La Oficina del Comisionado de Información (ICO) ha emitido una reprimenda a la Comisión Electoral después de que errores básicos de seguridad permitieran a piratas informáticos vinculados al Estado chino acceder a servidores que contenían información personal de 40 millones de personas.
Los piratas informáticos pudieron acceder al servidor Microsoft Exchange de la Comisión Electoral después de que la organización no logró solucionar las vulnerabilidades de seguridad conocidas.
La Comisión Electoral reveló en agosto de 2023 que había sido objeto de un importante ciberataque en 2021, que no fue detectado durante 12 meses.
Los atacantes obtuvieron acceso a la información personal almacenada en el registro electoral, incluidos los nombres y direcciones de todas las personas que se habían registrado para votar entre 2014 y 2022. También tuvieron acceso a los datos personales de las personas que habían optado por no registrar sus datos en la versión abierta del registro electoral y los nombres de los electores extranjeros registrados.
El entonces viceprimer ministro conservador, Oliver Dowden, dijo a la Cámara de los Comunes en marzo de 2024 que era “muy probable” que grupos de hackers vinculados al Estado chino hubieran estado detrás del ataque.
Una campaña separada llevada a cabo por un grupo de hackers patrocinado por el Estado chino tuvo como objetivo las cuentas de correo electrónico de más de 40 parlamentarios del Reino Unido que se habían pronunciado contra China.
Vulnerabilidades conocidas
Las investigaciones sobre el ataque contra la Comisión Electoral revelaron que al menos dos grupos de piratas informáticos habían accedido a un servidor Microsoft Exchange interno utilizado para administrar el correo electrónico y servicios relacionados.
Los grupos explotaron vulnerabilidades conocidas en Exchange Server, que permaneció sin parchear durante tres a cinco meses después de que Microsoft publicara soluciones al problema. La ICO descubrió que la Comisión Electoral no contaba con un “régimen de parches apropiado”, por lo que las vulnerabilidades de seguridad persistieron.
Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, es muy probable que esta violación de datos no hubiera ocurrido
Stephen Bonner, ICO
La Comisión Electoral también fue criticada por no contar con políticas de contraseñas adecuadas en el momento del ataque. Las investigaciones revelaron que muchos usuarios utilizaban contraseñas similares o idénticas a las asignadas originalmente por el servicio de asistencia.
El comisionado de información, Stephen Bonner, dijo: “Si la Comisión Electoral hubiera tomado medidas básicas para proteger sus sistemas, como parches de seguridad efectivos y gestión de contraseñas, es muy probable que esta violación de datos no hubiera ocurrido. Al no instalar las últimas actualizaciones de seguridad con prontitud, sus sistemas quedaron expuestos y vulnerables a los piratas informáticos”.
Fallos de parcheo
Según el informe de ICO, los piratas informáticos pudieron acceder a Microsoft Exchange Server sin parches en agosto de 2021 explotando una vulnerabilidad conocida como cadena de vulnerabilidades ProxyShell.
La vulnerabilidad, previamente identificada como un problema crítico por Microsoft, se consideraba una vulnerabilidad fácil de explotar para los piratas informáticos y era bien conocida en la comunidad de piratas informáticos, ya que fue discutida por investigadores en la conferencia de piratería Black Hat en 2021.
Un informe encargado por la Comisión Electoral identificó posteriormente otras ocho vulnerabilidades en los servidores Microsoft Exchange de la organización que podrían haber sido explotadas por piratas informáticos.
“Esta falla es una medida básica que esperaríamos ver implementada en cualquier organización que procese datos personales”, dijo la ICO en una reprimenda formal.
Contraseñas adivinables
La ICO descubrió que la Comisión Electoral no contaba con una política específica de administración de contraseñas y que la única guía para las contraseñas era “no revelar ni escribir contraseñas”.
Los investigadores de seguridad descubrieron que las contraseñas establecidas por el servicio de TI de la Comisión Electoral cuando creaba nuevas cuentas o restablecía cuentas antiguas no eran seguras. Los investigadores pudieron descifrar rápidamente 178 cuentas activas utilizando contraseñas idénticas o similares a las proporcionadas por el servicio de asistencia técnica. Una auditoría encontró que la práctica de la mesa de servicio de reutilizar contraseñas hacía que las cuentas de la Comisión Electoral fueran “altamente susceptibles” a ser descifradas.
La Comisión Electoral informó de una incursión en el Centro Nacional de Seguridad Cibernética (NCSC) después de que un empleado descubriera que se estaban enviando correos electrónicos no deseados desde el servidor Exchange de la Comisión Electoral en octubre de 2021.
En ese momento, la Comisión Electoral dijo que consideraba que el asunto era un incidente aislado, según la amonestación del ICO.
La Comisión Electoral era consciente de los problemas con la infraestructura obsoleta e informó que, como planeaba trasladar su infraestructura a la nube, “las medidas correctivas con los servidores antiguos eran limitadas”, según el informe de la ICO.
riesgo chino
En mayo de 2024, la directora del GCHQ, Anne Keast-Butler, advirtió que las capacidades cibernéticas de China representaban una amenaza importante para el Reino Unido y otros países.
“China ha creado un conjunto avanzado de capacidades cibernéticas y está aprovechando un creciente ecosistema comercial de equipos de piratería informática y corredores de datos a su disposición”, afirmó.
Estos incluyen una campaña de un grupo de piratería patrocinado por el Estado chino, conocido como APT31, que tuvo como objetivo las cuentas de correo electrónico de más de 40 parlamentarios del Reino Unido que se habían pronunciado contra China.
El Ministerio de Asuntos Exteriores, Commonwealth y Desarrollo convocó al embajador chino en el Reino Unido para responder preguntas sobre los ataques en marzo de 2024.
Pasos correctivos
La Comisión Electoral dijo que había tomado una serie de medidas correctivas después del incidente, incluida la implementación de un plan de modernización tecnológica y la introducción de un servicio de soporte de infraestructura administrada.
La Comisión Electoral también ha implementado servicios para monitorear servidores, firewalls y tráfico de Internet, y para respaldar programas de amenazas y vulnerabilidad.
Además, introdujo controles de política de contraseñas en Active Directory de Microsoft e implementó la autenticación multifactor (MFA) para todos los usuarios.
El comisionado de información Bonner dijo que aunque un número inaceptablemente alto de personas se vieron afectadas por el ataque, la ICO no tenía motivos para creer que se hubiera utilizado indebidamente ningún dato personal y no había evidencia de que la violación hubiera causado “daños directos”.
Un portavoz de la Comisión Electoral dijo: “Lamentamos que no existieran protecciones suficientes para evitar el ciberataque a la comisión. Desde que los expertos en ciberataques, seguridad y protección de datos, incluido el ICO, el Centro Nacional de Seguridad Cibernética y especialistas externos, han examinado cuidadosamente las medidas de seguridad que hemos implementado y estas medidas inspiran su confianza”.
