Un experto en la Dark Web advirtió a una ciudad estadounidense sobre un gran ataque. La ciudad ha presentado una demanda

Un experto en la Dark Web advirtió a una ciudad estadounidense sobre un gran ataque. La ciudad ha presentado una demanda

El ransomware ha estado plagando municipios estadounidenses durante mucho tiempo. Parecía ser otro ataque típico de ransomware que afectó a la ciudad de Columbus, Ohio, el pasado mes de julio. Sin embargo, la respuesta de la ciudad al ataque no fue la misma, y ​​los expertos legales y de ciberseguridad de todo el país cuestionan sus motivos.

Connor Goodwolf (cuyo nombre legal es David Leroy Ross) es un consultor de TI que investiga la red oscura como parte de su trabajo. “Hago un seguimiento de los delitos de la red oscura, las organizaciones criminales y cosas como por las que arrestaron al director ejecutivo de Telegram”, dijo Goodwolf.

Así que cuando se supo que la ciudad de Columbus, su ciudad natal, había sido atacada, Goodwolf hizo lo que suele hacer: investigó en Internet. No tardó mucho en descubrir lo que los piratas informáticos tenían en su poder.

“No fue la mayor, pero fue una de las infracciones de mayor impacto que he visto”, dijo Goodwolf.

En cierto modo, lo describió como una violación rutinaria, en la que se expusieron datos personales identificables, información sanitaria protegida, números de la Seguridad Social y fotos de carnets de conducir. Sin embargo, como se violaron varias bases de datos, fue más amplio que otros ataques. Según Goodwolf, los piratas informáticos habían violado varias bases de datos de la ciudad, la policía y la fiscalía. Había registros de arrestos e información confidencial sobre menores y víctimas de violencia doméstica. Algunas de las bases de datos violadas, dice, se remontaban a 1999.

Goodwolf encontró más de tres terabytes de datos que tardaron más de ocho horas en descargarse.

“Lo primero que veo es la base de datos de la fiscalía y pienso: ‘¡Dios mío! Son víctimas de violencia doméstica. Cuando se trata de víctimas de violencia doméstica, tenemos que protegerlas al máximo porque ya han sido víctimas una vez y ahora lo vuelven a ser al exponer su información”, dijo.

La primera acción de Goodwolf fue ponerse en contacto con la ciudad para informarles de la gravedad de la vulneración, porque lo que vio contradecía las declaraciones oficiales. En una conferencia de prensa celebrada el 13 de agosto, el alcalde de Columbus, Andrew Ginther, dijo: “Los datos personales que el actor de la amenaza publicó en la red oscura estaban cifrados o dañados, por lo que la mayoría de los datos que obtuvo el actor de la amenaza son inutilizables”.

Pero lo que Goodwolf estaba descubriendo no respaldaba esa opinión. “Traté de comunicarme con la ciudad varias veces y con varios departamentos, pero no me respondieron”, dijo.

Mandiant, propiedad de Google, así como muchas otras empresas importantes de ciberseguridad, han estado rastreando un aumento continuo en los ataques de ransomware, tanto en prevalencia como en gravedad, y el ascenso del Grupo Rhysida detrás del hackeo de Columbus, que ha ganado prominencia en el último año.

El grupo Rhysida se atribuyó la responsabilidad del ataque. Aunque no se sabe mucho sobre esta banda cibernética, Goodwolf y otros expertos en seguridad afirman que parecen estar patrocinadas por un estado y radicadas en Europa del Este, posiblemente vinculadas a Rusia. Goodwolf afirma que estas bandas de ransomware son “operaciones profesionales” con personal, vacaciones pagadas y personal de relaciones públicas.

“Han incrementado los ataques y los objetivos desde el otoño pasado”, dijo.

La Agencia de Seguridad Cibernética y de Infraestructura del gobierno de Estados Unidos emitió un boletín sobre Rhysida en noviembre pasado.

Goodwolf dijo que como nadie de la ciudad le respondió, acudió a los medios locales y compartió datos con los periodistas para difundir la gravedad de la violación. Y fue entonces cuando recibió noticias de la ciudad de Columbus, en forma de una demanda y una orden de restricción temporal que le impedían difundir información adicional.

La ciudad defendió su respuesta en una declaración a CNBC:

“La Ciudad inicialmente solicitó obtener esta orden, que fue otorgada por el Tribunal, para evitar la difusión de información sensible y confidencial, incluyendo potencialmente las identidades de agentes de policía encubiertos, que amenaza la seguridad pública y las investigaciones criminales”.

La orden de restricción temporal de 14 días de la ciudad contra Goodwolf ya expiró, y ahora tiene una orden judicial preliminar y un acuerdo con Goodwolf para no divulgar más datos.

“Cabe señalar que la orden judicial no prohíbe al acusado hablar sobre la filtración de datos ni siquiera describir qué tipo de datos se expusieron”, añadió la declaración de la ciudad. “Simplemente prohíbe al individuo difundir los datos robados publicados en la red oscura. La ciudad sigue en contacto con las autoridades federales y los expertos en seguridad cibernética para responder a esta intrusión cibernética”.

Por su parte, el alcalde tuvo que pronunciar un mea culpa en una rueda de prensa posterior, en la que dijo que sus declaraciones iniciales se basaban en la información que tenía en ese momento. “Era la mejor información que teníamos en ese momento. Claramente, descubrimos que era información inexacta y tengo que aceptar la responsabilidad por ello”.

Al darse cuenta de que la exposición a los residentes era mayor de lo que se pensaba en un principio, la ciudad ofrece dos años de monitoreo de crédito gratuito de Experian. Esto incluye a cualquier persona que haya tenido contacto con la ciudad de Columbus a través de un arresto u otro asunto. Columbus también está trabajando con Legal Aid para ver qué protecciones adicionales son necesarias para las víctimas de violencia doméstica que pueden haber sido comprometidas o necesitan ayuda con las órdenes de protección civil.

Hasta la fecha, la ciudad no ha pagado a los piratas informáticos, que exigían 2 millones de dólares de rescate.

“Él no es Edward Snowden”

Quienes estudian el derecho de la ciberseguridad y trabajan en ese ámbito expresaron su sorpresa por la presentación por parte de Columbus de una demanda civil contra el investigador.

“Las demandas contra investigadores de seguridad de datos son poco frecuentes”, dijo Raymond Ku, profesor de derecho en la Universidad Case Western Reserve. En las raras ocasiones en que ocurren, dijo, generalmente es cuando se alega que el investigador ha revelado cómo se explotó o puede explotarse un fallo, lo que luego permitiría que otros también se aprovechen de él.

“No era Edward Snowden”, dijo Kyle Hanslovan, director ejecutivo de la empresa de ciberseguridad Huntress, quien se describió como preocupado por la respuesta de la ciudad de Columbus y lo que podría significar para futuras violaciones de seguridad. Snowden era un empleado contratado por el gobierno que filtró información clasificada y enfrentó cargos criminales, pero se consideraba un denunciante. Goodwolf, dice Hanslovan, es un buen samaritano que encontró de forma independiente los datos violados.

“En este caso, parece que acabamos de silenciar a alguien que, hasta donde sé, parece ser un investigador de seguridad que hizo lo mínimo y confirmó que las declaraciones oficiales realizadas no eran ciertas. Esto no puede ser un uso apropiado de los tribunales”, dijo Hanslovan, prediciendo que el caso será anulado rápidamente.

El fiscal de la ciudad de Columbus, Zach Klein, dijo durante una conferencia de prensa en septiembre que el caso “no tenía que ver con la libertad de expresión ni con la denuncia de irregularidades. Se trata de la descarga y divulgación de registros de investigaciones criminales robados”.

A Hanslovan le preocupa el efecto dominó que se produciría cuando los consultores e investigadores de ciberseguridad tengan miedo de hacer su trabajo por temor a ser demandados. “Lo más importante aquí es que estamos viendo el surgimiento de un nuevo manual de estrategias” para responder a los ataques informáticos en el que se silencia a las personas, y eso no debería ser bien recibido, dijo. “Silenciar cualquier opinión, incluso durante 14 días, podría ser suficiente para evitar que salga a la luz algo creíble, y eso me aterroriza”, dijo Hanslovan. “Esa voz necesita ser escuchada. A medida que vemos que surgen incidentes de ciberseguridad más grandes, me preocupa que la gente esté más preocupada por sacarlos a la luz”.

Scott Dylan, fundador de la empresa de capital de riesgo NexaTech Ventures, con sede en el Reino Unido, también cree que las acciones de la ciudad de Columbus podrían inducir un efecto paralizador en el campo de la ciberseguridad.

“A medida que el campo del derecho cibernético continúa madurando, es probable que este caso sea referenciado en futuras discusiones sobre el papel de los investigadores después de las violaciones de datos”, dijo Dylan.

Dice que los marcos legales deben evolucionar para seguir el ritmo de la sofisticación de los ciberataques y los dilemas éticos que generan, y el enfoque adoptado por Columbus es un error.

Mientras tanto, el proceso legal para Goodwolf seguirá su curso. A pesar de que Columbus y Goodwolf llegaron a un acuerdo la semana pasada sobre la difusión de la información, la ciudad todavía lo está demandando por daños y perjuicios en una demanda civil que podría alcanzar los 25.000 dólares o más. Goodwolf se representa a sí mismo en sus conversaciones con la ciudad, aunque dice que tiene un abogado de guardia, si es necesario.

Algunos residentes han presentado una demanda colectiva contra la ciudad. Goodwolf afirma que el 55% de la información filtrada se ha vendido en la red oscura, mientras que el 45% está disponible para cualquier persona con las habilidades necesarias para acceder a ella.

Dylan cree que la ciudad está asumiendo un gran riesgo, aunque sus acciones puedan ser defendibles legalmente, al crear la apariencia de un intento de silenciar el discurso en lugar de fomentar la transparencia. “Es una estrategia que podría resultar contraproducente, tanto en términos de confianza pública como de litigios futuros”, afirmó.

“Espero que la ciudad se dé cuenta del error que supone presentar una demanda civil y de las consecuencias que ello tiene, no sólo en materia de seguridad”, afirmó Goodwolf, señalando que Intel está construyendo unas instalaciones de 1.000 millones de dólares en un suburbio de Columbus. En los últimos años, la ciudad se ha posicionado como un nuevo centro tecnológico en el Medio Oeste, y atacar a los investigadores de ciberseguridad y a los de sombrero blanco, afirmó, podría hacer que algunos en el sector tecnológico reconsideren su ubicación.

Leer más
Back to top button