Un clic costó 1,5 millones: el error de un funcionario paralizó a todo un estado

Las autoridades del estado estadounidense de Nevada publicaron un informe técnico con un análisis completo de un ataque a gran escala, durante el cual los sistemas estatales fueron cifrados por un ransomware. El documento describe detalladamente las acciones de los atacantes, las etapas de la intrusión y las medidas adoptadas para la restauración de los servicios.

La publicación se convirtió en un ejemplo poco común de un enfoque transparente ante el incidente, que afectó a más de sesenta dependencias y suspendió el funcionamiento de los servicios digitales y telefónicos. La recuperación tomó casi un mes y, pese a las graves consecuencias, no se pagó el rescate: casi la totalidad del conjunto de datos necesario para poner en marcha los servicios fue recuperada gracias a los esfuerzos del personal propio.

La infección inicial ocurrió el 14 de mayo, cuando un empleado de una de las dependencias descargó una versión falsificada de una utilidad del sistema desde un sitio malicioso que se hacía pasar por el oficial. El enlace se colocó en un bloque de anuncios de los resultados de búsqueda y, en lugar del software necesario, en el dispositivo se instaló un programa de acceso remoto.

Este método se vuelve cada vez más común: bajo la apariencia de utilidades legítimas populares como WinSCP, PuTTY, KeePass o AnyDesk se distribuye software espía que luego proporciona acceso a redes corporativas con privilegios elevados. En este caso, el malware iniciaba una conexión con el servidor de comando y control cada vez que el usuario iniciaba sesión, lo que permitía a los atacantes mantener presencia en el sistema incluso después de que el antivirus eliminara el archivo original.

Ya en verano, los atacantes instalaron en el host comprometido un software comercial de monitorización remota, con el que podían grabar la pantalla y capturar la entrada del teclado. Más tarde introdujeron en la infraestructura su propia herramienta para crear un túnel cifrado: esto permitió sortear los mecanismos de protección y pasar a la propagación activa por los sistemas internos. En particular, mediante RDP se obtuvieron credenciales de veintiséis cuentas, incluidas algunas con acceso al almacén de contraseñas. Para ocultar las huellas de sus acciones se eliminaron los registros de eventos.

El equipo de respuesta de la empresa Mandiant confirmó el acceso a más de veintiséis mil archivos, incluida información sensible, pero no se detectaron indicios de filtración o publicación. Sin embargo, el 24 de agosto los atacantes eliminaron las copias de seguridad y luego cambiaron la configuración del hipervisor, abriendo la posibilidad de ejecutar componentes no firmados. A las 08:30 UTC comenzó el despliegue del software de rescate, que afectó a todos los servidores con máquinas virtuales. Veinte minutos después, los empleados de la Oficina de Tecnologías de la Información registraron apagones y empezaron la recuperación.

La postura del estado fue negarse a efectuar cualquier pago a los atacantes. En su lugar se movilizaron recursos propios: 50 empleados realizaron más de cuatro mil horas extraordinarias, lo que supuso un coste para el presupuesto de 259 000 dólares, pero permitió poner en funcionamiento con rapidez funciones críticas, incluido el cálculo de nóminas y los sistemas de comunicación para los servicios de emergencia. Se contrataron proveedores externos para apoyar: entre los participantes estuvieron Microsoft, Mandiant, Aeris, el despacho jurídico BakerHostetler y otros. El importe total de los contratos fue de alrededor de 1,3 millones de dólares.

Aunque no se ha revelado el nombre del grupo criminal y ninguna de las grandes bandas de ransomware se atribuyó la responsabilidad, el incidente se convirtió en un ejemplo importante de respuesta operativa. El informe subraya que una de las tareas prioritarias tras el ataque fue fortalecer la protección de los sistemas más sensibles. Se eliminaron cuentas obsoletas, se restablecieron contraseñas y se revisaron certificados y permisos de acceso. Las autoridades reconocen la necesidad de nuevas inversiones en ciberseguridad, especialmente en lo relativo a la monitorización y la respuesta rápida, ya que los métodos de los atacantes siguen evolucionando.