Tim Brown recordará el 12 de diciembre de 2020 para siempre.
Fue el día en que se notificó a la empresa de software SolarWinds que había sido pirateada por Rusia.
Brown, director de seguridad de la información de SolarWinds, comprendió de inmediato las implicaciones: cualquiera de los más de 300.000 clientes globales de la empresa también podría verse afectado.
El exploit permitió a los piratas informáticos acceder remotamente a los sistemas de los clientes que habían instalado el software de red Orion de SolarWinds, incluido el Departamento del Tesoro de EE. UU., la Administración Nacional de Información y Telecomunicaciones del Departamento de Comercio de EE. UU., junto con miles de empresas e instituciones públicas.
Brown dice que estuvo “corriendo con adrenalina” en los primeros días después del ataque.
Fue durante las primeras etapas de la pandemia de Covid cuando el trabajo desde casa a tiempo completo era la norma, pero el correo electrónico de la empresa estaba comprometido y no podía usarse para comunicarse con el personal.
“Renunciamos a los teléfonos y todos vinieron a la oficina y nos hicimos la prueba de Covid”, dice Brown. “Perdí 25 libras en unos 20 días… simplemente, voy, voy, voy”.
Apareció en CNN y 60 Minutes, y en todos los periódicos importantes.
“El mundo está en llamas. Estás tratando de difundir información y de que la gente entienda qué es seguro y qué no”.
La empresa cambió al correo electrónico de Proton y Signal mientras su correo electrónico estaba comprometido, dice Brown. Estaba atendiendo llamadas de empresas y agencias gubernamentales de todo el mundo, incluido el ejército de EE. UU. y el programa de vacunas Covid Operation Warp Speed.
“El mundo quiere comunicación verbal, no comunicación escrita. Y esa es una lección importante: puedes escribir las cosas, pero ellos quieren hablar con el público”. [chief information security officer]”, dice Brown, quien habló en la CyberCon de Melbourne el viernes.
“Quieren poder escuchar el color en el exterior, por lo que es muy importante estar preparados para ese tipo de respuesta”.
Cómo se desarrolló el ciberataque
La notificación sobre el hack se produjo en una llamada telefónica de Kevin Mandia, fundador de la empresa de ciberseguridad Mandiant, al entonces director ejecutivo de SolarWinds, Kevin Thompson.
Mandia le dijo a Thompson que SolarWinds había “enviado código contaminado” a su software Orion, que ayuda a las organizaciones a monitorear las interrupciones en sus redes informáticas y servidores.
Mandia le dijo a Thompson que el exploit en Orion se estaba utilizando para atacar agencias gubernamentales.
“Podríamos ver en ese código [it] no era nuestro, así que cuando lo recibimos, fue ‘está bien, esto es real’”, recuerda Brown.
SolarWinds, con sede en Texas, determinó que 18.000 personas habían descargado el producto contaminado, que los piratas informáticos, atribuidos más tarde al Servicio de Inteligencia Exterior de Rusia, pudieron insertar en Orion en el entorno de construcción donde el código fuente se convierte en software.
La noticia saltó el domingo. SolarWinds notificó al mercado de valores antes de su apertura el lunes.
La estimación original de que hasta 18.000 clientes podrían verse afectados se revisó posteriormente a unas 100 agencias y empresas gubernamentales que realmente lo estaban.
“Hubiera sido bueno saber eso el primer día, pero esa era la verdad del asunto, ¿verdad?” dice Brown. “No éramos realmente el objetivo. Éramos sólo una ruta hacia el objetivo”.
SolarWinds convocó a CrowdStrike, KPMG y al bufete de abogados DLA Piper para que se ocuparan de la respuesta y la investigación.
Secuelas: el infarto
SolarWinds dejó de trabajar en nuevas funciones durante los siguientes seis meses y su equipo de 400 ingenieros se centró en sistemas y seguridad para que la empresa se recuperara.
“Nos tomamos muy en serio la transparencia: ¿cómo podemos asegurarnos de que la gente se dé cuenta? [what] modelos de actores de amenazas [are out there]qué hacen, cómo hacen el reconocimiento, cómo luego atacan [and] cómo luego se van”.
Brown dice que la tasa de renovación de clientes de la compañía cayó al rango del 80% en los primeros meses después del incidente, pero desde entonces ha vuelto a más del 98%.
Pero luego vinieron las implicaciones legales.
La administración Biden impuso sanciones y expulsó a los diplomáticos rusos en 2021en parte en respuesta al ataque.
SolarWinds resolvió una demanda colectiva por el ataque en 2022 por 26 millones de dólares. El Comisión de Bolsa y Valores (SEC) luego presentó una demanda contra SolarWinds y Brown personalmente en octubre de 2023, acusando a la compañía y a Brown de engañar a los inversores sobre sus afirmaciones sobre protecciones de ciberseguridad y de no revelar vulnerabilidades conocidas.
Brown estaba en Zurich cuando se enteró de que le estaban acusando.
“Cuando subía una colina, me quedaba sin aliento. Los brazos me pesaban y el pecho se oprimía. Simplemente no recibía suficiente oxígeno”, dice. “Hice una tontería. Volé a casa… No podía caminar desde la terminal hasta mi auto sin parar. Esa es una caminata que había hecho miles de veces”.
Estaba sufriendo un infarto. Cuando llegó a casa, su esposa lo llevó al hospital, donde fue operado. Desde entonces se ha recuperado.
“El estrés sigue acumulándose y pensé que lo estaba manejando bien y no fui al médico de manera proactiva”, dice.
Brown dice que ahora aboga por que las empresas que atraviesan incidentes similares empleen psiquiatras para ayudar al personal a procesar el estrés.
“El nivel de estrés aumentó y luego simplemente llegó al límite, pero el estrés se acumulaba todo el tiempo”.
En julio se anunció una propuesta confidencial de acuerdo conjunto con la SEC, pero aún no ha sido aprobada. El cierre del gobierno estadounidense ha retrasado la finalización del acuerdo.
Brown permaneció en SolarWinds durante todo el proceso.
“Ocurrió durante mi mandato, así es como lo veo. Hay razones por las que ocurrió, un ataque de un Estado nación, etcétera, pero aun así sucedió durante mi mandato”, dice.
“Supongo que soy terco. Pero era muy importante para nosotros superar todo este ciclo, por lo que irnos no era una opción hasta que terminara”.
