Cursos de Seguridad Inteligencia Ciberseguridad


Ciberataque a Baltimore: ¿cómo hackear una ciudad?

Cada vez que se produce un ciberataque con un alto impacto en la sociedad, el Equipo Docente de LISA Institute realiza un análisis pormenorizado de los hechos clave, del autor o autores del ataque, de por qué se ha escogido esa fecha, objetivo y modus operandi, así como una descripción de las medidas de seguridad que se han implantado durante y después del ataque o de aquellas que se deberían haber implantado para evitarlo.

¿Con qué objetivo? Facilitar información veraz y contrastada y explicarla de forma ágil y clara para mejorar la cultura de seguridad de la sociedad, haciéndola más resiliente y capaz de gestionar riesgos y amenazas tan graves como son los ciberataques.

 

    Ciberataque a Baltimore: cómo hackear una ciudad

    HECHOS CLAVE DEL CIBERATAQUE

    1. Alrededor de las 9am del 7 de mayo de 2019, el Departamento de Obras Públicas de Baltimore (DOPB) declaró que los funcionarios no podían acceder a sus correos electrónicos. Era el comienzo de un ciberataque a gran escala de secuestro de datos (Ransomware) porque, más tarde, gran parte de los equipos y sistemas informáticos de la ciudad ya estaban infectados. A día de hoy el secuestro sigue activo.
    2. El ataque malicioso, es un ransomware cuya tipología se denomina RobinHood. El Ransomware consiste en conseguir el control del equipo para cifrar el acceso al mismo y/o sus archivos o discos duros a cambio de una condición que suele el pago de un rescate por parte del propietario.
    3. En este caso, el ciberdelincuente exige tres bitcoins por sistema infectado (unos 24 mil dólares) o 13 bitcoins que en total son 100 mil dólares para facilitar la contraseña que liberaría el sistema.
    4. Las autoridades se niegan a pagar para no provocar un efecto llamada.
    5. Algunos expertos apuntan a que la Agencia de Seguridad Nacional de Estados Unidos (NSA) fue la creadora del EternalBlue o “arma virtual” que es la que parece haber sido utilizada en este ciberataque.

    ¿EN QUÉ HA CONSISTIDO EL CIBERATAQUE DE LA CIUDAD?

    El 7 de mayo, Baltimore se dio cuenta de que había sido el blanco de un ciberataque, a partir del cual los archivos se cifran de forma remota hasta que se pague un rescate. Es decir, que el objetivo es meramente extorsionar al dueño, propietario o titular de ese dispositivo, en este caso: el gobierno de la ciudad.

    Este ciberataque ocurrió porque los ordenadores de la ciudad no tenían implantados los parches de seguridad disponibles de manera gratuita y, además, funcionaban sin copias de seguridad efectivas de los datos esenciales.

    Ante este nuevo contexto de ciberamenazas avanzadas en las cuales están involucrados grupos criminales, grupos terroristas y hacktivistas, ya sea con motivaciones políticas y/o económicas, contar con una estrategia de ciberseguridad y ciberinteligencia se vuelve un elemento clave para reforzar la estrategia de seguridad de la información. Si quieres aprender a prevenir e investigar el cibercrimen y el ciberterrorismo mediante la ciberinteligencia haz clic aquí. 

    Al reconocer el ciberataque, avisaron al FBI y desconectaron todos los sistemas con el objetivo de que no se propagase. Aunque para ese momento, el ransomware ya había cifrado el correo de voz, el correo electrónico, una base de datos de multas de estacionamiento y el sistema de una empresa encargada de las facturas de agua, de los impuestos de propiedad y citaciones de vehículos.

    En este caso, no hay motivaciones políticas ni ideológicas. Lo único que quieren los ciberdelincuentes es dinero y lo quieren rápido porque hasta que no les paguen, no liberarán los sistemas. Sin embargo, Bernard “Jack” Young, alcalde de la ciudad, se ha negado a pagar el rescate. En su lugar, la ciudad se basa en soluciones alternativas para intentar restaurar las operaciones "secuestradas" progresivamente.

    Según Lee McKnight, experto en ciberseguridad, este tipo de ciberataques suceden continuamente en los sistemas municipales porque no cuentan con el último software, ni con las últimas protecciones. Afirma que "si le puede pasar a Atlanta, Baltimore no debería avergonzarse".

     

    Cursos de Ciberseguridad LISA Institute

    ¿QUÉ SABEMOS DEL CIBERATACANTE?

    Por el momento, se desconoce la identidad de quién o quiénes han llevado a cabo el ciberataque o, al menos, las autoridades no han querido filtrar su identidad por el momento.

    Aunque no se sepa quién es el culpable de este ataque cibernético, algunos expertos y políticos consideran que la causa primaria ha sido la negligencia de la NSA (Agencia Nacional de Seguridad de Estados Unidos).

    El año pasado, un grupo de hackers publicó una serie de herramientas de ciberataques. Entre ellas, se encontraba el EternalBlue, un “arma virtual” que explota un punto débil en el sistema operativo de Windows y que, algunos expertos, atribuyeron a la Agencia de Seguridad Nacional de Estados Unidos NSA.

    Tras ser filtrado este malware y caer fuera de control, ha pasado a través de una gran multitud de ciberdelincuentes cuyos objetivos han sido atacar hospitales, administraciones, gobiernos e, incluso, ciudadanos de a pie. No obstante, ahora el blanco es la ciudad de Baltimore.

    Los políticos representantes de Baltimore consideran que la NSA puede tener responsabilidad en que este ataque se haya producido. Además, tres exoperadores anónimos de la NSA han declarado que los analistas de la empresa estuvieron aproximadamente un año observando un fallo en el software de Microsoft: 

    “Al principio, el arma virtual hacía que fallasen los ordenadores, un riesgo que podría alertar a sus objetivos. Sin embargo, se acabó convirtiendo en una herramienta fiable utilizada en innumerables misiones de inteligencia y contraterrorismo”.

    La cuestión es que nunca, durante los últimos cinco años, la NSA alertó a Microsoft de las vulnerabilidades para que pudieran poner medidas y proteger a los cientos de millones de ordenadores expuestos con esta vulnerabilidad.

     

    Caso Baltimore cómo hackear una ciudad

    ¿QUIÉNES FUERON LAS VÍCTIMAS?

    La víctima directa de los ciberataques es la administración local de Baltimore (Maryland) que ha visto que gran parte de sus sistemas han pasado a ser inutilizables, afectando a sus operaciones diarias y al uso de la información, sistemas y programas que en ellos se encontraban.

    Baltimore es la segunda ciudad de Estados Unidos en caer víctima de esta versión de Ransomware conocida como RobbinHood, después de Greenville (Carolina del Norte).

    A su vez, Baltimore es la segunda ciudad más grande en población (+500.000 habitantes) en ser hackeada con un Ransomware, después de que Atlanta fuese "secuestrada" en 2018.

    Este ciberataque indirectamente ha afectado a:

    1. Residentes de la ciudad: quienes no han podido pagar las facturas de los servicios públicos, las multas y tampoco algunos impuestos en línea, con los recargos pertinentes.
    2. Empresas: se han visto retrasadas 1500 ventas de viviendas que debían registrarse, dejando de funcionar correos electrónicos, trámites varios y algunas líneas telefónicas.

    ¿QUÉ SABEMOS SOBRE EL MÓVIL DEL CIBERATAQUE?

    Según Lawrence Abrams, propietario de Bleeping Computer ha afirmado que “el creador o creadores de Robbin Hood, probablemente, escaneasen una gran cantidad de sistemas en línea en busca de vulnerabilidades, como las brechas en los protocolos utilizados para otorgar acceso remoto a los ordenadores”. Se desconoce si era un ataque direccionado a la ciudad de Baltimore o, por contra, el ataque fue dirigido a más ordenadores siendo los de Baltimore parte de los infectados. 

    En cualquier caso, una vez los ciberatacantes han sabido que habían atacado a la Administración Local de Baltimore, su objetivo ha sido mantener el control de los ordenadores y sistemas del gobierno de la ciudad, para así exigir decenas de miles de euros como rescate.

    Los hackers exigieron en la nota de rescate o bien, tres bitcoins por sistema (que se estima en unos 24.000$ para acabar con el cifrado de los archivos) o 13 bitcoins que en total suman 100.000$ a cambio de liberar todos los sistemas secuestrados de la ciudad.

    En la nota también añadían:

    "Lo hemos estado observando durante días y hemos trabajado en sus sistemas para obtener acceso completo a su empresa y evitar todas sus protecciones". “¡No hablaremos más, todo lo que queremos es DINERO! ¡Darse prisa! Tik Tak, Tik Tak, Tik Tak!”

     

    Cursos de Ciberseguridad LISA Institue

    ¿QUÉ MEDIDAS HUBIESEN PREVENIDO EL RANSOMWARE?

    La prevención del Ransomware, a diferencia de otras ciberamenazas, es relativamente sencilla y al alcance de prácticamente cualquier persona y organización. A continuación te exponemos las más importantes:

    1. Fórmate y forma en concienciación y buenas prácticas en ciberseguridad.
    2. Mantén actualizado el sistema operativo y los programas de cualquier dispositivo con las últimas versiones.
    3. Realiza por lo menos dos copias de seguridad de los datos que vas a necesitar para poder operar y guárdalos a buen recaudo.
    4. Navega de forma segura, a poder ser a través de VPN.
    5. Ten una política de mínimos usuarios y mínimos privilegios para cualquier usuario.
    6. Expón lo mínimo posible las redes internas de la organización. Solo exponer aquellas redes que deben estar expuestas para la función que tengan.
    7. Configura de forma segura el correo electrónico (antiSPAM, pro-autenticación, escaner preventivo de correos, evitar macros, desactivar HTML en cuentas críticas, etc.)
    8. Dispón de un protocolo de actuación para cuando ocurra (Plan de Respuesta ante Incidentes).
    9. Instala y actualiza el antimalware.

    Si quieres ampliar tu información sobre ciberseguridad, en este artículo te ofrecemos los 15 consejos principales para tener una ciberseguridad óptima. Si necesitas aprender a gestionar la Ciberseguridad de cualquier organización, en este curso aprenderás la metodología y la práctica para prevenir y proteger los sistemas y activos de los principales ciberataques y ciberamenazas.

     

    Caso Baltimore cómo hackear una ciudad

    Quiero saber más, ¿qué hago?

    Si quieres ampliar información sobre cualquier ámbito de la Ciberseguridad, consulta estos artículos de nuestro blog:

      Si quieres empezar ya a formarte en Ciberseguridad, te recomendamos estos cursos online:

      Si quieres saber aún más

      Suscríbete para ser el primero en recibir artículos, análisis y noticias, además de descuentos exclusivos para suscriptores en formación sobre Seguridad, Inteligencia o Ciberseguridad.

      Si te ha interesado este artículo y quieres saber más, no dudes en explorar los Cursos online relacionados haciendo clic aquí.

      Suscribirme Ahora Gratis a LISA Institute