¡Texas bajo ataque!

Fue el comienzo de un caluroso viernes hace dos agostos cuando Jason Whisler se instaló para un desayuno de trabajo en el restaurante Coffee Ranch en la ciudad de Borger, en Texas Panhandle. El tema más urgente de la agenda para los funcionarios de la ciudad esa mañana: la planificación de un concierto de música country y un evento de aniversario.

Los trabajadores quedaron excluidos de los archivos. Los impresores arrojaron demandas de dinero. Durante los siguientes días, los residentes no pudieron pagar las facturas del agua, el gobierno no pudo procesar la nómina, los oficiales de policía no pudieron recuperar ciertos registros.

En todo Texas, escenas similares se desarrollaron en casi dos docenas de comunidades golpeadas por un ciberataque vinculado a un grupo criminal con sede en Rusia.

En 2019, el ransomware aún no se había convertido en una de las principales preocupaciones de seguridad nacional que enfrenta Estados Unidos, un tema que se convertiría en el foco de una cumbre presidencial entre Washington y Moscú este año.

Pero los ataques en Texas fueron un presagio de la amenaza ahora en explosión y ofrecen un vívido estudio de caso de lo que sucede detrás de escena cuando un pequeño pueblo de Estados Unidos es atacado.

Las comunidades de Texas lucharon durante días con interrupciones en los servicios centrales del gobierno mientras los trabajadores de pequeñas ciudades y pueblos soportaron una cascada de frustraciones provocadas por el sofisticado ciberataque, según miles de páginas de documentos revisados por The Associated Press y entrevistas con personas involucradas en la respuesta.

La AP también conoció nuevos detalles sobre el alcance del ataque y las víctimas, incluida una base de la Fuerza Aérea donde se interrumpió el acceso a una base de datos policial y una ciudad obligada a operar su sistema de suministro de agua manualmente.

En los últimos meses, un ataque de ransomware provocó escasez de gasolina. Otro, vinculado a la misma banda de hackers que atacó a las comunidades de Texas, amenazó con el suministro de carne.

Pero los ataques de Texas, que, a diferencia de estos casos destacados, se resolvieron sin el pago de un rescate, dejan en claro que el ransomware no tiene porqué afectar la infraestructura vital o las grandes corporaciones para interrumpir la vida diaria.

“Fue una sensación aterradora”, relató Whisler, el coordinador de gestión de emergencias de Borger, en una entrevista.

A MEDIO MUNDO

En las primeras horas de la mañana del 16 de agosto, cuando la mayoría de los tejanos aún dormían, los piratas informáticos al otro lado del mundo se metían en las redes. Encriptaron archivos y dejaron notas de rescate.

Esa tarde, cuando el impacto del ataque se hizo evidente, el administrador de la ciudad de Vernon envió un correo electrónico a sus colegas sobre un virus de “tipo rescate” que afectaba al departamento de policía.

La ciudad cercana a la frontera del estado de Oklahoma podría volver a estar en línea pagando los $ 2.5 millones que los piratas informáticos estaban exigiendo, escribió, pero ese “obviamente” no era el plan.

“¡¡¡Santo cielo !!!!!” respondió la comisionada municipal Pam Gosline, ahora alcaldesa.

Los culpables estaban afiliados a REvil, el sindicato vinculado a Rusia que la primavera pasada extorsionó $ 11 millones al procesador de carne JBS y, más recientemente, estuvo detrás de un ataque del fin de semana del 4 de julio que paralizó las empresas de todo el mundo. En el caso de Texas, sin embargo, las comunidades finalmente pudieron recuperar la mayoría de sus datos y reconstruir sus sistemas sin que nadie pagara rescate.

Los piratas informáticos se afianzaron mediante un ataque a una empresa de Texas que proporciona servicios de tecnología a los gobiernos locales, ramificándose a través de software para compartir pantalla y administración remota para tomar el control de las redes de algunos de los clientes de la empresa.

Un primer indicio de problemas llegó con una llamada telefónica a las 2 a.m. al presidente de la empresa, Richard Myers. Su empresa, TSM Consulting Services Inc., brinda servicios de comunicaciones de datos para las comunidades de Texas, vinculando a las agencias policiales con una base de datos de las fuerzas del orden público en todo el estado.

Uno de los servidores de su cliente no respondía, le dijeron. Tras la inspección, Myers notó que alguien que se suponía que no debía estar en el sistema informático estaba intentando instalar algo de forma remota. Reinició el servidor. Al principio, las cosas parecían arregladas hasta que el departamento volvió a llamar: una de sus computadoras portátiles tenía una nota de rescate.

Pronto quedó claro que el problema no se limitaba a un solo cliente.

“No creo que puedas comenzar a expresar el terror que pasa por tu mente cuando algo así comienza a desarrollarse”, dijo.

En cuestión de horas, los funcionarios estatales se refugiaron dentro de un centro de operaciones subterráneo que normalmente se usa para calamidades como huracanes e inundaciones. El gobernador Greg Abbott lo declaró un desastre cibernético. Se activaron los especialistas cibernéticos de la Guardia Nacional de Texas.

“Si necesitaba construir algo, necesitaba una inspección, algo así, sin suerte durante una semana”, dijo Andy Bennett, el entonces subdirector de seguridad de la información del estado. “¿Búsqueda de registros? No pude buscar registros. Básicamente, si hay una función municipal para la que iría a un ayuntamiento, o para la que confiaría en el departamento de policía, no estaba disponible “.

En Borger, una ciudad de menos de 13 mil habitantes, los primeros indicios fueron preocupantes mientras la ciudad se apresuraba a apagar sus computadoras.

Las demandas de rescate galimatías salieron de las impresoras y se mostraron en algunas pantallas de computadora. Los archivos del gobierno estaban encriptados, con títulos como “Documento presupuestario” reemplazados por combinaciones absurdas de letras y símbolos, dijo el actual administrador de la ciudad, Garrett Spradling.

Los registros vitales, como los certificados de nacimiento y defunción, estaban fuera de línea. Los pagos no se podían procesar, no se podían emitir cheques, aunque, afortunadamente para Borger, era una semana libre para la nómina. Los letreros colocados en una ventana de autoservicio afuera del Ayuntamiento les dijeron a los residentes que la ciudad no podría procesar los pagos de las facturas de agua, pero que los cortes se retrasarían.

Una actualización compartida con los funcionarios de la ciudad poco después del ataque describía cómo todos los servidores estaban infectados, al igual que aproximadamente el 60% de las 85 computadoras inspeccionadas en ese momento.

Un correo electrónico del gobierno de la ciudad les dijo a los miembros del consejo que las agendas para una reunión estarían en formato de papel, “ya que sus tabletas no podrán conectarse”. Un funcionario le dijo a un juez que no estaba claro si los sistemas informáticos estarían operativos a tiempo para los juicios que faltan dos días.

Debido a que la ciudad había pagado por la copia de seguridad remota fuera del sitio, Borger tenía la capacidad de reformatear los servidores, reinstalar el sistema operativo y recuperar los datos. Un servidor recién comprado que aún no se había instalado fue útil. Sin embargo, el departamento de policía retuvo sus datos a nivel local y el ataque obstaculizó el acceso de los oficiales a informes de incidentes anteriores, dijo Spradling.

Mientras trabajaban para resolver el problema, los funcionarios compartieron borradores de comunicados de prensa que ofrecían garantías de que continuarían las operaciones críticas de emergencia y que los ataques no eran un reflejo de ningún paso en falso de la ciudad.

El día del ataque, Jeremy Sereno estaba trabajando como civil en Dell cuando fue contactado por el estado sobre el ataque. Teniente coronel y oficial superior de ciberseguridad del Departamento Militar de Texas, Sereno comenzó a ayudar a desplegar tropas de la Guardia Nacional de Texas en ciudades pirateadas, donde especialistas durante las próximas dos semanas ayudaron a evaluar el daño, restaurar datos de archivos respaldados y retomar el control de sistemas bloqueados .

Una de las primeras áreas de preocupación fue una pequeña ciudad del norte de Texas donde el ataque bloqueó la “interfaz hombre-máquina” que los trabajadores usaban para controlar el suministro de agua, lo que los obligó a operar el sistema manualmente, dijo Sereno. La pureza del agua no se puso en peligro.

“Ese fue probablemente nuestro mayor número uno”, dijo Sereno. “Eso es lo que se considera infraestructura crítica, cuando se habla de agua”.

AP no está identificando la ciudad a instancias de los funcionarios estatales, quienes dijeron que hacerlo podría generar nuevos ataques a su sistema de agua.

En Graham, una pequeña ciudad a un par de horas al oeste de Dallas, el virus informático atacó un servidor de la policía que contenía videos de cámaras corporales, causando la pérdida de cientos de ellos, dijo el sargento Chris Denney.

Durante días, los agentes tuvieron que usar cuadernos y bolígrafos para tomar informes. En lugar de utilizar terminales de datos móviles para controlar a las personas, los agentes tenían que depender de las solicitudes a los despachadores de una oficina del alguacil que no se vio afectada por el ataque, dijo el jefe Brent Bullock.

“Eso ha estado al alcance de estos oficiales durante años, y luego, de repente, ya no lo tienen”, dijo Bullock. Los oficiales, agregó, “tuvieron que volver a la vieja escuela”.

Otras comunidades desconectaron de forma preventiva sistemas potencialmente vulnerables. En el suburbio de Leander en Austin, la ciudad cerró el programa que la policía usaba para verificar las matrículas durante 24 horas mientras el personal de TI trabajaba para confirmar que no había sido expuesto.

Los correos electrónicos revelan momentos de exasperación a medida que persistían los problemas.

AGARRAN PAREJO

El impacto no se limitó a los gobiernos locales. La Base de la Fuerza Aérea Sheppard confirmó a AP que su acceso a una base de datos de las fuerzas del orden público que se usa para verificar los antecedentes de los visitantes se interrumpió temporalmente, lo que provocó retrasos en la emisión de pases. Por lo demás, las operaciones no se vieron afectadas.

Los funcionarios de la Base Conjunta San Antonio Randolph, que según los registros públicos también se vio afectada, no respondieron directamente a las preguntas sobre el ataque.

Los funcionarios estatales pasaron una semana completa dentro de su puesto de mando, construido para resistir una explosión nuclear, y utilizaron un mapa para trazar la propagación del ataque. En total, unas 23 entidades gubernamentales fueron finalmente sombreadas para indicar que habían sido atacadas.

“Es un poco complicado porque estás tratando de mantenerte enfocado y presente en las personas que conoces”, dijo Amanda Crawford, directora ejecutiva del Departamento de Recursos de Información de Texas.

“Pero te preocupas continuamente por ‘¿Hay algo que te estás perdiendo? ¿O hay otros, que vas a recibir otra llamada de que alguien más ha sido atacado? “

Para el miércoles por la noche, según muestran los registros, se restablecieron la mayoría de los servicios de la ciudad en Borger, incluidos los pagos de servicios públicos, las estadísticas vitales y la mayoría de las computadoras de los empleados. La situación se había estabilizado; la ciudad terminó con alrededor del 80% de sus datos y el concierto que Whisler estaba planeando sucedió según lo programado.

Aún así, en una ciudad con un presupuesto de aproximadamente $ 31 millones, Borger tuvo que lidiar con gastos de TI de horas extra y compró $ 44,000 en computadoras nuevas. Se invirtió en protecciones de ciberseguridad adicionales, incluidos unos $ 30,000 en costos anuales para copias de seguridad remotas adicionales.

Los funcionarios de Borger en las semanas previas al ataque habían discutido mejorar el nivel de amenaza de los ciberataques. Estas consideraciones son ahora más que teóricas.

“Cuando te quejas de tener que cambiar tus contraseñas, te quejas mucho más cuando nunca te ha pasado y no tienes nada con qué relacionarlo”, dijo Spradling. “Tiende a quejarse un poco menos después de haber tenido que contestar el teléfono y decirle a 300 personas que no podían pagar su factura de agua”.

Pero el daño permanece dos años después.

A veces, incluso ahora, dijo Spradling, los funcionarios buscarán un informe antiguo o un registro de dirección, solo para descubrir que no está allí.

HABLA EXPERTO

Es terrorismo 

- Un concejal, veterano militar llamado Milton Ooley, advirtió contra la publicidad de la “forma de terrorismo” de los piratas informáticos.

- “Esto es coherente con mi experiencia de primera mano sobre cómo Estados Unidos manejó el terrorismo en Europa cuando yo estuve allí a finales de los 70, parte del cual estaba dirigido a unidades estadounidenses, incluidas unidades de misiles con las que trabajé durante esos días”, escribió a sus colegas.

- En una entrevista, dijo que creía que el público tenía derecho a la información, pero los piratas informáticos no merecían notoriedad.

Surgen nuevos detalles del ataque ransomware que afectó a dos docenas de comunidades de Texas hace dos años.