El pasado enero el Comité Internacional de la Cruz Roja (CICR) sufrió un ciberataque contra sus servidores que afectó a los datos de 515.000 personas. Hoy brindan información adicional sobre lo que ocurrió y aseguran estar trabajando por lograr la protección de la acción humanitaria también en el mundo digital.
El pasado enero te contamos en LISA News cómo el Comité Internacional de la Cruz Roja (CICR) había sufrido un ciberataque que había alcanzado los datos personales e información confidencial de 515 000 personas «muy vulnerables» en todo el mundo. En particular, personas separadas de sus familiares debido a conflictos, desastres o migraciones, personas desaparecidas y sus familiares, y personas detenidas.
Según el director general del Comité Internacional de la Cruz Roja (CICR), Robert Mardini, han estado trabajando «sin descanso» para entender cómo ocurrió este ciberataque y cómo pueden mejorar sus sistemas de seguridad de cara a futuro.
Además de aportar esta nueva información sobre el ciberataque que detallamos a continuación, Mardini expuso cómo el trabajo de la organización en terreno, ya sea en zonas afectadas por desastres naturales o en países en conflicto viene siempre acompañada de «riesgos reales» y que es «vital» el enfoque neutral del movimiento para poder trabajar de forma segura. «Aplicamos el mismo enfoque en el mundo digital y en el mundo físico; en ninguno de los dos debemos ser objeto de ataques», aseguró.
Así, lamentó «profundamente» que sus datos hayan sido alcanzados por este «inaceptable» ataque. “Prometo que haremos todo lo que esté a nuestro alcance para reforzar aún más la protección de nuestros datos ahora y en el futuro y -una tarea crucial- presionar para lograr la protección de la acción humanitaria en el espacio digital”, dijo.
¿Qué hizo que este ataque fuera altamente sofisticado y selectivo?
Según asegura la organización los ciberdelincuentes tenían grandes recursos y que utilizaron tácticas que la mayoría de herramientas de detección no habrían advertido. En este sentido, informan cómo los autores del ataque utilizaron un conjunto de muy específico de herramientas de hackeo avanzadas diseñadas para seguridad ofensiva.
«Los autores del ataque usaron técnicas de ofuscación de datos sofisticadas para ocultar y proteger sus programas maliciosos. Esto requiere un alto nivel de competencias, disponible solamente para un número limitado de actores», dicen.
La organización ha determinado que el ataque fue selectivo porque sus autores crearon un código diseñado exclusivamente para su ejecución en los servidores del CICR que fueron atacados. Las herramientas utilizadas se refirieron a un identificador único en los servidores atacados (su dirección MAC).
Las herramientas contra los programas informáticos maliciosos (malware) que habían instalado en los servidores atacados estaban activas y detectaron y bloquearon algunos de los archivos utilizados por los autores del ataque.
Pero la mayoría de los archivos maliciosos desplegados fueron diseñados específicamente para eludir sus protecciones contra los malware, y solo detectaron esta intrusión cuando instalaron, como parte de su programa de refuerzo planificado de la ciberseguridad, sistemas avanzados de detección y respuesta en puntos finales (EDR, por la sigla en inglés).
¿Cuándo supieron de este ataque?
Una empresa especializada en ciberseguridad contratada por el CICR para ayudarles a proteger sus sistemas, detectó una anomalía en los servidores que contenían información relativa a los servicios de restablecimiento del contacto entre familiares que el Movimiento Internacional de la Cruz Roja y de la Media Luna Roja presta en todo el mundo.
Fue entonces cuando realizaron una inmersión de datos profunda y determinaron, el 18 de enero, que sus sistemas habían sido jaqueados y que los autores del jaqueo habían tenido acceso a los datos alojados en ellos.
¿En qué falló su defensa?
El proceso de «parcheo» es una actividad importante para cualquier empresa. Desde CICR aseguran que cada años instalan decenas de miles de parches en todos sus sistemas. Así reconocen que la instalación oportuna de parchas críticos es fundamental para la ciberseguridad pero, lamentablemente, no aplicaron ese parche a tiempo antes de que se produjera el ataque.
«En el CICR, tenemos un sistema de defensa cibernética de múltiples niveles, que incluye monitoreo de puntos finales, programas de detección y otras herramientas. En este caso, el análisis que realizamos después del ataque reveló que nuestros procesos y herramientas de gestión de vulnerabilidades no detuvieron el incidente», informan.
Desde la organización aseguran que inmediatamente después del ataque implementaron cambios y que están acelerando las actividades que habían planificado como parte de su último programa de refuerzo de la ciberseguridad iniciado en febrero de 2021 en respuesta a amenazas que evolucionan permanentemente.
¿Quiénes fueron los autores del ciberataque?
El CICR ha asegurado que no podían afirmar quiénes habían cometido este ciberataque, ni por qué, destacando que no iban a hacer «especulaciones al respecto». No han tenido ningún tipo de contacto con los ciberdelincuentes ni han recibido ninguna solicitud de rescate.
«En consonancia con nuestra práctica habitual de interactuar con cualquier actor que pueda facilitar o impedir nuestra labor humanitaria, estamos dispuestos a comunicarnos en forma directa y confidencial con los responsables de esta operación, sean quienes sean, para hacerles comprender la necesidad de respetar nuestra acción humanitaria», aseguran.
¿Los datos fueron copiados y exportados?
Creen que deben suponer que así ha ocurrido ya que los ciberdelincuentes estuvieron dentro de los sistemas y, por tanto, tuvieron capacidad para copiarlos y exportarlos. Sin embargo, han comunicado que, hasta donde saben, la información no ha sido publicada ni comercializada por el momento. Tampoco en la Dark Web.
¿Qué cambios se harán al entorno en línea de la Agencia Central de Búsquedas antes de ponerlo en funcionamiento?
Los refuerzos de la seguridad que vamos a implementar son un nuevo proceso de autenticación de dos factores y una solución avanzada de detección de amenazas. Para reanudar los sistemas, el requisito es que las pruebas de penetración realizadas externamente en todas las aplicaciones y los sistemas sean un éxito.
De todas formas han asegurado que, para garantizar la seguridad de sus aplicaciones y en consonancia con las mejores prácticas del sector, no darán más detalles sobre la arquitectura técnica ni la seguridad.
«Damos mucha importancia a la ciberseguridad y hemos invertido sustancialmente en este ámbito a lo largo de muchos años. Esas inversiones deben continuar dado que las amenazas evolucionan constantemente», concluyen.
