Sirenas en silencio y sin alertas: ciberataque a CodeRED privó a la población de notificaciones de emergencia
Con los hackers imponiendo sus condiciones, bomberos y policías quedan sin contacto con la ciudadanía.
La plataforma de alertas CodeRED de la empresa OnSolve, que es operada por la firma de gestión de riesgos Crisis24, fue víctima de un gran ciberataque. El incidente provocó interrupciones en los sistemas de notificación de emergencias que utilizan las autoridades y los servicios de respuesta en todo Estados Unidos, y al mismo tiempo resultó en una filtración de datos personales de ciudadanos.
Crisis24 informa que el ataque afectó únicamente al entorno de CodeRED; otros sistemas de la empresa no resultaron dañados. Sin embargo, para contener las consecuencias fue necesario retirar de servicio la infraestructura antigua del servicio. Esto afectó el funcionamiento de los envíos de mensajes de emergencia, incluidas las notificaciones sobre situaciones de emergencia y condiciones meteorológicas adversas, que utilizan las administraciones locales, la policía y los cuerpos de bomberos.
Durante la investigación, Crisis24 confirmó que los atacantes lograron copiar un conjunto de datos de la plataforma. Entre la información robada figuran nombres, direcciones postales, correos electrónicos, números de teléfono y contraseñas usadas en los perfiles de CodeRED. La empresa afirma que por ahora no ha detectado indicios de publicación abierta de esos datos; sin embargo, no es del todo cierto.
Probablemente detrás del ataque esté el grupo extorsionista INC Ransom. En su sitio en la red Tor creó una entrada dedicada a OnSolve y publicó capturas de pantalla con ejemplos de datos de clientes, incluidos correos electrónicos y contraseñas mostradas en texto claro.
Los miembros del grupo afirman que infiltraron la infraestructura de OnSolve el 1 de noviembre de 2025, encriptaron archivos el 10 de noviembre y, tras negarse a pagar el rescate, pasaron a vender la información robada.
Debido al daño causado, la infraestructura de CodeRED se está restaurando a partir de una copia de seguridad en la nueva plataforma «CodeRED by Crisis24». La copia de seguridad disponible está fechada el 31 de marzo de 2025, por lo que algunas cuentas y cambios recientes podrían no incorporarse al sistema actualizado. Las autoridades locales y los servicios de seguridad pública de todo el país ya informan sobre trabajos para devolver los sistemas de alerta a su funcionamiento normal.
Dado que algunas de las contraseñas mostradas se almacenaban sin cifrar, se recomienda encarecidamente a los usuarios de CodeRED que cambien sus credenciales de acceso en todos los lugares donde se haya usado la misma combinación.
INC Ransom se enmarca en el modelo "ransomware como servicio" (RaaS) y opera desde julio de 2023. Durante ese tiempo el grupo ha atacado organizaciones en todo el mundo, afectando a instituciones educativas y sanitarias, administraciones públicas y grandes empresas, incluyendo unidades de Yamaha Motor Philippines, el Servicio Nacional de Salud de Escocia, el minorista Ahold Delhaize y la filial estadounidense de Xerox Business Solutions.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!