Fallos de seguridad en Nasdaq favorecieron condiciones para ataques informáticos

Portales de seguridad informática como Cibersur y Enfoque Seguro dieron a conocer que una investigación federal realizada el año pasado tras el ciberataque al Nasdaq OMX Group reveló unas medidas de seguridad sorprendentemente laxas que hacían del agente bursátil un blanco fácil para los piratas informáticos, según afirmó gente con conocimiento de la situación. Las fuentes no quisieron identificarse porque el asunto es clasificado.

La investigación en curso del FBI se centra en el software de colaboración para grupos corporativos Nasdaq’s Directors Desk, en el que tuvo lugar el incidente. El software online es utilizado por los directivos para compartir información confidencial y colaborar en proyectos.

Los investigadores descubrieron que la arquitectura informática básica de Nasdaq era sólida, y mantenía sus sistemas de comercio a salvo de los piratas, según cuatro personas al tanto de la investigación federal o que tenían conocimiento de los esfuerzos de Nasdaq para mejorar su seguridad con la ayuda de consultores externos.

Sin embargo, las fuentes dijeron que los investigadores se sorprendieron al encontrar algunos ordenadores con software desactualizado, cortafuegos mal configurados y parches de seguridad sin instalar que podrían haber fomentado los llamados ‘bugs’, vulnerabilidades que los hackers podrían explotar. Varias versiones del sistema operativo Windows 2003 server de Microsoft, por ejemplo, no se habían actualizado apropiadamente.

Aunque Nasdaq no es la primera compañía que descuida que se lleven a cabo las actualizaciones de software, los investigadores se sorprendieron de que el operador de Bolsa no cuidara más lo que la industria denomina ‘ciberhigiene’, dada su importancia para los sistemas financieros.

‘Fue un trabajo fácil’, dijo una persona familiarizada con las prácticas de seguridad de Nasdaq. ‘Uno habría pensado que eran como un ciber Fort Knox, pero ese no era el caso en absoluto’.

Nasdaq defendió sus prácticas de seguridad y afirmó que no se había comprometido ninguna información en el ciberataque, detectado en octubre de 2010.

Carl-Magnus Hallberg, vicepresidente de los servicios de tecnología de la información de Nasdaq OMX, dijo a Reuters que era injusto concluir que las prácticas de seguridad eran laxas simplemente porque el Directors Desk fue atacado. Aseguró que habría sido virtualmente imposible defenderse de los piratas que emplearon un malware aún no conocido.

‘Fue un ataque sofisticado’, dijo Hallberg. Declinó hacer más comentarios y dar datos concretos sobre la investigación, aduciendo que su compañía no discute públicamente los detalles de sus prácticas de seguridad.