Los cibercriminales más peligrosos no son los que roban datos de tu tarjeta, sino los que se infiltran en los sistemas más críticos de gobiernos y empresas. Esto es precisamente lo que está haciendo el grupo de ciberespionaje Salt Typhoon.
Recientemente, se ha confirmado que este grupo, vinculado a una nación extranjera, ha estado explotando vulnerabilidades de día cero en productos de seguridad de tres empresas líderes: Cisco, Ivanti y Palo Alto Networks.
¿Quién es Salt Typhoon?
Conocido por varios nombres, como FamousSparrow o GhostEmperor, Salt Typhoon es un grupo de élite dedicado al ciberespionaje. Su objetivo principal no es robar dinero, sino obtener información valiosa de gobiernos, empresas de telecomunicaciones y organizaciones de infraestructura crítica en todo el mundo. Su modo de operación es sigiloso y persistente, buscando acceder a redes de alto valor para robar datos o mantener una presencia a largo plazo.
¿Qué es una vulnerabilidad de día cero?
Salt Typhoon aprovechó fallos en el software de los dispositivos de Cisco, Ivanti y Palo Alto Networks. Lo más preocupante es que se trata de vulnerabilidades de día cero (zero-day).
Una vulnerabilidad de día cero es un agujero de seguridad en un software que los desarrolladores aún no conocen o para el que no han lanzado una solución. Esto significa que los cibercriminales pueden explotar el fallo antes de que las empresas puedan lanzar un parche. Es una de las armas más poderosas y peligrosas en el ciberespionaje.
Al explotar estos fallos, Salt Typhoon ha logrado comprometer dispositivos cruciales como routers, firewalls y herramientas de acceso remoto. Una vez dentro, los atacantes pueden moverse por la red, robar información sensible o incluso controlar los sistemas.
- Vulnerabilidades en Ivanti Connect Secure VPN (CVE-2023-46805 y CVE-2024-21887): Estos fallos críticos permitieron a los atacantes realizar una inyección de comandos en los dispositivos Ivanti, que se usan para el acceso remoto seguro. Los atacantes pudieron encadenar estas vulnerabilidades para obtener acceso no autorizado a las redes y mantener una presencia persistente.
- Vulnerabilidad en Palo Alto Networks PAN-OS (CVE-2024-3400): Un fallo de inyección de comandos en el sistema operativo de los firewalls de Palo Alto Networks que fue explotado de forma activa. Los atacantes lo utilizaron para tomar el control de los dispositivos y usarlos como una puerta de entrada para infiltrarse más profundamente en las redes.
- Vulnerabilidades en Fortinet FortiClient EMS (CVE-2023-48788): Este grupo también ha explotado fallos en los sistemas de gestión de Fortinet. Esta vulnerabilidad permitió a los atacantes ejecutar comandos de forma remota y sin autenticación, lo que les dio un punto de apoyo inicial para infiltrarse en la red corporativa.
¿Por qué estos productos son un objetivo valioso?
Los dispositivos de Cisco, Ivanti y Palo Alto Networks no son simples computadoras. Son la primera línea de defensa de muchas empresas y gobiernos.
- Firewalls: Actúan como muros que controlan el tráfico de la red. Si el firewall está comprometido, los atacantes tienen vía libre para entrar y salir.
- VPNs (Redes Privadas Virtuales): Son usadas para que los empleados accedan a la red de la empresa de forma segura. Si la VPN tiene una vulnerabilidad, los atacantes pueden entrar a la red como si fueran un empleado más.
¿Qué se está haciendo al respecto?
Las empresas afectadas (Cisco, Ivanti y Palo Alto Networks) han sido notificadas y ya han publicado o están trabajando en parches y actualizaciones de seguridad para corregir las vulnerabilidades. Las agencias de ciberseguridad a nivel mundial, como la CISA en EE. UU., también están alertando a las organizaciones para que tomen medidas inmediatas.
Recomendaciones
- Aplica parches inmediatamente: Asegúrate de que todos los dispositivos de red, como firewalls (Palo Alto Networks), VPNs (Ivanti) y routers (Cisco), tengan instalados los últimos parches y actualizaciones de seguridad.
- Monitorea tu red 24/7: Las herramientas de detección de amenazas deben estar configuradas para buscar cualquier actividad anómala.
- Segmenta la red: Divide la red en segmentos más pequeños y aislados. Si un atacante logra entrar en una parte de la red, la segmentación puede impedir que se mueva lateralmente y acceda a sistemas más críticos.
- Aplica el principio de privilegio mínimo: Limita los permisos de acceso a los sistemas más importantes. Los empleados y los dispositivos solo deben tener el acceso que necesitan para sus tareas.
