Recientemente, AnyDesk, una popular herramienta de acceso remoto utilizada por millones alrededor del mundo, confirmó una brecha de seguridad significativa en sus servidores de producción. Este incidente pone de relieve la creciente sofisticación de los ciberataques y la importancia de adoptar medidas de seguridad robustas.
El 2 de febrero de 2024 se confirmó que AnyDesk fue víctima de un reciente ataque cibernético en el que los atacantes lograron acceder a los sistemas de producción de la compañía. Durante dicho incidente, se comprometieron tanto el código fuente como las claves de firma de código privado.
AnyDesk es una plataforma de acceso remoto ampliamente utilizada que permite a los usuarios acceder a computadoras de forma remota a través de redes o Internet. Esta herramienta goza de una gran popularidad entre empresas que la emplean para ofrecer soporte remoto o acceder a servidores ubicados en diferentes lugares.
Además, AnyDesk también es apreciada por actores de amenazas que la utilizan para mantener acceso persistente a dispositivos y redes comprometidas.
Cabe mencionar que la empresa cuenta con una amplia base de clientes, que incluye a 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS y las Naciones Unidas, entre otros, sumando un total de 170,000 clientes.
Conoce más sobre: AnyDesk: Revolucionando el Acceso a Distancia
En una declaración emitida el viernes por la tarde, AnyDesk reveló que tomaron conocimiento del ataque después de detectar indicios de un incidente en sus propios servidores de productos. Luego de una exhaustiva auditoría de seguridad, confirmaron que sus sistemas habían sido comprometidos, y en consecuencia, pusieron en marcha un plan de respuesta en colaboración con la firma de ciberseguridad CrowdStrike.
Aunque la declaración de AnyDesk no proporcionó detalles sobre la posible sustracción de datos durante el ataque, se ha sabido que los actores de amenazas lograron acceder y llevarse el código fuente y los certificados de firma de código.
La empresa también afirmó que el ataque no implicó el uso de ransomware, aunque no se proporcionó una cantidad sustancial de información adicional sobre los detalles del ataque. En cambio, se centraron en comunicar cómo abordaron y respondieron a la situación.
Como parte de su respuesta, AnyDesk tomó medidas para revocar los certificados relacionados con la seguridad y realizar las correcciones y reemplazos necesarios en sus sistemas. Además, tranquilizaron a sus clientes afirmando que AnyDesk seguía siendo seguro de usar y que no se había encontrado evidencia de que los dispositivos de los usuarios finales se hubieran visto afectados por el incidente.
AnyDesk recomendó a los usuarios asegurarse de utilizar la última versión del software, que cuenta con un nuevo certificado de firma de código, aunque aseguraron que no se habían comprometido tokens de autenticación. A pesar de esto, por precaución, la empresa está revocando todas las contraseñas de su portal web y sugiere cambiar las contraseñas si se han utilizado en otros sitios.
La empresa también informó que ya ha comenzado a reemplazar los certificados de firma de código comprometidos y que se ha lanzado una nueva versión del software, la 8.0.8 de AnyDesk, que incluye el nuevo certificado. Este cambio se refleja en el nombre de la empresa firmante y el número de serie del certificado.
Te podrá interesar leer: ¿Tu software está al día?: Importancia de los Parches
Por lo general, los certificados no se anulan a menos que haya evidencia de compromiso, como en el caso de su robo en ataques o su exposición pública. Aunque no se compartió la fecha exacta de la infracción, se reportó que AnyDesk experimentó una interrupción de cuatro días a partir del 29 de enero. Durante este período, la empresa deshabilitó la capacidad de inicio de sesión en el cliente AnyDesk.
En un mensaje de estado en el portal de AnyDesk, se indicó: "my.anydesk II se encuentra actualmente en mantenimiento, que se espera que dure las próximas 48 horas o menos". A pesar de esto, se aseguró a los usuarios que aún podrían acceder y utilizar sus cuentas de manera normal, y que el inicio de sesión en el cliente AnyDesk se restauraría una vez que se completara el mantenimiento.
El acceso se restableció ayer, permitiendo que los usuarios iniciaran sesión en sus cuentas, aunque no se proporcionó una explicación específica por parte de AnyDesk para la realización del mantenimiento. AnyDesk confirmó que este mantenimiento estaba relacionado con el incidente de ciberseguridad.
Se recomienda encarecidamente a todos los usuarios que actualicen a la nueva versión del software, ya que el antiguo certificado de firma de código será revocado próximamente. Además, a pesar de la declaración de AnyDesk de que no se habían sustraído contraseñas en el ataque, dado que los actores de amenaza lograron acceder a los sistemas de producción, se aconseja a todos los usuarios de AnyDesk que cambien sus contraseñas como medida de precaución. Si han utilizado la misma contraseña en otros sitios, se sugiere que también la cambien en esos lugares.
Te podrá interesar leer: Importancia de cambiar regularmente tus contraseñas
Es lamentable que cada semana se reporten nuevas infracciones a empresas conocidas. Recientemente Cloudflare reveló que fueron comprometidos el Día de Acción de Gracias, utilizando claves de autenticación robadas durante el ciberataque a Okta el año pasado. La semana pasada, Microsoft también informó que sufrieron un ataque por parte de piratas informáticos patrocinados por el estado ruso llamados Midnight Blizzard, quienes también atacaron a HPE en mayo.
La brecha de seguridad en AnyDesk sirve como un recordatorio crítico de la importancia de la ciberseguridad en el mundo digital de hoy. A medida que los ciberdelincuentes continúan desarrollando métodos más sofisticados, la vigilancia y la adopción de prácticas de seguridad sólidas son fundamentales para proteger la información sensible. Al mantener el software actualizado, utilizar la autenticación de dos factores, educarse sobre las tácticas de ciberseguridad, implementar soluciones de seguridad confiables y monitorear la actividad del sistema, los usuarios pueden fortalecer significativamente su defensa contra futuros ataques.