El hackeo de SolarWinds fue peor de lo que el gobierno admitía

El 6 de julio de 2020, alguien con acceso al nivel más alto del software SolarWinds del Departamento del Tesoro de Estados Unidos modificó una aplicación llamada Secure Mail. No fue un error técnico. Fue el primer paso de una infiltración que duró más de tres meses y que el gobierno tardó seis años en documentar con honestidad.

Un informe del inspector general del Tesoro, recién desclasificado, confirma lo que Bloomberg reportó esta semana: los atacantes de SolarWinds tuvieron acceso potencial a todas las cuentas de correo electrónico que terminan en treasury.gov. No a algunas. A todas.

El hackeo de SolarWinds se hizo público en diciembre de 2020. En ese momento, la versión oficial habló de acceso a sistemas y exposición de datos sensibles. Lo que no se detalló con claridad es que, durante aproximadamente tres meses, alguien externo al gobierno pudo leer el correo del Departamento del Tesoro sin que nadie lo notara.

La infiltración terminó el 12 de octubre de 2020. No porque la NSA activara un protocolo de respuesta, no porque los analistas de ciberseguridad del Tesoro detectaran actividad anómala. Terminó porque el Tesoro realizó un cambio rutinario en un sistema y, sin saberlo, cortó la conexión que mantenían los hackers. Un accidente con mejor resultado del esperado.

Un breve repaso para poner en contexto: SolarWinds fue uno de los ataques de cadena de suministro más sofisticados de los que se tenga registro. Los atacantes, con alta probabilidad vinculados al servicio de inteligencia exterior ruso SVR, comprometieron el proceso de actualización del software Orion de SolarWinds. Resultado: miles de clientes corporativos y gubernamentales instalaron, sin saberlo, una puerta trasera dentro de sus propias redes.

El alcance fue amplio. La Casa Blanca, la NSA, el Departamento de Seguridad Nacional, el Departamento de Estado, Microsoft, Intel, Cisco. Decenas de organizaciones. Meses de acceso libre antes de que alguien encendiera la alarma.

Lo que distingue al Tesoro del resto de las agencias afectadas es el nivel de detalle que el nuevo informe documenta: los atacantes no solo accedieron a sistemas internos, sino que pudieron leer comunicaciones de correo electrónico. Durante tres meses y medio, el buzón de treasury.gov estuvo abierto para quien no debía estar ahí.

No hay forma de saber con certeza qué leyeron exactamente. El informe no entra en ese nivel de especificidad, o si lo hace, esa parte permanece clasificada. Pero el Departamento del Tesoro no es una agencia menor: supervisa sanciones internacionales, coordina política fiscal con el Banco de la Reserva Federal y el FMI, y sus funcionarios se comunican con sus contrapartes en gobiernos aliados antes de tomar decisiones que mueven mercados.

La pregunta que el informe tampoco responde es cuánto de ese acceso fue aprovechado. Los ataques de espionaje de este calibre no siempre buscan robar archivos. A veces buscan mapear redes de contacto, entender procesos internos, identificar quién habla con quién antes de una decisión de política. El valor de acceder al correo del Tesoro durante tres meses puede no medirse en documentos descargados sino en contexto acumulado.

El gobierno atribuyó el ataque al grupo conocido como Cozy Bear o APT29, vinculado al SVR ruso. Rusia negó responsabilidad. La versión oficial no cambió mucho en los años siguientes.

Lo que sí cambió es el estándar de lo que se considera un incidente grave. Después de SolarWinds, el gobierno aceleró la adopción de arquitecturas de confianza cero, revisó los protocolos de actualización para proveedores externos, y el Congreso aprobó nuevas exigencias de reporte de incidentes para infraestructura crítica. También se crearon mecanismos de coordinación entre agencias que antes operaban de forma más fragmentada.

Que varios de esos mecanismos hayan sido reducidos o desmantelados en el último año es un dato que circula entre analistas de seguridad, aunque el gobierno actual no lo encuadra exactamente en esos términos.

La desclasificación llega seis años después del incidente. No es inusual: estos informes se clasifican primero para proteger fuentes e investigaciones activas, y se liberan cuando el contexto político lo permite. Lo que sí llama la atención es que el informe confirme daños mayores justo en un momento en que la postura de ciberseguridad federal está siendo cuestionada desde adentro.

El informe del inspector general no ofrece soluciones. Hace lo que se supone que hace: registrar qué pasó y cuánto costó. En este caso, el costo fue tres meses y medio de correo del Departamento del Tesoro en manos de alguien que no debía tenerlos, terminados por un cambio de sistema que nadie planeó como contramedida.

Habrá que ver qué hace el gobierno con ese registro. O si hace algo.