El 18 de julio de 2024, la ciudad de Columbus, Ohio, fue víctima de un ciberataque que afectó sus servicios y comprometió la seguridad de los datos de cientos de miles de ciudadanos. Diez días después, el 29 de julio, las autoridades publicaron una actualización en el sitio web oficial confirmando que se trató de un ataque de ransomware. Afortunadamente, según el comunicado, el intento de encriptar los sistemas críticos fue frustrado con éxito. Sin embargo, los atacantes lograron acceder a datos personales de alrededor de 500,000 personas, dejando a la ciudad y a sus ciudadanos con preocupaciones serias sobre la privacidad y la seguridad.
Este incidente puso en evidencia las vulnerabilidades que muchas ciudades enfrentan en su infraestructura digital y reabrió el debate sobre la preparación de las instituciones públicas frente a ciberamenazas cada vez más complejas.
Ataque de Ransomware a la Ciudad de Columbus: ¿Qué ocurrió?
La ciudad de Columbus, Ohio, vivió un susto monumental en julio de 2024 cuando un grupo de hackers intentó colarse en sus sistemas de TI. El 18 de julio, ciberdelincuentes intentaron interrumpir la infraestructura digital de la ciudad, aparentemente con el objetivo de instalar un ransomware y exigir un rescate a cambio de no bloquear sus sistemas. Afortunadamente, el equipo de tecnología de la ciudad actuó rápido: detectaron la amenaza, cortaron la conexión a Internet y lograron evitar que el ataque se saliera de control.
A pesar de la rápida respuesta, los atacantes, pertenecientes a la conocida banda de ransomware Rhysida, afirmaron haber logrado robar nada menos que 6,5 terabytes de datos confidenciales. Según ellos, estos datos incluían desde credenciales de acceso de trabajadores hasta copias completas de los servidores que contenían información de servicios de emergencia de la ciudad, grabaciones de cámaras de seguridad y otros datos sensibles. ¿El precio de rescate? Rhysida exigió 30 bitcoins, unos 1,9 millones de dólares, para devolver la información robada.
Unas semanas después, el alcalde de Columbus, Andrew Ginther, declaró que los datos robados eran "inutilizables" y que estaban "corruptos", insinuando que el supuesto tesoro de información de Rhysida no valía nada. Sin embargo, esta afirmación fue rápidamente puesta en duda. Un investigador de ciberseguridad llamado David Leroy Ross, también conocido como Connor Goodwolf, reveló que datos personales de cientos de miles de residentes de Columbus estaban siendo vendidos en la dark web.
La situación escaló aún más en septiembre, cuando la ciudad de Columbus presentó una demanda contra Ross, alegando que había amenazado con compartir aún más datos robados. Un juez incluso emitió una orden de restricción temporal para evitar que Ross accediera a esa información.
Mientras tanto, la banda Rhysida no perdió la oportunidad de hacer publicidad de su "botín". En un anuncio en la dark web, invitaron a potenciales compradores a adquirir “más de 6,5 TB de bases de datos, inicios de sesión internos, contraseñas de empleados, copias completas de servidores con aplicaciones de servicios de emergencia de la ciudad, y acceso a cámaras de video de la ciudad”. Para ellos, era solo otro día en el negocio del ransomware; para Columbus, fue un recordatorio brutal de las vulnerabilidades de nuestra infraestructura digital.
En este momento, el grupo de ransomware ya ha publicado el 45% de los datos robados en su sitio de filtraciones en la dark web. Eso equivale a unos 3.1 terabytes de información y un total de 258,270 archivos, expuestos para cualquiera que quiera descargarlos.
Después de revisar el alcance del ataque, la ciudad de Columbus confirmó que la información personal y financiera de aproximadamente 500,000 personas fue comprometida. En una carta enviada a los afectados, que también se compartió con la Oficina del Fiscal General de Maine, la ciudad explicó lo que esto significa en términos más concretos: “La información involucrada puede incluir su nombre completo, fecha de nacimiento, dirección, información de cuenta bancaria, número de licencia de conducir, número de Seguro Social y otros datos de identificación personal o relacionados con sus interacciones con la ciudad".
Sin embargo, las autoridades intentaron calmar las preocupaciones, diciendo que, hasta ahora, no han detectado ningún uso indebido de estos datos para robo de identidad o fraude. Es decir, nadie ha reportado aún que su información haya sido utilizada de forma ilegal como resultado de este incidente… aunque con tanta información circulando en la dark web, el riesgo está ahí.
Para ayudar a los afectados, la ciudad de Columbus está ofreciendo monitoreo de crédito gratuito por 24 meses, además de un servicio de monitoreo de la dark web, para que las personas puedan estar alertas si sus datos terminan en manos equivocadas.
Podría interesarte leer: Monitoreo Darkweb: Protección Esencial para Empresas
¿Cómo se pueden proteger las instituciones contra el ransomware?
Protegerse de ataques de ransomware no es algo que se logre con una sola medida; requiere una combinación de tecnología avanzada, buenas prácticas y un enfoque preventivo. Aquí tienes algunas estrategias esenciales para que tanto instituciones públicas como privadas puedan reducir sus riesgos:
-
Educación y concienciación: Los trabajadores son la primera línea de defensa, y también el eslabón más vulnerable si no están bien informados. La mayoría de los ataques de ransomware comienzan con un correo de phishing, así que capacitar a los trabajadores para que reconozcan correos y enlaces sospechosos es fundamental. Una inversión en formación puede evitar un gran desastre.
-
Copias de seguridad regulares: Realizar copias de seguridad de los datos en ubicaciones seguras es una de las mejores maneras de mitigar el impacto de un ataque. En caso de que un sistema sea comprometido, las copias de seguridad permiten restaurar los datos sin necesidad de pagar el rescate. TecnetProtect, por ejemplo, es una solución avanzada de copias de seguridad y ciberseguridad que cuenta con protección específica contra ransomware. Además de almacenar los datos de manera segura, TecnetProtect utiliza técnicas de detección de ransomware para proteger las copias de seguridad, asegurando que los datos puedan recuperarse incluso si el sistema principal es atacado.
-
Actualización de software: Mantener el software actualizado cierra vulnerabilidades que los atacantes suelen aprovechar para infiltrarse en los sistemas.
-
Implementación de medidas de seguridad avanzadas: Invertir en soluciones de ciberseguridad avanzadas puede hacer una gran diferencia. Esto incluye el uso de firewalls, sistemas de detección de intrusiones y herramientas de monitoreo que analicen el tráfico de la red en busca de comportamientos inusuales o potencialmente peligrosos.
Algunas instituciones han optado por servicios de monitoreo 24/7 en centros de operaciones de seguridad como el SOC de TecnetOne, que ofrece un monitoreo continuo y análisis proactivo de posibles amenazas. Además, el SOC de TecnetOne puede monitorear la dark web en busca de información filtrada o datos de la organización que puedan estar en riesgo. Esta vigilancia en la dark web permite detectar a tiempo si datos sensibles de la empresa o institución están siendo vendidos o compartidos por ciberdelincuentes, brindando una oportunidad de actuar antes de que los daños sean mayores.
-
Plan de respuesta a incidentes: Tener un plan de respuesta bien estructurado permite que una institución actúe con rapidez y precisión en caso de un ataque. Esto incluye pasos claros sobre cómo contener la amenaza, cómo comunicar la situación internamente y a los afectados, y cómo restaurar los sistemas. Un buen plan de respuesta minimiza los daños y acelera la recuperación, evitando que el ataque cause un caos total.
-
Autenticación de múltiples factores (MFA): Incorporar autenticación de múltiples factores para acceder a sistemas críticos añade una capa adicional de seguridad. Con MFA, incluso si un atacante obtiene una contraseña, necesitará una segunda forma de verificación (como un código enviado al móvil) para acceder al sistema. Esto dificulta significativamente el acceso no autorizado y ayuda a proteger los datos más sensibles.
Implementar estas estrategias puede parecer complejo y costoso, pero es un esfuerzo necesario frente a las crecientes amenazas de ransomware. Con soluciones como TecnetProtect y otras tecnologías de ciberseguridad avanzadas, las instituciones pueden crear un entorno más seguro, proteger sus datos y evitar las graves consecuencias de un ataque.
Conclusión
Protegerse contra el ransomware no es fácil, pero con las medidas adecuadas, se puede evitar que un ataque se convierta en un desastre. Capacitar a los trabajadores, hacer copias de seguridad, mantener el software actualizado y contar con herramientas avanzadas para monitoreo y detección temprana, son pasos clave para fortalecer la seguridad de cualquier institución.
El riesgo siempre va a estar ahí, pero una buena estrategia de ciberseguridad hace toda la diferencia entre un incidente menor y una crisis total. Si estás listo para dar el siguiente paso y mejorar la protección de tu organización, contáctanos. Nuestro equipo de especialistas puede ayudarte a encontrar las soluciones que necesitas para mantener tus datos y sistemas seguros.