El reciente ataque a la empresa de ciberseguridad FireEye ha alcanzado a grandes empresas de Estados Unidos y ha comenzado a afectar a compañías españolas que cotizan en el Ibex-35. La sofisticación demostrada por los los piratas informáticos y las técnicas utilizadas hacen sospechar que detrás de esta acción se esconde un estado, lo que ha hecho que la sombra de Rusia vuelva a planear sobre este episodio que en plena pandemia por el coronavirus ha puesto en jaque a grandes corporaciones y administraciones de medio mundo.

Donald Trump, sin embargo, asegura que "todo está bajo control", mantiene que el ciberataque "es mucho mayor en los medios de noticias falsas que en la actualidad" y lanza la sospecha de que el sabotaje pudo afectar al recuento de votos en las elecciones en las que le ha derrotado Joe Biden. "Rusia, Rusia, Rusia es el canto prioritario cuando sucede algo porque los medios, principalmente por razones financieras, están petrificados ante la posibilidad de que puedo ser China (¡puede ser!). También pudieron ser golpeadas nuestras ridículas máquinas de votación. Ahora es obvio que gané a lo grande, convirtiéndolo en una vergüenza aún más corrupta para EEUU", ha escrito en Titter.

El pasado 8 de diciembre, el máximo ejecutivo de FireEye, Kevin Mandia, publicó una entrada en la web corporativa en la que reconocía que el grupo había sido atacado por un actor "altamente capacitado" que había usado métodos que "contrarrestan las herramientas de seguridad y el examen forense". El CEO no precisó cuándo había tenido lugar la intrusión, tan sólo indicó que había sido "recientemente".

Expertos del sector de la ciberseguridad creen que el de FireEye es el episodio más grave desde el del virus Wannacry en 2017

"La disciplina, seguridad operativa y técnicas nos hacen pensar que fue un ataque patrocinado por un estado", mantuvo Mandia. Y añadió: "Basándome en mis 25 años en ciberseguridad y respuestas a incidentes, he llegado a la conclusión de que estamos siendo testigos de un ataque de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años".

El anuncio tuvo un impacto inmediato en la Bolsa. Al día siguiente, la compañía con sede en Milpitas (California, EEUU) vio cómo sus títulos -cotizan en el índice Nasdaq desde septiembre de 2013- se desplomaron un 13,1 %, tras pasar de los 15,52 a 13,49 dólares. FireEye, que desde hace 16 años da respuesta a algunas de las brechas de ciberseguridad más complejas en todo el mundo, no sólo había visto cómo le robaban herramientas de su equipo de emergencias (Red Team). También había sufrido un inesperado golpe en el parqué.

La decisión de informar sobre el episodio sufrido, compartir abiertamente los avances preliminares de la investigación puesta en marcha y comunicar que habían desarrollado contramedidas tanto para reforzar la seguridad de sus productos como para detectar el posible uso de las herramientas robadas tranquilizó a los mercados y la empresa cerró la sesión del viernes con sus acciones rebotando hasta los 19,23 euros, un 23,9 % más del valor que tenían antes de que se diera a conocer el ciberataque. Es el precio más alto que alcanzan sus títulos desde el 7 de diciembre de 2018, cuando cotizaban a 19,43 euros.

Gráfica con la cotización de los acciones de FireEye, con la caída que sufren el 9 de diciembre y el posterior rebote. GOOGLE

"El atacante buscaba principalmente información relacionada con ciertos clientes del Gobierno", sostiene FireEye, lo que fortalece sus sospechas de que se trata de una acción de "ciberespionaje de un estado-nación". "Si bien pudo acceder a algunos de nuestros sistemas internos, en este punto de nuestra investigación no tenemos evidencias de que haya extraído datos de los sistemas primarios que almacenan información del cliente sobre nuestra respuesta a incidentes ni los metadatos recopilados por nuestros productos en nuestros sistemas dinámicos de inteligencia de amenazas", ha agregado.

El ya considerado por los expertos en ciberseguridad como el episodio más grave desde que el virus Wannacry logró paralizar media Europa en mayo de 2017 ha tenido ya afectación en algunas grandes compañías españolas, si bien no ha trascendido si ha sido porque tenían la versión vulnerable del software saboteado o por intrusión. El Independiente ha constatado la preocupación existente entre responsables de seguridad de corporaciones que cotizan en el Ibex-35 por el calado del ataque sufrido por FireEye y las consecuencias que pueda tener en la protección de sus sistemas.

"Herramientas robadas"

"Hasta la fecha, no hemos visto evidencias de que el atacante haya utilizado las herramientas robadas", ha asegurado la compañía, que se ha apresurado a lanzar la alerta para que la comunidad mundial esté prevenida y pueda protegerse ante el eventual uso del material hurtado mientras avanza la investigación que lleva a cabo junto con el FBI y multinacionales del nivel de Microsoft para tratar de aclarar quién está detrás del ciberataque del año.

El temor de las grandes empresas españolas a sufrir brechas de seguridad tiene un reflejo cada vez mayor en los presupuestos que dedican a conjurar este riesgo. En 2019 invirtieron en torno a 1.200 millones de euros para protegerse ante la amenaza de los ciberataques, si bien fuentes del sector sostienen que esa cifra debería aumentar hasta los 5.000 millones para ajustarse a las magnitudes de las grandes potencias. La inversión de las administraciones españolas en esta tarea se sitúa en el entorno de los 400 millones de euros, frente a los 2.000 millones que destina Francia o los 2.200 millones de Reino Unido.

A la espera de que se conozcan los resultados de las pesquisas que realizan el FBI y FireEyue, sí ha trascendido que el botín obtenido por los atacantes está formado por 60 herramientas con diversas utilidades -generar archivos o documentos maliciosos, robo de credenciales, de código abierto para crear gadgets serializados...- y exploits (software que busca aprovechar un fallo en un sistema informático) relacionados con 16 vulnerabilidades diferentes.

El ciberataque ha tenido lugar días antes de que Google sufriera una caída a nivel mundial que se prolongó durante una hora, periodo en el que todos sus servicios -Gmail, Youtube y Drive, entre otros- quedaron inoperativos. No se ha dado a conocer qué provocó esta interrupción.