¿Cómo Nueva Orleans derrotó un ataque de ransomware?

La ciudad de Nueva Orleans detectó un intento de secuestro de la información de su sistema de computadores. En ataque ransomware los ciberdelincuentes piden un dinero a cambio devolver el acceso al sistema atacado.

Washington, DC. (VOA) –En las primeras horas de un viernes de diciembre de 2019, el equipo que monitoreaba la red informática que manejaba las operaciones gubernamentales de Nueva Orleans notó algo sospechoso.

«Al principio, no parecía nada preocupante», dijo Kim Walker LaGrue, directora de información de la ciudad de Nueva Orleans. «Parecía que un usuario con las credenciales incorrectas estaba tratando de acceder a nuestro centro de datos, pero ese podría haber sido uno de nuestros administradores trabajando temprano en la mañana. No pensamos que fuera nada malicioso».

Eso fue a las 5 am. En unas pocas horas, una actividad similar estaba afectando a varios usuarios, y se llamó a la mesa de servicio para investigar.

- Publicidad - HP1

A partir de ahí, el equipo de LaGrue no tardó en darse cuenta de lo que estaba pasando.

«Identificamos que se estaba lanzando un ataque de ransomware contra la ciudad», dijo.

El ransomware es un software malicioso que se instala en una red informática para buscar datos confidenciales. Una vez que se encuentra esa información, los piratas informáticos amenazan con publicar los datos o evitar que se utilicen hasta que se pague un rescate.

Y este tipo de ataque no era desconocido para el Ayuntamiento de Nueva Orleans. Un mes antes, Luisiana, el estado en el que se encuentra Nueva Orleans, había sido blanco de otro ataque de ransomware.

De hecho, en 2019, 106 gobiernos de ciudades y condados fueron blanco de ataques de ransomware. Y el problema parece estar empeorando. El año pasado, Estados Unidos sufrió más de 65.000 ataques similares. Los recientes ataques de ransomware de alto perfil se han dirigido a un oleoducto de EE. UU. y a una importante empresa de procesamiento de carne.

«¿Estoy sorprendido? Absolutamente», explicó Vince Gremillion, propietario y fundador de Restech Information Services, una empresa de ciberseguridad con sede en el área de Nueva Orleans.

«Los ataques de ransomware pueden ser extremadamente rentables para los atacantes, y las víctimas a menudo están mal equipadas para detenerlos. Si algo me sorprende, es que esto no sucede con más frecuencia».

El ataque comenzó con phishing

Phishing es la práctica de enviar correos electrónicos pretendiendo ser de una empresa de renombre para que las personas revelen información personal como contraseñas. Esto se hace a menudo induciendo a las víctimas a hacer clic en un enlace del correo electrónico.

Así comenzó el ataque de Nueva Orleans.

«Es algo que se intensifica en el transcurso de varios días», explicó LaGrue. «Días antes de que detectamos algo, uno de nuestros empleados en la red hizo clic en un enlace que pensó que era legítimo».

Gremillion dijo que el correo electrónico es solo una de las formas en que los delincuentes intentan piratear un sistema.

«Puede pensar que estoy exagerando, pero cada vez que se establece una nueva conexión a Internet, esa conexión se investiga en busca de vulnerabilidades», dijo. «Todo está automatizado y solo buscan contraseñas débiles que puedan aprovechar. Desafortunadamente, hay muchas contraseñas débiles».

Si bien Gremillion dice que los ataques pueden provenir de cualquier persona y de cualquier lugar, él y expertos como Andrew Wolfe, director del programa de grado en ciberseguridad de la Universidad de Loyola, dicen que muchos provienen de países como Irán, Corea del Norte, ex miembros de la Unión Soviética e incluso China.

«Los ataques no provienen directamente de un gobierno extranjero, y no es solo un tipo desagradable en una cabaña siberiana», dijo Wolfe. «Hay una confusión real de las líneas divisorias entre los hackers individuales y los gobiernos».

Las autoridades estadounidenses han rastreado varios ataques recientes de ransomware de alto perfil hasta Rusia. El presidente ruso, Vladimir Putin, no ha negado que los ataques de ransomware se originen en su país. Pero ha negado rotundamente cualquier participación o coordinación del gobierno ruso con los piratas informáticos.

Wolfe dijo que toda una industria se ha desarrollado en torno a estos ataques.

«Algunas personas se concentran en desarrollar el ransomware, mientras que otras ejecutan los ataques», dijo. «Algunos están creando nuevas y mejores formas de cobrar el rescate y lavar el dinero, mientras que otros brindan un servicio al cliente real a los delincuentes. Ahora existe toda una cadena de suministro oscura».

Objetivos principales

«Cuando el empleado hacía clic en el enlace malicioso, permitía a los atacantes acceder a nuestra red», explicó LaGrue.

Dijo que los atacantes comenzaron a desinstalar software antivirus que podía detectar ataques. Quitaron meticulosamente las capas de seguridad que protegen el sistema.

Gremillion dijo que la velocidad a la que los piratas informáticos pueden acceder a un sistema vulnerable es asombrosa.

«He visto casos en los que los piratas informáticos rusos pueden obtener acceso de nivel administrativo a un sistema en 20 minutos», dijo. «Es tan rápido, y eso fue hace un par de años. Probablemente sea incluso más rápido ahora».

Una vez que un delincuente tiene ese nivel de acceso, se fija en los datos confidenciales de la organización para poder utilizarlos para obtener un rescate.

Los gobiernos locales son frecuentemente el blanco de ataques de ransomware, y Wolfe dijo que hay varias razones para ello.

«Una es que realmente necesitan estos datos», dijo Wolfe. «Las ciudades realizan tantas tareas esenciales (salud pública, seguridad pública, impuestos y mucho más) que no pueden permitirse perder el acceso a esos datos. Los atacantes lo saben», pero también saben que los gobiernos locales no tienen una gran reputación por tener el personal de TI más competente en lo que respecta a la seguridad del sistema».

La seguridad laxa que protege datos valiosos, además de la mayor posibilidad de que las compañías de seguros acepten pagar el rescate en nombre de sus clientes del gobierno local, son todas las razones por las que los atacantes se concentran en ciudades como Nueva Orleans.

Una situación cambiante

«Ahora, si somos justos, la forma en que Nueva Orleans manejó su ataque de ransomware fue un escenario cercano al mejor de los casos», dijo Wolfe.

Cuando los administradores del sistema se dieron cuenta de lo que estaba sucediendo, los piratas informáticos ya estaban en camino de hacerse con el control de los datos que necesitarían para exigir un rescate. Fue entonces cuando los funcionarios de la ciudad tomaron una decisión que los expertos celebraron como especialmente inteligentes.

«La alcaldesa (LaToya) Cantrell hizo una declaración de emergencia e instruimos a todos nuestros empleados a apagar y desconectar sus computadoras, así como a desconectarse de Internet», dijo LaGrue.

El cierre masivo detuvo temporalmente muchas de las funciones del gobierno de la ciudad, pero también hizo imposible que los piratas informáticos continuaran con su ataque.

“No quiero subestimar lo difícil y oneroso que fue para las agencias de nuestra ciudad hacer gran parte de su trabajo manualmente”, dijo LaGrue, “pero los ciberataques se han vuelto más frecuentes y sabíamos que teníamos que prepararnos. Una vez que identificamos el problema, ejecutamos nuestro plan».

Pero incluso un plan bien ejecutado resultó costoso. LaGrue dijo que recuperarse incluso del ataque fallido que sufrieron tuvo un precio de aproximadamente 5.2 millones de dólares.

Eso está muy por debajo de los 17 millones de dólares que Atlanta, Georgia, gastó después de que la ciudad sufriera un ataque de ransomware en 2018, y menos de la recuperación de 18.2 millones de dólares de Baltimore, Maryland, en 2019. Aún así, el costo para Nueva Orleans fue sustancial.

«La mayor parte de eso fue en remplazo del inventario», dijo LaGrue. «Tuvimos que reemplazar alrededor de 600 dispositivos, o casi el 25% de nuestro inventario, para asegurarnos de que todas nuestras computadoras estuvieran libres de virus».

Y no fue solo un costo financiero. Además de limpiar esos dispositivos, la ciudad evaluó y limpió más de 3,000 computadoras y 200 servidores virtuales. También construyó nuevas infraestructuras de almacenamiento y seguridad. La recuperación se prolongó durante meses.

Durante ese tiempo, según Wolfe, la ciudad tuvo que pausar o retrasar funciones municipales básicas.

«Aún pudieron llevar a cabo funciones esenciales como la seguridad pública», dijo. «Pero hubo tramos en los que cosas como, por ejemplo, pagar multas de estacionamiento o obtener un permiso de construcción eran realmente difíciles de hacer».

Priorizar la ciberseguridad

LaGrue reconoció que había algunas prioridades que la ciudad tuvo que dejar en suspenso mientras se recuperaba del ataque, pero sintió que el Ayuntamiento es más fuerte después de haber pasado por este proceso.

«Nos permitió mejorar nuestra infraestructura de ciberseguridad de una manera que probablemente no lo habríamos hecho si no fuera por el ataque», dijo. «Por ejemplo, las mejoras hicieron posible que permitiéramos a nuestros empleados trabajar de forma segura desde casa mucho más rápido de lo que podríamos haberlo hecho».

La ciudad también comprende mejor la importancia de la formación continua en ciberseguridad para sus empleados.

«Si tenemos 4.000 empleados, eso significa que tenemos 4.000 vulnerabilidades potenciales de ciberseguridad», dijo LaGrue. «Necesitamos hacerlos más conscientes de las amenazas que probablemente encontrarán mientras están en línea».

Expertos como Gremillion dicen que están felices de ver mejoras, pero les gustaría que las organizaciones protegieran su red antes de una crisis.

«La mitad de todo el tráfico de Internet es malicioso, pero los departamentos de TI no parecen actuar como si ese fuera el caso», dijo. «La prioridad parece ser eliminar cosas, como hacer que espere para iniciar sesión si escribe su contraseña incorrectamente varias veces. El personal de TI se deshace de esas cosas porque es inconveniente para los empleados que quieren conectarse y enviar correos electrónicos, pero esos ‘inconvenientes’ mantienen su red segura».

Gremillion cree que medidas de seguridad como esta son esenciales para evitar ataques dolorosos y costosos en el futuro. Van desde las capas de seguridad complejas que pueden tardar uno o dos días en implementarse hasta las más simples.

«No me hagas empezar con las contraseñas. Si todavía estás usando tus iniciales o ‘contraseña’ como contraseña, ¿Qué estás haciendo? Los ciberdelincuentes son cada vez más avanzados. La buena noticia es que los sistemas que se utilizan para repeler a esos delincuentes se están volviendo más avanzados. más avanzado también. Así que tenemos que educarnos y hacerlo mejor, porque las consecuencias si no lo hacemos son mucho peores».

ADN Iicon 06
Redacción ADN / Especiales

¿Quieres compartir información o enviar boletines de prensa?
Envíanos un correo electrónico.

¿Tienes dudas? ¿Necesitas verificar alguna nota?
No dude en enviarnos un correo, con gusto la verificamos por usted.

Síguenos en nuestras redes sociales.

InHouse