de tecnología de la empresa de seguridad británica Darktrace. «Esto tiene los sellos de alguien que lo hace para mostrar que pueden o de alguien que lo hace por diversión.»
Palmer dice que no hay evidencia en este momento vinculando el ataque a Rusia o a cualquier otro estado, como se ha especulado. Se necesitarían varias semanas de análisis detallado antes de que pudieran establecerse tales vínculos, dice, y dada la naturaleza poco sofisticada del ataque, no está en absoluto claro que esté motivado políticamente.
Llamada de atención
Sin embargo, sostiene que el ciberataque es una «llamada de atención» que debería inducir al parlamento a examinar detenidamente el estado de su ciberseguridad. Medidas de seguridad simples como la autenticación multifactor, que requieren confirmación por aplicación o mensaje de texto antes de iniciar sesión, haría mucho más difícil para los hackers acceder a cuentas de correo electrónico. El Centro Nacional de Seguridad Cibernética del Reino Unido.
Obligar a los parlamentarios a utilizar contraseñas más seguras también obstaculizaría estos ataques. Todas las cuentas afectadas usaban contraseñas que estaban por debajo de los estándares de seguridad establecidos por el Servicio Digital Parlamentario.
Los hackers pueden haber comenzado con una lista de direcciones de correo electrónico parlamentarias y luego intentaron acceder a las cuentas con un software que se ejecuta automáticamente a través de contraseñas obvias y usadas comúnmente, dice Palmer. Los atacantes también pueden haber intentado usar contraseñas expuestas en hacks anteriores de alto perfil en compañías como LinkedIn, Yahoo y Dropbox.
Este ciberataque podría ser llevado a cabo fácilmente por alguien que no tenga ningún conocimiento informático en absoluto, dice Palmer, y es el tipo más básico de ataque que enfrentan las empresas a diario. «Es bastante decepcionante y trivial», afirna.
Más que un ciberataque es un “ciberincidente”
Aquí está lo que está claro es que hasta 90 cuentas de correo electrónico en el dominio «parliament.uk» utilizado por los miembros de la Cámara de los Comunes, compañeros en la Cámara de los Lores, así como el personal parlamentario y funcionarios públicos parecen haber sido violados. Una declaración emitida por el Parlamento dice que todas las cuentas violadas fueron «comprometidas como resultado del uso de contraseñas débiles que no se ajustan a la guía emitida por el Servicio Digital Parlamentario«, que proporciona apoyo de TI al Parlamento.
Las comunicaciones oficiales del Parlamento también han descrito de manera diversa el intento de penetración de las cuentas de correo electrónico del Parlamento tanto como un «incidente cibernético» como un ciberataque.
Los responsables de la seguridad cibernética dicen que el incidente del Parlamento apenas califica como destrucción generalizada.
«Tratar de forzar una lista de contraseñas de direcciones de correo electrónico no es un ataque cibernético sostenido y letal, en el mejor de los casos es un arma de mentira«, dice Jake Davis, el ex hacker anónimo y LulzSec conocido como «Topiary» a través de Twitter. Un hacker de palvulario.
«Si alguien necesitó 0 días para obtener un acceso continuado y a largo plazo al Parlamento, tal vez eso sea un ataque cibernético, pero esto definitivamente no lo es», dice. «Tenemos que dejar de llamar a todo un ‘ataque cibernético’. Difunde la ignorancia”. Y tiene toda la razón, aunque el susto fue superlativo.