El ciberataque que puso a la Cruz Roja (y los refugiados) en la diana

El pasado mes de enero, un ciberataque comprometía la información de más de 500.000 personas al ser atacados los servidores del Comité Central de la Cruz Roja (ICRC, por sus siglas en inglés). Se trataba de personas extremadamente vulnerables, como refugiados huidos de conflictos armados, desastres naturales, migraciones, etc.; datos confidenciales originados en la Cruz Roja y la Media Luna Roja de hasta 60 países distintos. Un mes después, en un ejercicio de responsabilidad y transparencia, el propio ICRC ha ampliado más información sobre este sofisticado ataque.

Tras un análisis exhaustivo, los expertos han determinado que la sofisticación del ciberataque fue tal, tanto en medios como en tácticas, que la mayoría de las soluciones  de detección del mercado no habrían servido de nada, como de hecho sucedió. Las herramientas avanzadas que emplearon los ciberdelincuentes están diseñadas para la seguridad ofensiva y son habitualmente utilizadas por los grupos especializados en amenazas avanzadas persistentes (APT, por sus siglas en inglés), sin que estén disponibles para el público general.

El informe del ICRC concluye que estás técnicas utilizadas permitieron a los atacantes ocultar y proteger su software malicioso (malware), en el que había código diseñado específicamente para ejecutarse en los servidores atacados del ICRC, incluyendo su dirección MAC que identificada a cada equipo informático.

Fue una empresa externa de ciberseguridad, contratada por el ICRC, quien detectó anomalías en los servidores, descubriendo el ataque. Tras este hallazgo, el organismo realizó un análisis exhaustivo de los sistemas determinando que el 18 de enero se había producido una intrusión, accediendo a los datos alojados en ellos. Sin embargo, los trabajos de revisión realizados han descubierto que la primera filtración se habría producido el pasado 9 de noviembre, es decir, 70 días antes de su detección, lo que puede parecer demasiado tiempo, aunque el ICRC advierte que, este tipo de ataques tan sofisticados tardan una media de 212 días en ser detectados.

Una vez detectado el ataque, los servidores comprometidos fueron desconectados, sin que otros hayan sido afectados dada la segmentación de sistemas que tiene implantado el ICRC en su infraestructura.

Los ataques abrieron la brecha en la red informática explotando una vulnerabilidad crítica, para la que no se había instalado su parche de seguridad, en un módulo de autenticación (CVE-2021-40539). Una vez dentro del sistema, el malware instaló código por medio del cual los atacantes pudieron enmascararse como usuarios o administradores autorizados. Esto fue, precisamente, lo que les permitió acceder, incluso, a datos encriptados.

Al parecer, la seguridad instalada en la infraestructura del organismo internacional sí fue capaz de parar algunos de los archivos maliciosos, pero no fue hasta que se instaló agentes EDR (Advanced Endpoint Detection and Response) cuando se detectó el verdadero alcance del ataque.

El ICRC prefiere no especular sobre la autoría del ciberataque, si bien está abierto a entablar comunicación directa y confidencial con los responsables, a los que instan a no compartir, vender, filtrar o utilizar los datos comprometidos, dado que los indicios hacen pensar que éstos fueron copiados y exportados. Hasta la fecha, la Cruz Roja no tiene constancia de que esta información se haya publicado o comercializado, ni siquiera en la Dark Web. Además, los primeros análisis indican que tampoco se borraron datos en los servidores, lo que permite reestablecer más rápidamente los servicios con los que reunifican a familias enteras.

A este respecto, el experto en seguridad Brian Krebs afirma que el mismo día que se hizo público el ataque alguien con el apodo de Sheriff puso a la venta los datos en RaidForums, un foro utilizado habitualmente por ciberdelincientes. Krebs indica, además, que la dirección de correo electrónico que utilizó el tal Sheriff para registrarse en el foro ya aparecía en investigaciones previas del FBI relacionadas con una red iraní de sitios de noticias cuentas de redes sociales falsas dirigidas contra EEUU, Reino Unido y otros países occidentales.

El organismo internacional ha reforzado su seguridad informática incorporando, entre otras medidas, un nuevo proceso de autenticación de dos factores y la instalación de una solución avanzada de detección de amenazas.  De cara a las personas cuyos datos han sido filtrados, el ICRC ha activado todos los mecanismos a su alcance, para contactar con ellas, especialmente aquellas que corren mayor riesgo, llegando incluso a desplazar personal sobre el terreno para informar en persona. Asimismo, tanto desde la Cruz Roja como de la Media Luna Roja se han puesto en marcha soluciones alternativas para poder seguir realizando el rastreo de personas afectadas mientras se reconstruye un nuevo entorno digital para la Agencia Central de Rastreo.

Por otro lado, desde el organismo han querido destacar sus esfuerzos por reestablecer la normal prestación de sus servicios, poniendo a disposición de los afectados una relación de contactos locales tanto de la Cruz Roja como de la Media Luna Roja, así como una lista de recomendaciones, entre las que se incluye acudir directamente al organismo y extremar el cuidado ante la recepción de cualquier correo electrónico u otro tipo de comunicación sospechosa que reclame información personal. Ante algo así, el consejo es eliminar de inmediato el mensaje y nunca abrir ningún enlace adjunto.