El comunicado, por parte del mismo CEO de RSA Arthur W. Coviello en el blog de la compañía, se trata de una carta abierta a todos sus clientes, en los que informa del descubrimiento de dicho ataque, definiéndolo como un APT (Advanced Persistent Threat, o amenaza avanzada persistente) en toda regla, término de moda sobretodo tras los sucesos ocurridos el año pasado con el caso del hackeo a Google. Se engloban los ataques sofísticados, casi siempre teniendo que recurrir a 0daysy cuyo objetivo principal es el robo de información.
No sabemos más detalles del ataque, Coviello ya ha anunciado que el caso está en manos del Gobierno, y estamos seguros que durante los próximos días iremos sabiendo más y más...o eso esperamos por lo menos.
¿Qué pudo pasar? ¿Habrá sido de nuevo un ataque de ingeniería social como ocurrió con todo lo referente a HBGary y Rootkit.com? ¿Se habrá comprometido a algún trabajador, y su equipo estaba lleno de información suculenta, o tenía acceso a la red interna? No estamos seguros, pero yo personalmente voto a una cadena de acontecimientos, que si RSA no informa sobre los tiempos, podría cuadrar. Aquí va una teoría, que podría cuadrar:
1) En Febrero de este año, tuvo lugar la RSA Conference, congreso de seguridad de mucho prestigio y organizado por RSA. Obviamente, en dicho congreso debería haber algún que otro trabajador de dicha empresa.
2) "Quizás", alguno de dichos trabajadores no tendría su portátil lo suficientemente configurado y asegurado, o por un momento lo dejó en algún sitio, susceptible a un ataque físico. O "quizás", en alguno de los stands que tuviese la propia compañía, se encontraban sistemas que luego se enchufarían en su red.
3) Alguien pudo plantar un regalo en alguno de estos sistemas, algún malware, quizás durante alguna de las múltiples fiestas que se celebraron, alguien aprovechó el momento y compromultetió alguno de los sistemas.
4) La RSA Conference pasó, todo volvió a su ciclo normal, y el ataque al volver a casa se hizo efectivo, dejando la puerta abierta a los malos para disfrutar de una red tan jugosa desde su propia casa.
¿Podría ser no? Para desmontar esta teoría, únicamente deberíamos conocer cuando pudo ocurrir dicho ataque, o si hay indicios de algún tipo de infección en alguno de los equipos de algún empleado.
Esperaremos ansiosos más información al respecto del ataque, y sobretodo, el alcance real y que podría suponer para sus productos.
Fuente: Security by Default
