El pasado agosto, el Puerto de Seattle se convirtió en el último objetivo de un ciberataque devastador, perpetrado por el grupo de ransomware Rhysida. Este incidente no solo puso en jaque una de las principales puertas de comercio internacional en la costa oeste de EE. UU., sino que también sacudió la confianza en la seguridad de las infraestructuras críticas. Con las operaciones del puerto paralizadas y un rescate de criptomonedas en juego, este ataque es un claro recordatorio de que ningún sector está a salvo de las amenazas cibernéticas.
El 24 de agosto, la agencia reveló que se vio obligada a aislar algunos de sus sistemas críticos para contener el impacto del ataque. Esto provocó interrupciones en sus sistemas de TI, afectando los registros de reservas y retrasando vuelos en el Aeropuerto Internacional de Seattle-Tacoma. Cuatro semanas después de la primera revelación, el Puerto ha confirmado oficialmente que la violación de seguridad de agosto fue causada por un ataque de ransomware llevado a cabo por afiliados del grupo Rhysida.
"Este ataque fue obra del grupo criminal conocido como Rhysida. Desde ese día, no ha habido ninguna actividad no autorizada en los sistemas del puerto. Viajar desde el Aeropuerto Internacional de Seattle-Tacoma y usar las instalaciones marítimas del Puerto de Seattle sigue siendo completamente seguro", informó el puerto en un comunicado de prensa.
"Nuestra investigación ha confirmado que los atacantes lograron acceder a ciertas partes de nuestros sistemas y encriptaron el acceso a algunos de nuestros datos", añadieron.
La decisión del Puerto de desconectar ciertos sistemas, combinada con la acción del grupo de ransomware de cifrar aquellos que no se lograron aislar a tiempo, causó interrupciones que afectaron a varios servicios. Entre ellos se vieron comprometidos el manejo de equipaje, los quioscos de facturación, la emisión de boletos, el Wi-Fi, los paneles de información para pasajeros, el sitio web del Puerto de Seattle, la aplicación flySEA y el sistema de estacionamiento reservado.
Te podrá interesar leer: ¿Qué tipos de incidentes de seguridad puede detectar un SOC?
Aunque el puerto ha logrado restablecer la mayoría de los sistemas afectados, aún está trabajando para recuperar completamente algunos servicios clave, como el sitio web del Puerto de Seattle, el pase de visitante de SEA, los tiempos de espera de la TSA y el acceso a la aplicación flySEA (a menos que se haya descargado antes del ataque de ransomware en agosto).
El Puerto ha decidido no ceder a las demandas del grupo de ransomware y no pagará por el descifrador, a pesar de la amenaza de que los atacantes publiquen datos robados en la dark web.
"El Puerto de Seattle no tiene intención de pagar a los responsables del ciberataque a nuestra red", declaró Steve Metruck, director ejecutivo del puerto de Seattle. "Pagar a esta organización criminal no estaría alineado con los valores del puerto ni con nuestro compromiso de manejar de manera responsable el dinero de los contribuyentes".
Rhysida es una operación de ransomware como servicio (RaaS) relativamente nueva que apareció en mayo de 2023 y rápidamente ganó notoriedad tras ataques a instituciones importantes como la Biblioteca Británica y el Ejército de Chile.
El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) ha vinculado a Rhysida con ataques dirigidos a organizaciones de atención médica, mientras que la CISA y el FBI han advertido que este grupo también está detrás de muchos ataques dirigidos a otros sectores.
Por ejemplo, en noviembre, Rhysida hackeó a la subsidiaria de Sony, Insomniac Games, y filtró 1,67 TB de documentos en la dark web después de que la empresa se negara a pagar un rescate de 2 millones de dólares. También ha atacado a la ciudad de Columbus, Ohio; a MarineMax, el mayor minorista de yates y barcos de recreo del mundo; y al Singing River Health System, que advirtió a casi 900,000 personas que sus datos fueron robados durante un ataque de Rhysida en agosto de 2023.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
Los ataques de ransomware se han convertido en una de las mayores amenazas cibernéticas para empresas, instituciones y usuarios individuales. La prevención es clave para evitar verse afectado por estos ataques que pueden paralizar sistemas, secuestrar datos e imponer altos costos de recuperación. A continuación, te mostramos algunas estrategias esenciales para prevenir ataques de ransomware y proteger tus sistemas de manera eficaz.
La actualización constante de software y sistemas operativos es una de las mejores defensas contra los ataques de ransomware. Los cibercriminales suelen aprovechar vulnerabilidades en sistemas desactualizados para infiltrarse. Al mantener tu software y sistemas parcheados con las últimas actualizaciones de seguridad, reduces significativamente los puntos de entrada.
Tener una copia de seguridad actualizada y protegida de tus datos críticos es crucial en caso de un ataque. Esto te permitirá restaurar la información sin tener que ceder al pago del rescate.
Contar con una estrategia integral de ciberseguridad es clave para prevenir los ataques de ransomware. Esto incluye proteger los puntos de entrada más comunes, como correos electrónicos, sitios web y redes de trabajo.
Si no estás seguro de cómo implementar una estrategia de ciberseguridad efectiva, no dudes en ponerte en contacto con TecnetOne. Estamos aquí para ayudarte a proteger tu empresa frente a las crecientes amenazas digitales.
La segmentación de la red consiste en dividir una red en subredes aisladas entre sí. Esto limita el acceso de los atacantes a otros sistemas en caso de que uno sea comprometido, impidiendo que el ransomware se propague fácilmente por toda la red.
Muchos ataques de ransomware comienzan con errores humanos, como hacer clic en enlaces maliciosos o abrir archivos adjuntos infectados. Capacitar regularmente a los empleados sobre mejores prácticas de ciberseguridad es una medida efectiva para prevenir ataques.
La gestión de privilegios es fundamental para limitar la exposición a riesgos innecesarios. Solo los usuarios y sistemas que realmente lo necesiten deberían tener acceso a datos confidenciales o permisos administrativos.
El phishing es una de las principales vías por las que se distribuye el ransomware. Los atacantes suelen engañar a los usuarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados.
Podría interesarte leer: Advanced Email Security de Acronis: Seguridad de Correo Electrónico
Implementar autenticación multifactor (MFA) añade una capa adicional de seguridad que dificulta el acceso de los atacantes incluso si obtienen las credenciales de un usuario.
El monitoreo activo de la red puede detectar comportamientos anómalos antes de que el ransomware se propague. Además, contar con un plan de respuesta ante incidentes bien definido permite actuar de manera rápida y eficaz si ocurre un ataque.
Prevenir ataques de ransomware requiere una combinación de tecnología avanzada, buenas prácticas de ciberseguridad y educación continua para todos los usuarios dentro de una organización. Mantener los sistemas actualizados, realizar copias de seguridad, implementar estrategias de seguridad robustas y educar a los trabajadores puede marcar la diferencia entre ser una víctima o un objetivo difícil de alcanzar. Aunque no hay una solución perfecta, aplicar estas medidas reducirá significativamente el riesgo de ser víctima de un ataque de ransomware.