Cada vez que se produce un ciberataque con un alto impacto en la sociedad, el Equipo Docente de LISA Institute realiza un análisis pormenorizado de los hechos clave, del autor o autores del ataque, de por qué se ha escogido esa fecha, objetivo y modus operandi, así como una descripción de las medidas de seguridad que se han implantado durante y después del ataque o de aquellas que se deberían haber implantado para evitarlo.

¿Con qué objetivo? Facilitar información veraz y contrastada y explicarla de forma ágil y clara para mejorar la cultura de seguridad de la sociedad, haciéndola más resiliente y capaz de gestionar riesgos y amenazas tan graves como son los ciberataques.

 

HECHOS CLAVE DEL CIBERATAQUE

1. Alrededor de las 9am del 7 de mayo de 2019, el Departamento de Obras Públicas de Baltimore (DOPB) declaró que los funcionarios no podían acceder a sus correos electrónicos. Era el comienzo de un ciberataque a gran escala de secuestro de datos (Ransomware) porque, más tarde, gran parte de los equipos y sistemas informáticos de la ciudad ya estaban infectados. A día de hoy el secuestro sigue activo.
2. El ataque malicioso, es un ransomware cuya tipología se denomina RobinHood. El Ransomware consiste en conseguir el control del equipo para cifrar el acceso al mismo y/o sus archivos o discos duros a cambio de una condición que suele el pago de un rescate por parte del propietario.
3. En este caso, el ciberdelincuente exige tres bitcoins por sistema infectado (unos 24 mil dólares) o 13 bitcoins que en total son 100 mil dólares para facilitar la contraseña que liberaría el sistema.
4. Las autoridades se niegan a pagar para no provocar un efecto llamada.
5. Algunos expertos apuntan a que la Agencia de Seguridad Nacional de Estados Unidos (NSA) fue la creadora del EternalBlue o “arma virtual” que es la que parece haber sido utilizada en este ciberataque.

¿EN QUÉ HA CONSISTIDO EL CIBERATAQUE DE LA CIUDAD?

El 7 de mayo, Baltimore se dio cuenta de que había sido el blanco de un ciberataque, a partir del cual los archivos se cifran de forma remota hasta que se pague un rescate. Es decir, que el objetivo es meramente extorsionar al dueño, propietario o titular de ese dispositivo, en este caso: el gobierno de la ciudad.

Este ciberataque ocurrió porque los ordenadores de la ciudad no tenían implantados los parches de seguridad disponibles de manera gratuita y, además, funcionaban sin copias de seguridad efectivas de los datos esenciales.

Ante este nuevo contexto de ciberamenazas avanzadas en las cuales están involucrados grupos criminales, grupos terroristas y hacktivistas, ya sea con motivaciones políticas y/o económicas, contar con una estrategia de ciberseguridad y ciberinteligencia se vuelve un elemento clave para reforzar la estrategia de seguridad de la información. Si quieres aprender a prevenir e investigar el cibercrimen y el ciberterrorismo mediante la ciberinteligencia haz clic aquí. 

Al reconocer el ciberataque, avisaron al FBI y desconectaron todos los sistemas con el objetivo de que no se propagase. Aunque para ese momento, el ransomware ya había cifrado el correo de voz, el correo electrónico, una base de datos de multas de estacionamiento y el sistema de una empresa encargada de las facturas de agua, de los impuestos de propiedad y citaciones de vehículos.

En este caso, no hay motivaciones políticas ni ideológicas. Lo único que quieren los ciberdelincuentes es dinero y lo quieren rápido porque hasta que no les paguen, no liberarán los sistemas. Sin embargo, Bernard “Jack” Young, alcalde de la ciudad, se ha negado a pagar el rescate. En su lugar, la ciudad se basa en soluciones alternativas para intentar restaurar las operaciones "secuestradas" progresivamente.

Según Lee McKnight, experto en ciberseguridad, este tipo de ciberataques suceden continuamente en los sistemas municipales porque no cuentan con el último software, ni con las últimas protecciones. Afirma que "si le puede pasar a Atlanta, Baltimore no debería avergonzarse".

 

¿QUÉ SABEMOS DEL CIBERATACANTE?

Por el momento, se desconoce la identidad de quién o quiénes han llevado a cabo el ciberataque o, al menos, las autoridades no han querido filtrar su identidad por el momento.

Aunque no se sepa quién es el culpable de este ataque cibernético, algunos expertos y políticos consideran que la causa primaria ha sido la negligencia de la NSA (Agencia Nacional de Seguridad de Estados Unidos).

El año pasado, un grupo de hackers publicó una serie de herramientas de ciberataques. Entre ellas, se encontraba el EternalBlue, un “arma virtual” que explota un punto débil en el sistema operativo de Windows y que, algunos expertos, atribuyeron a la Agencia de Seguridad Nacional de Estados Unidos NSA.

Tras ser filtrado este malware y caer fuera de control, ha pasado a través de una gran multitud de ciberdelincuentes cuyos objetivos han sido atacar hospitales, administraciones, gobiernos e, incluso, ciudadanos de a pie. No obstante, ahora el blanco es la ciudad de Baltimore.

Los políticos representantes de Baltimore consideran que la NSA puede tener responsabilidad en que este ataque se haya producido. Además, tres exoperadores anónimos de la NSA han declarado que los analistas de la empresa estuvieron aproximadamente un año observando un fallo en el software de Microsoft: 

“Al principio, el arma virtual hacía que fallasen los ordenadores, un riesgo que podría alertar a sus objetivos. Sin embargo, se acabó convirtiendo en una herramienta fiable utilizada en innumerables misiones de inteligencia y contraterrorismo”.

La cuestión es que nunca, durante los últimos cinco años, la NSA alertó a Microsoft de las vulnerabilidades para que pudieran poner medidas y proteger a los cientos de millones de ordenadores expuestos con esta vulnerabilidad.

 

¿QUIÉNES FUERON LAS VÍCTIMAS?

La víctima directa de los ciberataques es la administración local de Baltimore (Maryland) que ha visto que gran parte de sus sistemas han pasado a ser inutilizables, afectando a sus operaciones diarias y al uso de la información, sistemas y programas que en ellos se encontraban.

Baltimore es la segunda ciudad de Estados Unidos en caer víctima de esta versión de Ransomware conocida como RobbinHood, después de Greenville (Carolina del Norte).

A su vez, Baltimore es la segunda ciudad más grande en población (+500.000 habitantes) en ser hackeada con un Ransomware, después de que Atlanta fuese "secuestrada" en 2018.

Este ciberataque indirectamente ha afectado a:

1. Residentes de la ciudad: quienes no han podido pagar las facturas de los servicios públicos, las multas y tampoco algunos impuestos en línea, con los recargos pertinentes.
2. Empresas: se han visto retrasadas 1500 ventas de viviendas que debían registrarse, dejando de funcionar correos electrónicos, trámites varios y algunas líneas telefónicas.

¿QUÉ SABEMOS SOBRE EL MÓVIL DEL CIBERATAQUE?

Según Lawrence Abrams, propietario de Bleeping Computer ha afirmado que “el creador o creadores de Robbin Hood, probablemente, escaneasen una gran cantidad de sistemas en línea en busca de vulnerabilidades, como las brechas en los protocolos utilizados para otorgar acceso remoto a los ordenadores”. Se desconoce si era un ataque direccionado a la ciudad de Baltimore o, por contra, el ataque fue dirigido a más ordenadores siendo los de Baltimore parte de los infectados. 

En cualquier caso, una vez los ciberatacantes han sabido que habían atacado a la Administración Local de Baltimore, su objetivo ha sido mantener el control de los ordenadores y sistemas del gobierno de la ciudad, para así exigir decenas de miles de euros como rescate.

Los hackers exigieron en la nota de rescate o bien, tres bitcoins por sistema (que se estima en unos 24.000$ para acabar con el cifrado de los archivos) o 13 bitcoins que en total suman 100.000$ a cambio de liberar todos los sistemas secuestrados de la ciudad.

En la nota también añadían:

"Lo hemos estado observando durante días y hemos trabajado en sus sistemas para obtener acceso completo a su empresa y evitar todas sus protecciones". “¡No hablaremos más, todo lo que queremos es DINERO! ¡Darse prisa! Tik Tak, Tik Tak, Tik Tak!”

 

¿QUÉ MEDIDAS HUBIESEN PREVENIDO EL RANSOMWARE?

La prevención del Ransomware, a diferencia de otras ciberamenazas, es relativamente sencilla y al alcance de prácticamente cualquier persona y organización. A continuación te exponemos las más importantes:

1. Fórmate y forma en concienciación y buenas prácticas en ciberseguridad.
2. Mantén actualizado el sistema operativo y los programas de cualquier dispositivo con las últimas versiones.
3. Realiza por lo menos dos copias de seguridad de los datos que vas a necesitar para poder operar y guárdalos a buen recaudo.
4. Navega de forma segura, a poder ser a través de VPN.
5. Ten una política de mínimos usuarios y mínimos privilegios para cualquier usuario.
6. Expón lo mínimo posible las redes internas de la organización. Solo exponer aquellas redes que deben estar expuestas para la función que tengan.
7. Configura de forma segura el correo electrónico (antiSPAM, pro-autenticación, escaner preventivo de correos, evitar macros, desactivar HTML en cuentas críticas, etc.)
8. Dispón de un protocolo de actuación para cuando ocurra (Plan de Respuesta ante Incidentes).
9. Instala y actualiza el antimalware.

Si quieres ampliar tu información sobre ciberseguridad, en este artículo te ofrecemos los 15 consejos principales para tener una ciberseguridad óptima. Si necesitas aprender a gestionar la Ciberseguridad de cualquier organización, en este curso aprenderás la metodología y la práctica para prevenir y proteger los sistemas y activos de los principales ciberataques y ciberamenazas.

 

Quiero saber más, ¿qué hago?

Si quieres ampliar información sobre cualquier ámbito de la Ciberseguridad, consulta estos artículos de nuestro blog:

• VPN: Definición, usos, ventajas y comparativa.
• Deepfakes: Qué es, tipos, riesgos y amenazas.
• Cómo escoger Antivirus para tu ordenador y smartphone (Guía Práctica).
• Ciberguerra: tipos, armas, objetivos y ejemplos de la guerra tecnológica.
• Guía práctica de control parental: consejos, ventajas y herramientas para prevenir los riesgos de Internet para tus hijos.
• Data Brokers: Quiénes son y por qué son una amenaza para nuestros datos.
• Diferencia entre Ciberseguridad, Seguridad Informática y Seguridad de la Información.
• ¿Qué es el fingerprinting o la huella digital de nuestros dispositivos?
• Estafa de Inversión: qué es, tipos, señales de alerta y consejos
• Estamos asistiendo al nacimiento de una nueva civilización
• Zero-Day: qué es, modus operandi y consejos preventivos
• Salidas profesionales en Ciberseguridad: funciones, trabajos y sueldos
• Estafa de la factura falsa: qué es, modus operandi, señales y consejos
• Vishing: qué es, modus operandi, ejemplos y cómo evitarlo
• ¿Qué es el Egosurfing y cómo puede ayudarnos?
• Fraude del CEO: qué es, modus operandi y consejos preventivos
• Smishing: qué es, riesgos, ejemplos y cómo evitarlo
• Guía Práctica contra la Ingeniería Social
• Guía para teletrabajar de forma eficaz y segura desde casa
• Medidas de seguridad para teletrabajar de forma segura
• Conoce los 15 consejos de ciberseguridad para tener una vida más cibersegura
• Dark Web: riesgos, contenidos y cómo acceder (Guía Práctica)
• ¿Qué son las cookies y cómo eliminarlas?
• ¿Qué es el malware y qué tipos de malware pueden afectarte?
• Lista de 45 consejos de seguridad bancaria: ¿Cómo mantener mis cuentas bancarias seguras?
• ¿Qué hacer si me suplantan la identidad en Facebook, Instagram, Twitter o LinkedIn?
• Digitalización masiva: riesgos, oportunidades y nuevas salidas profesionales
• Los 5 mapas de ciberataques más populares de 2019
• ¿Qué es el ransomware y cómo prevenir este ataque? (Guía práctica)
• ¿Qué es el ciberacoso y qué tipos existen?
• Ciberataque a Baltimore: ¿Cómo hackear una ciudad?
• ¿Qué es un ataque botnet y cómo evitarlo?
• ¿Investigar por Internet? La Web Superficial, la Deep Web y la Dark Web
• Conoce las claves de la Nueva Estrategia Nacional de Ciberseguridad en España
• Las 6 tendencias en Ciberseguridad que marcan (y marcarán) el mundo digital
• ¿Por qué votas lo que votas en la era de la desinformación y las Fake News?
• Conoce los 4 retos para la Ciberseguridad de la próxima década
• Conoce los 5 sectores en los que más se valora la formación en Ciberseguridad
• Ataques de desinformación: qué son y cómo podemos evitarlos
• ¿Qué debemos tener en cuenta antes de aprender Ciberseguridad?
• Cómo Evitar Estafas y Fraudes en el Blackfriday: Compra Segura Online
• La Estafa amorosa: cómo el amor mueve montañas (de dinero)
• Phishing bancario por email: modus operandi y consejos preventivos
• Introducción a la Ciberseguridad: primeros pasos
• Wearables para policías y personal de seguridad: ventajas y riesgosFallo de seguridad en redes WiFi: consejos y soluciones
• Wearables: riesgos de la tecnología inteligente
• Fallo de seguridad en redes WiFi: consejos y soluciones

Si quieres empezar ya a formarte en Ciberseguridad, te recomendamos estos cursos online:

• Curso-Certificado de Director de Ciberseguridad
• Curso de Concienciación en Ciberseguridad
• Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
• Curso-Certificado de Experto en Ciberinteligencia
• Curso de Prevención del Acoso y el Ciberacoso