las amenazas cibernéticas se han convertido en el pan de cada día para instituciones de todo calibre. Desde grandes corporaciones hasta servicios comunitarios, nadie está a salvo del ojo avizor de los ciberdelincuentes. El fin de semana pasado, la Biblioteca Pública de Toronto se convirtió en el epicentro de un ataque cibernético que paralizó sus operaciones y dejó a miles de usuarios sin acceso a sus preciados recursos. En este artículo, nos sumergiremos en la cronología de los eventos, exploraremos las implicaciones de seguridad y veremos cómo la comunidad puede fortalecerse ante tales adversidades.
La Biblioteca Pública de Toronto (TPL), el mayor conjunto de bibliotecas de Canadá, informó de una interrupción significativa de sus servicios digitales tras ser blanco de un ciberataque el sábado 28 de octubre. Con 100 sucursales repartidas por Toronto, TPL ofrece acceso a una vasta colección de 12 millones de libros y cuenta con más de 1.2 millones de miembros activos. Operando con un presupuesto anual que sobrepasa los $200 millones, TPL es un pilar crucial en la infraestructura educativa y cultural de la ciudad.
Debido al ataque, se ha desplegado un sitio web provisional mientras el principal permanece inaccesible, proporcionando actualizaciones críticas. Los servicios impactados incluyen:
- La gestión de "Su cuenta"
- El mapa de localización 'tpl:map'
- Las colecciones digitales
- Las computadoras de uso público
- Los servicios de impresión en las sucursales
A pesar de estos contratiempos, la biblioteca asegura que todas las sucursales físicas continúan con sus puertas abiertas y funcionando con normalidad, permitiendo a los usuarios el préstamo y la devolución de libros sin interrupciones. El WiFi de las sucursales sigue activo y las comunicaciones telefónicas están operativas para atender al público.
Además, se informa que varios servicios digitales alojados externamente aún están accesibles, incluyendo plataformas como Kanopy, Digital Archive, Digital Archive Ontario, TPL Kids y el programa 'Ready for Reading'.
La comunicación de la Biblioteca Pública de Toronto (TPL) no brindó detalles específicos sobre la naturaleza del ciberataque sufrido. Sin embargo, han asegurado que, hasta el momento, no existen indicios de una exposición de datos de empleados o usuarios.
TPL ha reconocido su respuesta inmediata y eficaz ante el incidente, atribuyéndolo a sus robustas y anticipativas prácticas de seguridad. Aunque solicitan paciencia al público, advierten que la restauración total de los sistemas podría demorarse.
"Gracias a nuestra preparación anticipada para incidentes de ciberseguridad, hemos podido implementar medidas de mitigación rápidamente", menciona TPL en su comunicado. "Pero es probable que la vuelta a la plena funcionalidad de nuestros sistemas tome varios días".
Podría interesarte leer: Evitando el Desastre del Data Breach
Contexto Canadiense de Ciberseguridad
Organizaciones y empresas en Canadá han experimentado una serie de ataques cibernéticos recientemente, afectando la continuidad del servicio y aumentando la alarma sobre posibles brechas de datos. La semana anterior, una caída en los sistemas informáticos golpeó a cinco hospitales en Ontario, resultando en el reagendamiento de citas y la redirección de pacientes no urgentes hacia otras instalaciones.
A inicios del presente mes, el grupo de ransomware BianLian se atribuyó el ataque de septiembre a Air Canada, amenazando con publicar 210 GB de datos sensibles en su sitio de extorsión. En junio de 2023, un ciberataque impactó a las estaciones de servicio de Petro-Canada a lo largo del país, impidiendo los pagos con tarjeta de crédito y deshabilitando su sistema de fidelización.
La operación de ransomware conocida como Black Basta ha sido identificada como la responsable del reciente ataque a la Biblioteca Pública de Toronto
La confirmación provino de una fotografía de la nota de rescate, que permitió identificar a Black Basta como los autores del ataque. Se reporta que el incidente tuvo lugar en la noche del 27 de octubre, interrumpiendo diversos servicios desde la mañana del sábado siguiente.
Se ha informado que el sistema telefónico y ciertas funcionalidades de correo electrónico no se vieron comprometidos en gran medida; aquellos ya conectados a sus cuentas de Office 365 pudieron continuar accediendo a sus correos. No obstante, los empleados que no estaban conectados en ese momento perdieron el acceso al correo electrónico.
Como medida preventiva, todos los otros sistemas internos fueron desconectados tras el ataque para contener la diseminación del malware. Fuentes cercanas a la situación señalan que los servidores centrales que albergan información sensible no sufrieron el cifrado, lo cual sugiere que los atacantes no lograron acceso total a las redes y datos de la organización.
Aún no se ha confirmado si los atacantes extrajeron datos durante el ataque, pero tal acción sería coherente con su conocida táctica de extorsión. La evidencia de robo de datos posiblemente emergerá si los atacantes lo usan como herramienta de presión para obtener un rescate de TPL.
Te podría interesar leer: Ataque de Ransomware con Doble Extorsión
¿Qué es Black Basta?
El grupo de ransomware Black Basta emergió en abril de 2022 y ha estado enfocando sus esfuerzos en entidades corporativas mediante ataques de doble extorsión. Uno de sus primeros ataques significativos fue contra la Asociación Dental Estadounidense, donde divulgaron datos sustraídos. En junio de 2022, se asociaron con la operación de malware QBot para distribuir puntos de acceso Cobalt Strike en dispositivos infectados, lo que facilitó su entrada inicial en redes corporativas.
Su método consiste en infiltrarse en redes, sustraer credenciales y propagarse lateralmente mientras extraen datos. Con el dominio de la red asegurado, proceden a desplegar un software de cifrado para encriptar dispositivos en la red afectada. Black Basta también ha mostrado capacidad para atacar infraestructuras de Linux, apuntando específicamente a máquinas virtuales VMware ESXi.
Tras el cese de operaciones de la conocida operación de ransomware Conti en junio de 2022, se especula que Black Basta pueda ser un desprendimiento de este grupo. Asimismo, hay teorías que sugieren conexiones entre Black Basta y Fin7, un grupo de cibercrimen altamente motivado por ganancias financieras. Black Basta ha llevado a cabo una serie de ataques notorios, incluyendo a grandes empresas e instituciones como Capita, Sobeys, Knauf, Yellow Pages Canada y recientemente ABB, una empresa tecnológica suiza de envergadura multinacional, cuyos datos robados fueron expuestos públicamente.
En conclusión, el ataque a la Biblioteca Pública de Toronto subraya la necesidad imperiosa de mantener prácticas de seguridad cibernética avanzadas y proactivas. Las instituciones deben estar preparadas para enfrentar y responder a incidentes de ciberseguridad que son, lamentablemente, inevitables en nuestro mundo interconectado. A medida que avanzamos hacia un futuro cada vez más digitalizado, la seguridad de la información debe ser una prioridad en todos los sectores, convirtiendo la resilencia cibernética en un pilar fundamental para la prestación de servicios y la protección de los ciudadanos.