La ICANN, entidad sin ánimo de lucro responsable de la coordinación global del sistema de identificadores únicos de Internet (direcciones IP y nombres de dominio), ha anunciado que, en estos momentos, está investigando una intrusión reciente en sus sistemas. Según confirman en su página web, "creemos que se trató de un ataque de spearphishing, iniciado a finales de noviembre de 2014". El ataque consistió en varios mensajes dirigidos a miembros de su personal, redactados en forma tal que parecían provenir de su propio dominio. Como resultado del ataque, se vieron comprometidas las credenciales de correo electrónico de varios miembros del personal de la ICANN.
A principios de diciembre de 2014, descubrieron que las credenciales comprometidas también fueron utilizadas para acceder a los siguientes sistemas de la ICANN, además de sus cuentas de correo electrónico:
- El Servicio de Datos de Zona Centralizado (czds.icann.org).
El atacante obtuvo acceso a todos los archivos administrativos en el CZDS. Esto incluye las copias de los archivos de zona en el sistema, junto con la información ingresada por los usuarios – como nombre, dirección de correo postal, dirección de correo electrónico, número de fax, número de teléfono, nombre de usuario y contraseña. Si bien las contraseñas estaban guardadas como contraseñas cifradas mediante bits aleatorios con función hash (salted cryptographic hashes),hemos desactivadotodas las contraseñas CZDS comomedida de precaución. Los usuarios pueden solicitar una nueva contraseña en czds.icann.org. Sugerimos que los usuarios de CZDS tomen las medidas apropiadas para proteger sus demás cuentas en línea en las cuales hayan usado el mismo nombre de usuario y/o la misma contraseña. La ICANN está notificando a los usuarios de CZDS cuyos datos personales pudieron haberse visto comprometidos.
- El espacio Wiki del GAC en la ICANN (gacweb.icann.org).
Se visualizó información pública, la página de inicio de la sección exclusiva para miembros y la página de perfil de usuario de una persona. No se visualizó ningún otro contenido que no fuese de carácter publico.
También se logró el acceso no autorizado a cuentas de usuarios de otros dos sistemas: el blog de la ICANN (blog.icann.org) y el portal de información de WHOIS (whois.icann.org). No se detectó ningún impacto sobre estos dos sistemas.
El comunicado continúa diciendo que "Sobre la base de nuestra investigación a la fecha, no tenemos conocimiento de que se haya visto comprometido ningún otro sistema, y hemos confirmado que este ataque no afecta a ninguno de los sistemas que guardan relación con la IANA. A comienzos de este año, la ICANN inició un programa de mejoras en materia de seguridad, tendientes a fortalecer la seguridad informática en todos sus sistemas. Creemos que estas mejoras ayudaron a restringir el acceso no autorizado que se logró mediante el ataque. A partir de que se descubriera el ataque, hemos implementado medidas de seguridad adicionales".
El ICANN concluye manifestando que la información facilitada se ofrece, "no solo en virtud de nuestro compromiso con la apertura y la transparencia, sino porque compartir información sobre ciberseguridad ayuda a que todos evalúen las amenazas que enfrentan sus sistemas. Para más información sobre este ataque, tengan a bien seguir las actualizaciones en el sitio web de la ICANN".
ICANN (16-12-2014)
Más información
