La ONU sufrió una importante violación de datos el año pasado tras no haber parcheado un servidor Microsoft SharePoint, como supimos la semana pasada. Luego nadie lo hizo público, a pesar de que se produjo un informe interno condenatorio.
La noticia surgió después de que un empleado anónimo del equipo informático filtrase la información a The New Humanitarian, que es una publicación fundada por la ONU que se independizó en 2015 para informar sobre la comunidad global de ayuda. Según el medio, los empleados internos de la ONU informaron del ataque el 30 de agosto de 2019, explicando que el “dominio completo” probablemente fue comprometido por un atacante que estaba al acecho en las redes de la ONU.
Un informe confidencial enviado a la publicación sin permiso oficial por un funcionario de TI de la ONU reveló que el ciberataque había comenzado a mediados de julio del año pasado. Los piratas informáticos habían comprometido docenas de servidores, incluidos aquellos en los que había información altamente sensible sobre derechos humanos, junto con su departamento de recursos humanos.
Stéphane Dujarric, portavoz del Secretario General de la ONU, explicó a los medios en una sesión informativa el martes:
Los intentos de atacar la infraestructura de TI de la ONU ocurren a menudo. La atribución de cualquier ataque de TI sigue siendo muy confusa e incierta. Por lo tanto, no podemos identificar a ningún atacante potencial específico, pero fue, desde cualquier punto de vista, un ataque con muchos recursos.
Associated Press (AP), quien ha visto el informe, dijo que los registros del sistema se borraron meticulosamente durante el ataque.
Los piratas informáticos atacaron un total de 42 servidores, comprometiendo los dominios de Active Directory de las oficinas de las Naciones Unidas en Ginebra, Viena y la Oficina del Alto Comisionado para los Derechos Humanos, aunque un funcionario le dijo a AP que nada en este último lugar estaba comprometido. Las tres ubicaciones pirateadas emplean alrededor de 4.000 personas. Ginebra fue la más afectada, con 33 servidores pirateados, según The New Humanitarian.
Los atacantes probablemente ingresaron a través de un rastreador anticorrupción en la Oficina de Drogas y Crimen de la ONU, según los informes. El punto de entrada fue una vulnerabilidad en el software de SharePoint de Microsoft. CVE-2019-0604 revela una vulnerabilidad de ejecución remota de código en el sistema de colaboración que permitió a un atacante ejecutar código arbitrario. Microsoft parcheó esto en febrero de 2019, pero la ONU no había aplicado la solución.
A la noticia de la violación de datos le sigue a una auditoría de TI en 2018 que reveló problemas significativos con los sistemas tecnológicos de la ONU. La auditoría encontró que 223 servidores en la secretaría que estaban operando con tecnología obsoleta o no compatible, como los servidores de Windows 2000 en redes heredadas a partir de marzo de 2018. No se administraron de manera centralizada. La auditoría también se quejó del seguimiento fragmentado de problemas y no pudo confirmar que se haya completado un proyecto de segmentación de red.
Lo más condenatorio es el hecho de que la organización se había decido por la autocertificación para la seguridad de sitios web y aplicaciones web, siendo las oficinas individuales las que debían confirmar que habían aplicado actualizaciones a los sistemas basados en la web. De 37 oficinas, solo 9 respondieron. De ellas, solo 3 informaron del pleno cumplimiento de todas las políticas. Solo uno de los 1.462 sitios web de la ONU ha sido revisado por un equipo externo de ciberseguridad.
En un entorno comercial, GDPR bien podría entrar aquí. Sin embargo, como dijeron los funcionarios de la ONU al disculparse por otras violaciones de datos en el pasado, consideran que las agencias de la ONU están por encima de tales cosas.