Actualización sobre SolarWinds

Luiz Di Bella

Nos gustaría proporcionar una nueva actualización a nuestros clientes en relación con la fuga de datos de SolarWinds. En este punto reiteramos el mensaje que publicamos ayer: no hemos desempeñado ningún papel en esta fuga de datos, ni somos conscientes de ninguna vulnerabilidad en TeamCity que pueda haber provocado esta fuga de datos, y tampoco estamos al tanto de ninguna investigación en curso.

¿Qué es TeamCity y por qué está en las noticias?
TeamCity es nuestra herramienta de integración y entrega continua. Sirve para automatizar la compilación, las pruebas y, opcionalmente, la implementación de software. Actualmente solo está disponible en general como aplicación alojada de forma autónoma, lo que significa que el usuario final es responsable de la instalación, la configuración y el mantenimiento del sistema, incluidos los ajustes de seguridad y de acceso.

Según la información pública disponible (que hasta la fecha es lo único de lo que tenemos conocimiento, ya que ni SolarWinds ni ningún organismo gubernamental nos han facilitado ningún detalle sobre la fuga de datos), parece que el ataque a SolarWinds estaba dirigido a su proceso de compilación (lo que los medios de comunicación llaman un ataque a la cadena de suministro). SolarWinds utiliza TeamCity entre otras herramientas durante el proceso de compilación. Sin embargo, en este momento, como también se desprende de las declaraciones del propio portavoz de SolarWinds, no hay pruebas de que TeamCity haya tenido algo que ver en esto.

«SolarWinds, como muchas empresas, utiliza un producto de JetBrains llamado TeamCity para ayudar en el desarrollo de su software. Estamos revisando todas las herramientas internas y externas como parte de nuestras investigaciones, que todavía están en curso», declaró un portavoz de SolarWinds. «La Compañía no ha encontrado ninguna prueba que vincule el incidente de seguridad con un compromiso del producto TeamCity», declaró.

según lo citado por The Wall Street Journal.

El hecho de que TeamCity sea una de las herramientas utilizadas por SolarWinds durante el proceso de compilación es lo que creemos que ha llevado a la cobertura de las noticias.

¿Ha sido comprometido JetBrains o TeamCity?
Hasta la fecha no tenemos conocimiento de que TeamCity o JetBrains hayan sido comprometidos de alguna manera que pudiera llevar a tal situación. Además, no solo realizamos auditorías regulares de nuestro software, sino que ahora estamos organizando una nueva auditoría de seguridad independiente de TeamCity. En el caso de que encontrásemos alguna vulnerabilidad en el producto que pudiera haber llevado a esto, seremos completamente transparentes en el asunto e informaremos a nuestros clientes de acuerdo con nuestras Políticas de Seguridad y Privacidad.

También cabe señalar que nosotros no usamos SolarWinds Orion ni ningún otro software suyo.

¿Esto afecta a sus IDEs y otras herramientas?
Nuestras IDEs son herramientas independientes y no tienen ninguna relación con TeamCity, aparte del hecho de que usamos nuestra propia instalación de TeamCity para compilarlos. No tenemos pruebas que indiquen que ninguno de nuestros servidores o nuestras herramientas independientes hayan sido manipulados, y al igual que en el caso de TeamCity, realizamos regularmente auditorías de seguridad en nuestras herramientas y sistemas.

¿Puedo utilizar las herramientas de JetBrains con seguridad?
Ninguno de los artículos publicados hasta ahora, incluidos los que hacen referencia a las investigaciones del FBI, así como las citas de los propios portavoces de SolarWinds, muestran ninguna prueba de que TeamCity tenga alguna vulnerabilidad o puerta trasera que haya permitido el acceso no autorizado al proceso de compilación.

Como tal, no tenemos ningún conocimiento o evidencia para creer que alguna de nuestras herramientas pueda haber sido comprometida, y por lo tanto no tenemos ningún motivo para pensar que usted pueda estar en riesgo si continua usando nuestras herramientas.

Esperamos que la investigación con SolarWinds finalice lo antes posible y aclare cualquier tergiversación de nuestras herramientas y nuestra empresa. También queremos reiterar que ofrecemos nuestra plena cooperación con cualquier agencia gubernamental e investigadores de seguridad.

Durante más de 20 años, uno de nuestros pilares ha sido la transparencia, la honestidad y la veracidad para con nuestros clientes, y nada nos duele más que ver alegaciones infundadas que dañan nuestra reputación y siembran dudas a nuestros clientes.

Agradecemos su apoyo y le mantendremos informado de cualquier progreso.

Gracias.

Maxim Shafirov
Director General