Ilion, un pueblo del centro del estado de Nueva York, fue víctima de un ciberataque. Un programa informático malicioso encriptó los archivos de las computadoras municipales, bloqueándolas por completo. Los hackers involucrados pidieron un 'rescate' para no dañar la información.
El programa malicioso llegó por medio de dos correos electrónicos que parecían oficiales. Al abrirlos, el programa se instaló en las computadoras.
El ataque ocurrió el año pasado, pero la oficina del contralor del estado de Nueva York, ente encargado de examinar las cuentas y la legalidad de los gastos oficiales, informó de ello ahora, una vez finalizada la investigación.
El principal problema fue que el programa malicioso inhabilitó los programas para gestionar las finanzas del municipio de 8.000 habitantes.
"La nómina, los sistemas de contabilidad del pueblo, todo estaba bloqueado", explicó el alcade de la localidad, Terry Leonard, a la agencia AP.
Ransomware, el "secuestrador"
Este tipo de programas maliciosos se conocen como ransomware (de ransom, rescate en inglés).
Normalmente se transmiten tanto como un troyano, un software que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero que al ejecutarlo brinda a un atacante acceso remoto al equipo. O también como un gusano, un programa que tiene la capacidad de duplicarse.
El ransomware suele infectar el sistema operativo, ya sea descargando un archivo o explotando una vulnerabilidad del software.
Cuando ya está instalado en las computadoras, suele iniciarse automáticamente y cifra los archivos del usuario con una determinada clave que solo el creador del programa conoce. Y este se lo proveerá a la víctima a cambio del pago de un rescate.
Además del correo electrónico, como en el caso de Ilion, este programa malicioso puede propagarse por puertos RDP, un sistema que hace los servidores Windows accesibles de manera remota, que hayan quedado abiertos en Internet.
También puede infectar archivos ubicados en discos externos, incluidas unidades de memoria USB o carpetas que se encuentran en la red o en la nube.
Así, podría también cifrar por ejemplo una carpeta de Dropbox asignada de forma local.
La empresa de software de seguridad McAfee señaló que en el primer trimestre del 2013 ya había detectado más de 250.000 tipos de ransomware únicos, pero los más conocidos hoy son Cryptolocker, Reventon, Torrentlocker, o Cryptowall 3.0.
Archivos adjuntos maliciosos
No se ha dado a conocer cuál de estos "secuestró" las computadoras municipales de Ilion, pero sí cómo ocurrió.
De acuerdo a los auditores estatales encargados de la investigación, el archivo adjunto de un correo tradujo toda la información almacenada en el sistema a un formato encriptado ilegible.
Así que para revertirlo, en enero del 2014 el ayuntamiento de Ilion pagó el primer rescate, de US$300, con una tarjeta de crédito prepagada.
Inmediatamente después obtuvo una clave para descrifrar el encriptado.
Pero en mayo de ese año volvió a recibir otro correo, aparentemente oficial.
Al abrirlo se descargó otro programa malicioso que cifró otros archivos, obligando al ayuntamiento a pagar otro rescate de US$500.
[embed:1168804]
"Aunque el monto no fue elevado y no se perdió información vital, el ataque muestra que la ausencia de salvaguardas básicas en relación a las tecnologías de la información puede ser costosa para los contribuyentes y afectar las operaciones diarias de los municipios", advirtió el contralor del estado de Nueva York, Thomas DiNapoli.
Y señaló que una de las fallas de seguridad que identificó su oficina en el sistema informático del municipio fue el no cerrar cuentas de usuarios de exempleados. También identificaron cuentas genéricas utilizadas por más de un individuo, la ausencia de un plan de respaldo de información en caso de incidentes de seguridad y la falta de actualización ante nuevas amenazas.
Ataques en España y Latinoamérica
A pesar de que detectaron estas fallas, no lograron identificar de dónde provino el ataque.
Además, Ilion no ha sido la única municipalidad que sufrió un ataque con ransomware. También enfrentaron una situación similar en Midlothian, un suburbio de Chicago, y en el condado de Lincoln, en Maine.
Pero más allá de EE.UU., en España cientos de ciudadanos recibieron en mayo un correo electrónico aparentemente de Correos, el servicio postal estatal, que avisaba de la entrega de un paquete.
[embed:1168821]
Al abrirlo, sin embargo, hacía descargar código malicioso en las computadoras de los usuarios.
Y de acuerdo a la compañía de soluciones de seguridad ESET Latinoamérica, decenas de usuarios de la región sufrieron las consecuencias del ransoware CTB-Locker a principios de este año.
Ante esto, los expertos recomiendan evitar abrir archivos adjuntos de dudosa procedencia, habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas (como .exe o .scr), mantener actualizadas las soluciones de seguridad y hacer un respaldo de los datos de forma periódica.