Noticias
Supercomputación en el punto de mira de los ciberdelincuentes
La supercomputación, pese a no ocupar titulares todos los días, es un área fascinante del mundo de la informática. Y es que gracias a estos sistemas es posible realizar cálculos increíblemente complejos, que se emplean en múltiples campos de la ciencia y la investigación. Operaciones con las que es posible realizar simulaciones muy complejas, necesarias desde para planificar el siguiente paso de la exploración espacial, hasta para intentar determinar los patrones evolutivos del coronavirus en el futuro.
Claro, esa capacidad de cálculo puede ser empleada para muchos fines, y esto es algo que no se les escapa a los ciberdelincuentes. Tanto es así que hoy sabemos por Una al día, el blog de seguridad de Hispasec, que en los últimos días varias plataformas de supercomputación, alrededor de una docena, han sido el objetivo de ataques dentro de una campaña. ¿El objetivo? Poner todos esos sistemas a minar cibermonedas, más concretamente Monero, que de un tiempo a esta parte parece ser la elección favorita de los delincuentes.
Aunque todavía está por determinar el número definitivo de sistemas afectados, ayer lunes ya se hablaba de clusters de Alemania, Reino Unido, Polonia y también España. Más concretamente, según el investigador Felix von Letiner, se trataría de una plataforma de supercomputación ubicada en Barcelona, lo que evidentemente nos hace pensar de inmediato en el Barcelona Supercomputing Center – Centro Nacional de Supercomputación (BSC-CNS) y su buque insignia, MareNostrum.
Para lograr los accesos, algunos de los cuales tuvieron lugar en enero, los ciberdelincuentes han hecho uso de credenciales de acceso SSH que se habrían visto comprometidas en algún momento. Las instituciones que se han visto afectadas han informado a sus usuarios de que, provisionalmente, no es posible subir nuevas cargas de trabajo a los sistemas, si bien las que ya se habían subido serán procesadas con normalidad, y han procedido a eliminar todas credenciales comprometidas y que han sido empleadas para los accesos no autorizados a estas plataformas de supercomputación.
Resulta llamativo, sin duda, que los ciberatacantes hayan decidido emplear todas las plataformas a las que tenían acceso de manera simultánea. Quizá, para este tipo de ataques, tendría más sentido dejar de lado el paradigma clásico de campañas, y optar por un modelo de acciones independientes, que de menos notoriedad a estas acciones y, por lo tanto, permita explotar el problema de seguridad durante más tiempo. A no ser, claro, que las credenciales comprometidas fueran comunes en todos los sistemas. Pero esta posibilidad suena tan espeluznante, desde el punto de vista de la seguridad, que prefiero pensar que no es así.