Los documentos muestran que el gobierno recurrió a Signal para comunicarse, dependió de Microsoft para descubrir la intrusión y enfrentó una limitación que sigue siendo familiar para muchas organizaciones: la escasez de personal especializado.

Cuando se habla del caso SolarWinds, la atención suele centrarse en la sofisticación técnica de la operación atribuida al Servicio de Inteligencia Exterior de Rusia (SVR). El compromiso de la cadena de suministro de software permitió a los atacantes infiltrarse en organismos gubernamentales, empresas tecnológicas y operadores de infraestructura crítica sin levantar sospechas durante meses.

Sin embargo, una serie de documentos publicados recientemente mediante una solicitud FOIA ofrece una perspectiva diferente.

Más allá del malware, los indicadores de compromiso y los certificados robados, los documentos muestran cómo vivió el Departamento del Tesoro estadounidense una de las mayores operaciones de espionaje digital de la historia reciente.

Y las conclusiones son reveladoras.

Cuando el correo electrónico dejó de ser confiable

Uno de los detalles más llamativos es que, una vez detectada la intrusión, los responsables de seguridad asumieron que el correo corporativo ya no era un medio seguro para coordinar la respuesta.

La solución fue tan simple como incómoda: migrar las comunicaciones hacia Signal.

Según los testimonios incluidos en el expediente, tanto personal del Tesoro como funcionarios de la Agencia de Ciberseguridad e Infraestructura (CISA) comenzaron a utilizar la aplicación de mensajería cifrada para coordinar acciones mientras intentaban determinar el alcance real del compromiso.

La situación expone una realidad que rara vez aparece en los planes de respuesta a incidentes: cuando los sistemas internos dejan de ser confiables, las organizaciones necesitan canales alternativos para seguir operando.

Microsoft detectó el ataque antes que el propio Tesoro

Los documentos también confirman otro aspecto relevante.

La alerta inicial no provino de los equipos internos del Tesoro.

Fue Microsoft quien notificó a la organización sobre actividad sospechosa relacionada con certificados SAML comprometidos y acceso indebido a servicios en la nube.

En otras palabras, una de las agencias más importantes del gobierno estadounidense no descubrió por sí sola la intrusión.

La dependencia de proveedores externos para detectar amenazas avanzadas es una realidad cada vez más frecuente. A medida que las infraestructuras migran hacia servicios cloud, también aumenta la dependencia de quienes poseen la mayor visibilidad sobre esos entornos.

El verdadero objetivo no era SolarWinds

Aunque el malware distribuido a través de SolarWinds fue el vector inicial de acceso, la documentación deja claro que los investigadores consideraban que el objetivo final era mucho más valioso.

Durante una sesión informativa interna, responsables de seguridad describieron los certificados de firma de Active Directory Federation Services (ADFS) como la auténtica “joya de la corona” de la operación.

Con esos certificados, un atacante puede generar identidades aparentemente legítimas y acceder a servicios federados como Microsoft 365 sin necesidad de comprometer nuevamente los sistemas originales.

Esto ayuda a comprender por qué SolarWinds fue mucho más que un incidente de malware.

Fue una operación dirigida contra la infraestructura de identidad digital del gobierno estadounidense.

Espionaje orientado a sanciones y política exterior

Los documentos también permiten reconstruir parcialmente quiénes fueron algunas de las víctimas dentro del Tesoro.

Entre las cuentas comprometidas aparecen investigadores de la Oficina de Control de Activos Extranjeros (OFAC) que trabajaban en sanciones relacionadas con Rusia, Bielorrusia y Ucrania, especialistas involucrados en investigaciones sobre oligarcas rusos, funcionarios dedicados a relaciones con la Unión Europea y la OTAN, administradores de sistemas de correo electrónico y asistentes ejecutivos vinculados a altos cargos del Departamento.

Aunque los nombres fueron eliminados mediante redacciones, los perfiles de las víctimas ofrecen pistas sobre el posible interés estratégico detrás de la operación.

Lejos de buscar destrucción o sabotaje, el patrón encaja mucho más con una campaña clásica de inteligencia estatal orientada a recopilar información diplomática, financiera y geopolítica.

El problema que más preocupaba no era técnico

Quizás la revelación más interesante de todo el expediente no tenga nada que ver con Rusia, SolarWinds ni Microsoft.

Tiene que ver con personas.

Durante las entrevistas realizadas por la Oficina del Inspector General, responsables de respuesta a incidentes reconocieron que el Tesoro contaba con tecnología suficiente para afrontar una crisis importante.

Lo que faltaba era personal.

Según los testimonios, la organización podía mantener sus operaciones normales o responder a un incidente de gran escala, pero hacer ambas cosas simultáneamente resultaba extremadamente difícil.

Uno de los responsables incluso señaló que no existía personal dedicado exclusivamente a revisar registros y detectar comportamientos anómalos antes de que se transformaran en incidentes.

La frase más contundente de toda la investigación resume el problema de forma directa: la inversión se estaba realizando en tecnología, pero la escasez estaba en las personas capaces de gestionarla.

Una lección que sigue vigente

Más de cinco años después de SolarWinds, la mayoría de las organizaciones continúan enfrentando desafíos similares.

Las plataformas son más avanzadas. Los sistemas de detección son más sofisticados. Los presupuestos tecnológicos son mayores.

Pero la falta de analistas, investigadores, especialistas en respuesta a incidentes y profesionales capaces de interpretar lo que muestran las herramientas sigue siendo una de las mayores debilidades del sector.

Los documentos FOIA del Tesoro recuerdan algo que suele perderse entre titulares sobre malware y espionaje internacional:

La ciberseguridad no fracasa únicamente por vulnerabilidades técnicas.

Muchas veces fracasa porque no hay suficientes personas mirando los indicadores correctos en el momento adecuado.