Internacional. En la noche entre el sábado 19 y el domingo 20 de febrero, Axis fue objeto de un ciberataque, informó la empresa en un detallado reporte, donde explicó que los atacantes usaron varias combinaciones de ingeniería social para poder iniciar sesión como usuario a pesar de los mecanismos de protección como la autenticación multifactor.
En el interior, los atacantes utilizaron métodos avanzados para elevar su acceso y, finalmente, obtener acceso a los servicios de directorio.
Los sistemas de detección de amenazas de Axis alertaron al personal de incidentes sobre un comportamiento inusual y sospechoso, y las investigaciones comenzaron el domingo 20 de febrero por la mañana temprano. Aproximadamente a las 9 am CET del domingo por la mañana, la gerencia de TI decidió traer expertos en seguridad externos y aproximadamente a las 12:00 (mediodía), se confirmó que los piratas informáticos estaban activos dentro de las redes de Axis. Se tomó la decisión de desconectar toda la conectividad externa de inmediato como una forma de aislar a los intrusos.
A las 6:00 p.m. todo el acceso a la red se había cerrado a nivel mundial. La medida tuvo el efecto previsto de impedir el acceso de los intrusos.
También resultó en una pérdida de servicios externos para el personal de Axis, como el correo electrónico entrante y saliente. Los servicios de los socios también se vieron afectados, ya que axis.com y las extranets no estaban disponibles.
Las investigaciones mostraron rápidamente que partes de la infraestructura del servidor se habían visto comprometidas mientras que otras permanecían intactas.
Inmediatamente se iniciaron los trabajos forenses y los proyectos de limpieza y restauración de los componentes afectados con la intención de que, de forma rápida y paulatina, se normalice su funcionamiento.
La producción mundial y la cadena de suministro no se vieron afectadas en gran medida durante todo el período. Los primeros servicios orientados al cliente estuvieron disponibles el domingo 20 de febrero por la noche.
Gradualmente, en los días siguientes, más y más servicios externos fueron liberados y nuevamente disponibles en línea, incluidos servicios comerciales, partes principales de axis.com y servicios de correo electrónico.
El estado del domingo 27 de febrerol, el más reciente presentado por la compañía, es que la mayoría de los servicios externos se han restaurado y algunos aún esperan la autorización de seguridad. En cuanto a los servicios orientados a Internet, Axis actualmente opera en un modo restringido. “Esto continuará mientras la investigación forense esté en curso y hasta que se complete la limpieza y restauración. Esto afecta principalmente a nuestros flujos de trabajo internos y tiene un efecto muy limitado en los clientes y socios. Esperamos que las partes finales de nuestros servicios orientados al cliente estén completamente disponibles en unos pocos días”, indica el reporte.
Hallazgos hasta ahora
La empresa explicó en su reporte que no se han encontrado servidores encriptados, “pero encontramos malware e indicaciones de que los servicios de directorio internos estaban comprometidos. No se ha encontrado que la información del cliente se vea afectada de ninguna manera. En total, encontramos signos limitados de consecuencias dañinas además de la vergüenza general y la pérdida de productividad a medida que limpiamos los servicios para la producción paso a paso”.
Los atacantes utilizaron múltiples métodos de ingeniería social para obtener acceso a pesar de los mecanismos de seguridad de la marca. Las mejoras ya realizadas son cambios que reducen el riesgo de error humano. Los mecanismos técnicos de seguridad se han planteado en general de forma transversal para limitar el riesgo de cualquier evento futuro similar. El efecto es una mayor seguridad a costa de flujos de trabajo ligeramente menos fluidos.
“Ni que decir tiene que somos humildes ante y por la gravedad de la situación. También estamos agradecidos de haber podido detectar y detener un ataque en curso antes de que tuviera efectos mucho más duraderos”.
"Una vez que se hayan restaurado todos los sistemas y la investigación haya concluido, este incidente se analizará ampliamente para determinar los próximos pasos apropiados. Nos gustaría asegurarle que este incidente solo reconfirma nuestro compromiso completo con los principios de ciberseguridad y con su protección. Para ayudar a prevenir futuras intrusiones, continuaremos aumentando nuestra inversión en seguridad, capacitación y educación", comentó Leopoldo Ruíz, Director Regional LATAM de Axis.
La empresa aseguró que presentará más información si su investigación en curso descubre eventos de mayor relevancia.
Fuente: Axis Communications.
