TL;DR:

Documentos obtenidos por Bloomberg vía FOIA revelan nuevos detalles del hackeo de SolarWinds al Departamento del Tesoro.

Los atacantes habrían tenido acceso potencial a correos @treasury.gov del 6 de julio al 12 de octubre de 2020.

El caso muestra cómo un ataque a la cadena de suministro puede abrir rutas profundas hacia sistemas gubernamentales sensibles.

Documentos obtenidos por Bloomberg News mediante una demanda bajo la Ley de Libertad de Información de EE. UU. revelan que los hackers vinculados por Washington al servicio de inteligencia exterior ruso pudieron tener acceso amplio a correos del Departamento del Tesoro durante buena parte de 2020. El nuevo dato importa porque el ataque de SolarWinds no solo comprometió software usado por agencias federales: también habría dado a los intrusos caminos para moverse dentro de sistemas sensibles del gobierno estadounidense.

El punto más delicado no es solo que los atacantes entraran. Es cuánto pudieron tocar.

De acuerdo con los documentos citados por Bloomberg, los hackers tomaron el control de una cuenta de administrador global relacionada con los sistemas SolarWinds del Tesoro el 6 de julio de 2020. Desde ahí hicieron cambios en una aplicación llamada Secure Mail, lo que “potencialmente permitió acceso a todas las direcciones de correo terminadas en ‘treasury.gov’”, según el memo de agentes especiales de la oficina del inspector general del Tesoro.

Ese acceso se habría mantenido hasta el 12 de octubre de 2020, cuando un cambio del sistema lo bloqueó de forma inadvertida. El mismo documento, citado por Bloomberg, indica que el empleado cuya cuenta fue comprometida no tenía claro qué correos fueron objetivo ni si los atacantes extrajeron datos.

La diferencia es clave: los documentos apuntan a capacidad potencial de acceso masivo, pero no prueban públicamente que todos los correos del Tesoro hayan sido leídos o robados.

El acceso potencial fue mayor que las cuentas vigiladas

Reportes previos habían señalado que los hackers se enfocaron en un grupo limitado de cuentas dentro del Tesoro. Bloomberg ya había informado que los investigadores del inspector general identificaron ocho cuentas de correo como foco de los atacantes, incluidas cuentas de personal que trabajaba en investigaciones sensibles relacionadas con Rusia.

Los nuevos documentos amplían la lectura del caso. Según el reporte, una cuenta comprometida estaba conectada con más de 300 cuentas adicionales, lo que habría dado a los atacantes capacidad potencial para leer, escribir, editar o borrar información asociada a ellas.

Entre las áreas mencionadas aparecen equipos vinculados con:

• tecnología;
• asuntos internacionales;
• terrorismo e inteligencia financiera;
• sanciones.

Ese cruce vuelve más sensible el incidente. El Tesoro no solo administra temas fiscales: también participa en sanciones, inteligencia financiera y medidas económicas contra actores extranjeros. En términos prácticos, un acceso profundo a correos internos pudo ofrecer una ventana a prioridades, investigaciones y comunicaciones de alto valor estratégico.

SolarWinds sigue siendo una advertencia para la cadena de suministro

SolarWinds es una empresa de software cuyo producto Orion se usaba para monitorear redes corporativas y gubernamentales. En 2020, atacantes insertaron código malicioso en actualizaciones legítimas del software, una técnica conocida como ataque a la cadena de suministro.

La GAO, órgano fiscalizador del Congreso estadounidense, describió el incidente como una de las campañas de hackeo más amplias y sofisticadas contra el gobierno federal y el sector privado. También señaló que cerca de 18,000 clientes de SolarWinds recibieron una actualización comprometida, aunque los atacantes eligieron después a un grupo mucho menor de objetivos de alto valor.

Estados Unidos atribuyó formalmente la campaña al SVR, el Servicio de Inteligencia Exterior de Rusia, en abril de 2021. Reuters reportó entonces que el hackeo comprometió nueve agencias federales y cientos de empresas privadas. El FBI, la NSA y CISA también publicaron una alerta conjunta sobre tácticas del SVR y vulnerabilidades explotadas por actores rusos.

La embajada rusa en Washington negó en su momento la responsabilidad atribuida por Estados Unidos.

El dato incómodo: todavía hay zonas oscuras

El caso vuelve a poner sobre la mesa una pregunta que sigue sin respuesta completa: qué hicieron exactamente los atacantes dentro de las redes donde permanecieron durante meses.

Los documentos revelados por Bloomberg ayudan a dimensionar el acceso en el Tesoro, pero también muestran límites importantes:

• no queda claro qué correos específicos revisaron;
• no se confirma públicamente si hubo extracción de datos;
• los documentos están fuertemente editados;
• Treasury y la oficina del inspector general no ofrecieron comentarios al reporte antes de su publicación;
• SolarWinds tampoco respondió a la solicitud de Bloomberg.

Para empresas y gobiernos en México y América Latina, la lección no está en el nombre SolarWinds como caso histórico. Está en el método: cuando una herramienta confiable de administración de red se convierte en puerta de entrada, el perímetro tradicional deja de servir como garantía.

El nuevo expediente no cierra la historia del hackeo de 2020. La reabre con una advertencia más precisa: en ciberseguridad, el daño real no siempre se mide por el primer acceso, sino por los privilegios que ese acceso permite alcanzar.

Fuentes: 1, 2, 3, 4, 5