El ransomware ha estado plagando los municipios estadounidenses durante mucho tiempo. Parecía ser otro ataque de ransomware típico que afectó a la ciudad de Columbus, Ohio, el pasado mes de julio. Sin embargo, la respuesta de la ciudad al ataque no fue así, y los expertos legales y de ciberseguridad de todo el país cuestionan sus motivos. Connor Goodwolf (su nombre legal es David Leroy Ross) es un consultor de TI que investiga la red oscura como parte de su trabajo. «Hago un seguimiento de los delitos de la red oscura, las organizaciones criminales y cosas como por las que han arrestado al director ejecutivo de Telegram», dijo Goodwolf. Entonces, cuando se supo que la ciudad de Columbus, su ciudad natal, había sido atacada, Goodwolf hizo lo que suele hacer: husmeó en Internet. No tardó mucho en descubrir lo que los piratas informáticos tenían en su poder. «No fue la mayor, pero fue una de las infracciones más impactantes que he visto», dijo Goodwolf. En algunos sentidos, lo describió como una infracción rutinaria, con información personal identificable, información médica protegida, números de la Seguridad Social y fotos de licencias de conducir expuestas. Sin embargo, debido a que se violaron múltiples bases de datos, fue más amplio que otros ataques. Según Goodwolf, los piratas informáticos habían violado múltiples bases de datos de la ciudad, la policía y la fiscalía. Había registros de arrestos e información confidencial sobre menores y víctimas de violencia doméstica. Algunas de las bases de datos violadas, dice, se remontan a 1999. Goodwolf encontró más de tres terabytes de datos que tardaron más de 8 horas en descargarse. «Lo primero que veo es la base de datos de la fiscalía, y pienso ‘mierda’, son víctimas de violencia doméstica. Cuando se trata de víctimas de violencia doméstica, debemos protegerlas al máximo porque ya han sido víctimas una vez, y ahora lo son nuevamente al tener su información expuesta», dijo. La primera acción de Goodwolf fue ponerse en contacto con la ciudad para informarles de la gravedad de la violación, porque lo que vio contradecía las declaraciones oficiales. En una conferencia de prensa el 13 de agosto, el alcalde de Columbus, Andrew Ginther, dijo: «Los datos personales que el actor de amenazas publicó en la red oscura estaban encriptados o corruptos, por lo que la mayoría de los datos que obtuvo el actor de amenazas son inutilizables». Pero lo que Goodwolf estaba encontrando no respaldaba esa opinión. «Traté de comunicarme con la ciudad varias veces y con varios departamentos, pero no me respondieron», dijo. Mandiant, propiedad de Google, así como muchas otras empresas de ciberseguridad importantes, han estado rastreando un aumento continuo en los ataques de ransomware, tanto en prevalencia como en gravedad, y el ascenso del Grupo Rhysida detrás del hackeo de Columbus, que ha ganado prominencia en el último año. El Grupo Rhysida se atribuyó la responsabilidad del hackeo. Si bien no se sabe mucho sobre la banda cibernética, Goodwolf y otros expertos en seguridad dicen que parecen estar patrocinados por el estado y radicados en Europa del Este, posiblemente vinculados a Rusia. Goodwolf afirma que estas bandas de ransomware son «operaciones profesionales» con personal, vacaciones pagadas y personal de relaciones públicas. «Han aumentado los ataques y los objetivos desde el otoño pasado», dijo. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de Estados Unidos emitió un boletín sobre Rhysida en noviembre pasado. Goodwolf dijo que como nadie de la ciudad le respondió, fue a los medios locales y compartió datos con los periodistas para hacer correr la voz sobre la gravedad de la violación. Y fue entonces cuando recibió noticias de la ciudad de Columbus, en forma de una demanda y una orden de restricción temporal que le impedían difundir información adicional. La ciudad defendió su respuesta en una declaración a CNBC: «La ciudad inicialmente se movió para obtener esta orden, que fue otorgada por la Corte, para prevenir la difusión de información sensible y confidencial, incluyendo potencialmente las identidades de oficiales de policía encubiertos, que amenaza la seguridad pública y las investigaciones criminales». La orden de restricción temporal de 14 días de la ciudad contra Goodwolf ya expiró, y ahora tiene una orden preliminar y un acuerdo con Goodwolf para no divulgar más datos. «Cabe señalar que la orden de la Corte no prohíbe al acusado discutir la violación de datos o incluso describir qué tipo de datos fueron expuestos», agregó la declaración de la ciudad. «Simplemente prohíbe al individuo difundir los datos robados publicados en la red oscura. La Ciudad sigue comprometida con las autoridades federales y los expertos en seguridad cibernética para responder a esta intrusión cibernética». Mientras tanto, el alcalde tuvo que realizar un mea culpa en una conferencia de prensa posterior, diciendo que sus declaraciones iniciales se basaron en la información que tenía en ese momento. «Era la mejor información que teníamos en ese momento. Claramente, descubrimos que era información inexacta y tengo que aceptar la responsabilidad por eso». Al darse cuenta de que la exposición a los residentes era mayor de lo que se pensaba en un principio, la ciudad está ofreciendo dos años de monitoreo de crédito gratuito de Experian. Esto incluye a cualquier persona que haya tenido contacto con la ciudad de Columbus a través de un arresto u otro negocio. Columbus también está trabajando con Legal Aid para ver qué protecciones adicionales son necesarias para las víctimas de violencia doméstica que pueden haber sido comprometidas o necesitan ayuda con órdenes de protección civil. Hasta la fecha, la ciudad no ha pagado a los piratas informáticos, que exigían $ 2 millones en rescate. ‘Él no es Edward Snowden’ Aquellos que estudian la ley de seguridad cibernética y trabajan dentro del ámbito expresaron su sorpresa por el hecho de que Columbus presentara una demanda civil contra el investigador. «Las demandas contra investigadores de seguridad de datos son poco frecuentes», dijo Raymond Ku, profesor de derecho en la Universidad Case Western Reserve. En las raras ocasiones en que ocurren, dijo, suele ser cuando se alega que el investigador ha revelado cómo se explotó o puede explotarse una falla, lo que luego permitiría que otros también se aprovechen de ella. «No era Edward Snowden», dijo Kyle Hanslovan, director ejecutivo de la empresa de ciberseguridad Huntress, quien se describió como preocupado por la respuesta de la ciudad de Columbus y lo que podría significar para futuras infracciones. Snowden era un empleado contratado por el gobierno que filtró información clasificada y se enfrentó a cargos penales, pero se consideraba un denunciante. Goodwolf, dice Hanslovan, es un buen samaritano que encontró de forma independiente los datos vulnerados. «En este caso, parece que acabamos de silenciar a alguien que, hasta donde sé, parece ser un investigador de seguridad que hizo lo mínimo y confirmó que las declaraciones oficiales realizadas no eran ciertas. Esto no puede ser un uso apropiado de los tribunales», dijo Hanslovan, prediciendo que el caso será anulado rápidamente. El fiscal de la ciudad de Columbus, Zach Klein, dijo durante una conferencia de prensa en septiembre que el caso «no tenía que ver con la libertad de expresión o la denuncia de irregularidades. Se trata de la descarga y divulgación de registros de investigación criminal robados». A Hanslovan le preocupa el efecto dominó que se produzca cuando los consultores e investigadores de ciberseguridad tengan miedo de hacer su trabajo por temor a ser demandados. «La historia más importante aquí es si estamos viendo el surgimiento de un nuevo manual» para la respuesta a los ataques informáticos en el que se silencia a las personas, y eso no debería ser bienvenido, dijo. «Silenciar cualquier opinión, incluso durante 14 días, podría ser suficiente para evitar que algo creíble salga a la luz, y eso me aterroriza», dijo Hanslovan. «Esa voz necesita ser escuchada. A medida que surgen incidentes de ciberseguridad más grandes, me preocupa que la gente se preocupe más por sacarlos a la luz». Scott Dylan, fundador de la empresa de capital de riesgo con sede en el Reino Unido NexaTech Ventures, también cree que las acciones de la ciudad de Columbus podrían inducir un efecto paralizante en el campo de la ciberseguridad. «A medida que el campo del derecho cibernético siga madurando, es probable que este caso se mencione en futuras discusiones sobre el papel de los investigadores después de las violaciones de datos», dijo Dylan. Afirma que los marcos legales deben evolucionar para seguir el ritmo de la sofisticación de los ciberataques y los dilemas éticos que generan, y el enfoque adoptado por Columbus es un error. Mientras tanto, el proceso legal seguirá su curso para Goodwolf. A pesar de que Columbus y Goodwolf llegaron a un acuerdo la semana pasada sobre la difusión de información, la ciudad sigue demandándolo por daños en una demanda civil que podría alcanzar los 25.000 dólares o más. Goodwolf se representa a sí mismo en sus conversaciones con la ciudad, aunque dice que tiene un abogado de guardia, si es necesario. Algunos residentes han presentado una demanda colectiva contra la ciudad. Goodwolf dice que el 55% de la información filtrada se ha vendido en la red oscura, mientras que el 45% está disponible para cualquiera con las habilidades necesarias para acceder a ella. Dylan cree que la ciudad está asumiendo un gran riesgo, incluso si sus acciones pueden ser legalmente defendibles, al crear la apariencia de un intento de silenciar el discurso en lugar de fomentar la transparencia. «Es una estrategia que podría resultar contraproducente, tanto en términos de confianza pública como de litigios futuros», dijo. «Espero que la ciudad se dé cuenta del error de presentar una demanda civil y las implicaciones no solo en materia de seguridad», dijo Goodwolf, señalando que Intel está gastando miles de millones, con un importante apoyo del gobierno federal, para construir instalaciones de fabricación de chips en un suburbio de Columbus. En los últimos años, la ciudad se ha estado posicionando como un nuevo centro tecnológico en el «Silicon Heartland» del Medio Oeste, y atacar a los investigadores de sombrero blanco y de ciberseguridad, dijo, podría hacer que algunos en el sector tecnológico la reconsideren como una ubicación.
Etiqueta: seco
Cuando la campaña presidencial de Donald Trump declaró públicamente la semana pasada que había sido atacada con éxito por piratas informáticos iraníes, la noticia puede haber parecido inicialmente una señal de que el país de Oriente Medio estaba especialmente centrado en el candidato que percibía que adoptaba el enfoque más agresivo hacia su régimen. Desde entonces ha quedado más claro que Irán también ha tenido a los demócratas en la mira de sus operaciones cibernéticas. Ahora, los analistas de ciberseguridad de Google han confirmado que ambas campañas fueron atacadas no solo por Irán, sino por el mismo grupo de piratas informáticos que trabajan al servicio del Cuerpo de la Guardia Revolucionaria de Irán. El Grupo de Análisis de Amenazas de Google publicó el miércoles un nuevo informe sobre APT42, un grupo que, según afirma, ha buscado agresivamente comprometer tanto las campañas demócratas como republicanas para la presidencia, así como las organizaciones militares, gubernamentales y diplomáticas israelíes. En mayo y junio, APT42, que se cree que trabaja al servicio del Cuerpo de la Guardia Revolucionaria de Irán (CGRI), atacó a una docena de personas asociadas tanto con Trump como con Joe Biden, incluidos funcionarios gubernamentales actuales y anteriores e individuos asociados con las dos campañas políticas. Según Google, APT42 sigue atacando a funcionarios de las campañas republicanas y demócratas por igual. «En términos de recopilación de datos, están atacando a todos los bandos», afirma John Hultquist, que dirige la inteligencia sobre amenazas en la empresa de ciberseguridad Mandiant, propiedad de Google, que trabaja en estrecha colaboración con su Grupo de Análisis de Amenazas. Hultquist señala que el ciberespionaje en igualdad de oportunidades no es una sorpresa, dado que APT42 también atacó a las campañas de Biden y Trump en 2020. El hecho de que APT42 ataque a un candidato en particular no necesariamente habla de su preferencia por un solo candidato, dice, sino del hecho de que ambos candidatos, Trump y ahora la vicepresidenta Kamala Harris, son de enorme importancia para el gobierno iraní. “Están interesados en ambos candidatos porque son los individuos que están trazando el futuro de la política estadounidense en Oriente Medio”, dice Hultquist. Sin embargo, sólo una campaña parece haber tenido sus archivos sensibles no sólo violados con éxito por los piratas informáticos iraníes, sino también filtrados a la prensa, en una aparente repetición de la operación de piratería y filtración de Rusia de 2016 que tuvo como objetivo la campaña de Hillary Clinton. Politico, The Washington Post y The New York Times han dicho que les han ofrecido documentos supuestamente tomados de la campaña de Trump, en algunos casos por una fuente conocida como “Robert”. No se ha confirmado si esos archivos fueron de hecho comprometidos por APT42. Microsoft señaló la semana pasada que APT42, a la que llama Mint Sandstorm, había apuntado en junio a un “funcionario de alto rango en una campaña presidencial” explotando una cuenta de correo electrónico pirateada de otro “ex asesor principal” de la campaña. Google en su nuevo informe también señala que APT42 “logró acceder con éxito a la cuenta personal de Gmail de un político de alto perfil” consultor.”Si bien ninguna de las compañías ha ofrecido confirmación alguna sobre qué individuo o individuos pudieron haber sido hackeados exitosamente por el grupo iraní, el asesor de Trump, Roger Stone, ha revelado que fue alertado por Microsoft y luego por el FBI de que sus cuentas de Microsoft y Gmail fueron comprometidas por hackers.