El ransomware ha estado plagando durante mucho tiempo a municipios estadounidenses. Parecía ser otro ataque típico de ransomware que afectó a la ciudad de Columbus, Ohio, el pasado julio. Sin embargo, la respuesta de la ciudad al hackeo no lo fue, y tiene a expertos en ciberseguridad y legales de todo el país cuestionando sus motivos.
Connor Goodwolf (nombre legal David Leroy Ross) es un consultor de TI que investiga en la dark web como parte de su trabajo. “Sigo delitos de dark web, organizaciones criminales y cosas como por lo que el CEO de Telegram ha sido arrestado,” dijo Goodwolf.
Entonces, cuando se enteró de que la ciudad de Columbus, su ciudad natal, había sido hackeada, Goodwolf hizo lo que hace: investigó en línea. No le llevó mucho tiempo descubrir lo que los hackers tenían en su poder.
“No fue el más grande, pero fue uno de los breaches más impactantes que he visto,” dijo Goodwolf.
De cierta manera, lo describió como un breach rutinario, con información personal identificable, información de salud protegida, números de Seguro Social y fotos de licencias de conducir expuestas. Sin embargo, debido a que se hackearon múltiples bases de datos, fue más abarcador que otros ataques. Según Goodwolf, los hackers habían hackeado múltiples bases de datos de la ciudad, la policía y la oficina del fiscal. Había registros de arrestos e información sensible sobre menores y víctimas de violencia doméstica. Algunas de las bases de datos hackeadas, según él, se remontaban a 1999.
Goodwolf encontró más de tres terabytes de datos que tardaron más de 8 horas en descargarse.
“Lo primero que veo es la base de datos del fiscal, y me digo ‘vaya, estas son víctimas de violencia doméstica.’ Cuando se trata de víctimas de violencia doméstica, necesitamos protegerlas al máximo porque ya han sido victimizadas una vez, y ahora lo son nuevamente al exponer su información,” dijo.
La primera acción de Goodwolf fue contactar a la ciudad para hacerles saber lo grave que era la brecha, ya que lo que vio contradecía las declaraciones oficiales. En una conferencia de prensa el 13 de agosto, el alcalde de Columbus, Andrew Ginther, dijo: “Los datos personales que el actor de amenazas publicó en la dark web estaban cifrados o corruptos, por lo que la mayoría de los datos obtenidos por el actor de amenazas no son utilizables.”
Pero lo que Goodwolf estaba encontrando no respaldaba esa visión. “Traté de comunicarme con la ciudad varias veces y con varios departamentos y me rechazaron,” dijo.
Mandiant, propiedad de Google, así como muchas otras empresas líderes en ciberseguridad, han estado rastreando un aumento continuo en los ataques de ransomware, tanto en prevalencia como en severidad, y el ascenso del Grupo Rhysida detrás del hackeo a Columbus, que ha cobrado prominencia en el último año.
El Grupo Rhysida se atribuyó la responsabilidad del hackeo. Aunque no se sabe mucho sobre la banda cibernética, Goodwolf y otros expertos en seguridad dicen que parecen ser patrocinados por el estado y con sede en Europa del Este, posiblemente vinculados a Rusia. Goodwolf dice que estas bandas de ransomware son “operaciones profesionales” con personal, vacaciones pagadas y gente de relaciones públicas.
“Han intensificado los ataques y objetivos desde el otoño pasado,” dijo.
La Agencia de Seguridad Cibernética e Infraestructura del Gobierno de EE. UU. emitió un boletín sobre Rhysida en noviembre pasado.
Goodwolf dijo que como nadie de la ciudad le respondió, acudió a los medios locales y compartió datos con periodistas para alertar sobre la gravedad de la brecha. Y fue entonces cuando escuchó de la ciudad de Columbus, en forma de una demanda y una orden de restricción temporal que le impedía difundir información adicional.
La ciudad defendió su respuesta en un comunicado a CNBC:
“La Ciudad inicialmente buscó obtener esta orden, que fue concedida por el Tribunal, para evitar la difusión de información sensible y confidencial, potencialmente incluyendo las identidades de agentes de policía encubiertos, que amenaza la seguridad pública y las investigaciones criminales.”
La orden de restricción temporal de 14 días contra Goodwolf ha expirado desde entonces, y ahora tiene una orden judicial preliminar y un acuerdo con Goodwolf para no divulgar más datos.
“Cabe señalar que la orden del Tribunal no prohíbe al acusado discutir sobre la brecha de datos o incluso describir qué tipo de datos fueron expuestos,” añadió el comunicado de la ciudad. “Simplemente prohíbe a la persona difundir los datos robados publicados en la dark web. La Ciudad continúa colaborando con las autoridades federales y expertos en ciberseguridad para responder a esta intrusión cibernética.”
Mientras tanto, el alcalde tuvo que hacer una mea culpa en una conferencia de prensa posterior, diciendo que sus declaraciones iniciales se basaron en la información que tenía en ese momento. “Era la mejor información que teníamos en ese momento. Claramente, descubrimos que esa información era inexacta y debo aceptar la responsabilidad por ello.”
Al darse cuenta de que la exposición a los residentes era mayor de lo que se pensaba inicialmente, la ciudad está ofreciendo dos años de monitoreo de crédito gratuito de Experian. Esto incluye a cualquier persona que haya tenido contacto con la ciudad de Columbus a través de un arresto u otro trámite. Columbus también está trabajando con Legal Aid para ver qué protecciones adicionales se necesitan para las víctimas de violencia doméstica que podrían haber sido comprometidas o necesitan ayuda con órdenes de protección civil.
Hasta la fecha, la ciudad no ha pagado a los hackers, quienes exigían $2 millones en rescate.
‘No es Edward Snowden’
Quienes estudian derecho de ciberseguridad y trabajan en el ámbito expresaron sorpresa por la presentación de una demanda civil por parte de Columbus contra el investigador.
“Las demandas contra investigadores de seguridad de datos son raras,” dijo Raymond Ku, profesor de derecho en la Universidad Case Western Reserve. En las raras ocasiones en que suceden, dijo, generalmente es cuando se alega que el investigador reveló cómo se explotaba o se podía explotar una falla, lo que permitiría a otros aprovechar la falla también.
“Él no era Edward Snowden,” dijo Kyle Hanslovan, CEO de la empresa de ciberseguridad Huntress, quien se describió a sí mismo como preocupado por la respuesta de la ciudad de Columbus y lo que podría significar para futuros breaches. Snowden era un empleado contratado por el gobierno que filtró información clasificada y enfrentó cargos criminales, pero se consideraba a sí mismo un denunciante. Goodwolf, según Hanslovan, es un buen samaritano que encontró independientemente los datos hackeados.
“En este caso, parece que simplemente hemos silenciado a alguien que, según puedo ver, parece ser un investigador de seguridad que hizo lo mínimo y confirmó que las declaraciones oficiales hechas no eran verdaderas. Esto no puede ser apropiado en absoluto,” dijo Hanslovan, prediciendo que el caso será rápidamente anulado.
El fiscal de la ciudad de Columbus, Zach Klein, dijo durante una conferencia de prensa en septiembre que el caso “no se trata de libertad de expresión o de denunciar. Se trata de la descarga y divulgación de registros de investigación criminal robados.”
Hanslovan se preocupa por el efecto dominó donde los consultores y investigadores de ciberseguridad tienen miedo de hacer su trabajo por temor a ser demandados. “La historia más grande aquí es si estamos viendo la aparición de un nuevo manual de respuesta a los hackeos en el que se silencian a las personas, y eso no debería ser bienvenido,” dijo. “Silenciar cualquier opinión, incluso por 14 días, podría ser suficiente para evitar que salga a la luz algo creíble, y eso me aterra,” dijo Hanslovan. “Esa voz debe ser escuchada. A medida que surgen incidentes de ciberseguridad más grandes, me preocupa que la gente esté más preocupada por sacarlos a la luz.”
Scott Dylan, fundador de la firma de capital de riesgo con sede en el Reino Unido NexaTech Ventures, también piensa que las acciones de la ciudad de Columbus podrían inducir un efecto inhibidor en el campo de la ciberseguridad.
“A medida que el campo del ciberderecho continúa madurando, es probable que este caso se mencione en futuras discusiones sobre el papel de los investigadores en el período posterior a las brechas de datos,” dijo Dylan.
Él dice que los marcos legales deben evolucionar al ritmo de la sofisticación tanto de los ciberataques como de los dilemas éticos que generan, y que el enfoque tomado por Columbus es un error.
Mientras tanto, el proceso legal continuará para Goodwolf. A pesar de que Columbus y Goodwolf llegaron a un acuerdo la semana pasada sobre la divulgación de información, la ciudad todavía lo está demandando por daños en una demanda civil que podría llegar a $25,000 o más. Goodwolf se está representando a sí mismo en sus conversaciones con la ciudad, aunque dice que tiene un abogado en espera, si es necesario.
Algunos residentes han presentado una demanda colectiva contra la ciudad. Goodwolf dice que el 55% de la información hackeada se ha vendido en la dark web, mientras que el 45% está disponible para cualquiera con las habilidades para acceder a ella.
Dylan piensa que la ciudad está corriendo un gran riesgo, incluso si sus acciones pueden ser legalmente defendibles, al crear la apariencia de un intento de silenciar el discurso en lugar de fomentar la transparencia. “Es una estrategia que podría salir mal, tanto en términos de confianza pública como de litigios futuros,” dijo.
“Espero que la ciudad se dé cuenta del error de presentar una demanda civil y las implicaciones no solo en seguridad,” dijo Goodwolf, señalando que Intel está construyendo una instalación de $1 mil millones en un suburbio de Columbus. En los últimos años, la ciudad se ha estado posicionando como un nuevo centro tecnológico en el Medio Oeste, y atacar a sombreros blancos e investigadores de ciberseguridad, dijo, podría hacer que algunos en el sector tecnológico reconsideren la ubicación.