Ciberataque contra el CICR: qué sabemos

El CICR determinó el 18 de enero que los servidores que alojan información de más de 500.000 personas que reciben servicios del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja habían sido alcanzados por un sofisticado ciberataque. Nos tomamos el tema con suma seriedad y hemos estado trabajando con nuestros socios humanitarios en todo el mundo para entender el alcance del incidente y definir las medidas adecuadas para proteger nuestros datos.

1. ¿Qué hizo que este ataque fuera altamente sofisticado y selectivo?

Los hackers hicieron uso de recursos considerables para acceder a nuestros sistemas y aplicaron tácticas que la mayoría de las herramientas de detección no habrían advertido. La siguiente información demuestra el carácter sofisticado y selectivo del ataque:

• Los autores del ataque usaron un conjunto muy específico de herramientas de jaqueo avanzadas diseñadas para seguridad ofensiva. Estas herramientas son utilizadas principalmente por grupos de amenazas persistentes* avanzadas y no están disponibles públicamente; por lo tanto, están fuera del alcance de otros actores.
• Los autores del ataque usaron técnicas de ofuscación de datos sofisticadas para ocultar y proteger sus programas maliciosos. Esto requiere un alto nivel de competencias, disponible solamente para un número limitado de actores.
• Determinamos que el ataque fue selectivo porque sus autores crearon un código diseñado exclusivamente para su ejecución en los servidores del CICR que fueron atacados. Las herramientas utilizadas se refirieron a un identificador único en los servidores atacados (su dirección MAC).
• Las herramientas contra los programas informáticos maliciosos (malware) que habíamos instalado en los servidores atacados estaban activas y detectaron y bloquearon algunos de los archivos utilizados por los autores del ataque. Pero la mayoría de los archivos maliciosos desplegados fueron diseñados específicamente para eludir nuestras protecciones contra los malware, y solo detectamos esta intrusión cuando instalamos, como parte de nuestro programa de refuerzo planificado de la ciberseguridad, sistemas avanzados de detección y respuesta en puntos finales (EDR, por la sigla en inglés).

2. ¿Cuándo supimos de este ataque?

Una empresa especializada en ciberseguridad contratada por el CICR para ayudarnos a proteger nuestros sistemas, detectó una anomalía en los servidores que contenían información relativa a los servicios de restablecimiento del contacto entre familiares que el Movimiento Internacional de la Cruz Roja y de la Media Luna Roja presta en todo el mundo. Hicimos entonces una inmersión de datos profunda y determinamos, el 18 de enero, que nuestros sistemas habían sido jaqueados y que los autores del jaqueo habían tenido acceso a los datos alojados en ellos.

3. ¿Por cuánto tiempo estuvieron los hackers dentro de nuestros sistemas?

En este caso, detectamos una anomalía en nuestro sistema dentro de los 70 días posteriores al incidente e inmediatamente dimos inicio a la inmersión. Con esa información, pudimos determinar, el 18 de enero, que nuestros servidores habían sido alcanzados. Nuestro análisis muestra que el incidente ocurrió el 9 de noviembre de 2021.
Por lo general, toma tiempo detectar un incidente tan amplio y complejo como este. Por ejemplo, sabemos que el tiempo promedio para identificar una violación de datos es de 212 días**.

4. ¿Cómo los hackers lograron acceder a nuestros sistemas?

Los hackers pudieron ingresar en nuestra red y acceder a nuestros sistemas aprovechando una vulnerabilidad crítica sin parches*** en un módulo de autenticación (CVE-2021-40539). Esa vulnerabilidad permite que actores cibernéticos maliciosos coloquen web shells (o guiones maliciosos) y realicen actividades después de la explotación, como vulnerar las credenciales de administrador, realizar ( je ne comprends pas ce qui veut être dit ici avec movimiento laterales ) movimientos laterales y exfiltrar subárboles de registro y archivos de directorio activos. Una vez que estaban dentro de nuestra red, los hackers pudieron desplegar herramientas de seguridad ofensivas que les permitieron hacerse pasar por usuarios o administradores legítimos. A la vez, esto les permitió acceder a los datos, aunque estaban encriptados.

5. ¿En qué falló nuestra defensa?

El proceso de parcheo es una actividad importante para cualquier empresa. Por año, instalamos decenas de miles de parches en todos nuestros sistemas. La instalación oportuna de parches críticos es fundamental para nuestra ciberseguridad pero, lamentablemente, no aplicamos este parche a tiempo antes de que se produjera el ataque.

En el CICR, tenemos un sistema de defensa cibernética de múltiples niveles, que incluye monitoreo de puntos finales, programas de detección y otras herramientas. En este caso, el análisis que realizamos después del ataque reveló que nuestros procesos y herramientas de gestión de vulnerabilidades no detuvieron el incidente. Inmediatamente implementamos cambios en ambas áreas. Además, estamos acelerando las actividades que habíamos planificado como parte de nuestro último programa de refuerzo de la ciberseguridad iniciado en febrero de 2021 en respuesta a amenazas que evolucionan permanentemente.

6. ¿Quiénes creemos que serían los autores de este ataque?

No podemos afirmar quiénes han cometido este ataque ni por qué, y no haremos especulaciones al respecto. No hemos tenido ningún contacto con los hackers y no hemos recibido ningún pedido de rescate. En consonancia con nuestra práctica habitual de interactuar con cualquier actor que pueda facilitar o impedir nuestra labor humanitaria, estamos dispuestos a comunicarnos en forma directa y confidencial con los responsables de esta operación, sean quienes sean, para hacerles comprender la necesidad de respetar nuestra acción humanitaria. Asimismo, reiteramos nuestro enfático pedido a los hackers de que no compartan, vendan, filtren ni usen estos datos de ninguna manera.

7. ¿Con quiénes estamos trabajando para resolver esta cuestión?

Trabajamos con nuestros socios tecnológicos principales y con empresas muy especializadas para que nos ayuden a resolver este asunto . Desde que comenzó la crisis, la sede del CICR ha estado en diálogo estrecho con el Centro de Ciberseguridad Nacional (NCSC, por la sigla en inglés) de Suiza. Las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja están en contacto con las autoridades nacionales competentes.

8. ¿A qué información tuvieron acceso los hackers ?

El incidente alcanzó datos personales como nombres, lugares e información de contacto de más de 515 000 personas de todo el mundo. Las personas afectadas son personas desaparecidas y sus familiares, personas detenidas y otras personas que reciben servicios del Movimiento Internacional de la Cruz Roja y de la Media Luna Roja como consecuencia de un conflicto armado, un desastre natural o la migración. En el mejor interés de las personas a las que pertenecen estos datos, creemos que no es conveniente dar más detalles sobre quiénes son, dónde se encuentran o de dónde provienen.

9. ¿Los datos fueron copiados y exportados?

Debemos suponer que sí. Sabemos que los hackers estuvieron dentro de nuestros sistemas y, por lo tanto, tuvieron la capacidad de copiarlos y exportarlos. Hasta donde sabemos, la información no ha sido publicada ni comercializada por el momento. Confiamos en la conclusión de nuestro análisis inicial, según la cual no se borró ningún dato en este incidente. Esto es importante porque nos permite implementar sistemas provisionales para volver a realizar nuestra labor de restablecimiento del contacto entre familiares.

10. ¿Los datos se pusieron a disposición de terceros, particularmente en la "web oscura"?

Hasta el momento, no tenemos ninguna prueba concluyente de que la información obtenida a partir de este incidente haya sido publicada o comercializada. Nuestro equipo de ciberseguridad ha investigado todas las notificaciones recibidas sobre datos disponibles en la web oscura.

11. ¿Tenemos la seguridad de que los hackers ya no están en nuestros sistemas?

Desconectamos los servidores apenas determinamos que habían sido jaqueados. Tenemos la seguridad de que este incidente no afectó a otros servidores porque segmentamos nuestros sistemas y monitoreamos permanentemente el entorno general para detectar señales de actividad maliciosa con herramientas avanzadas.

12. ¿Qué estamos haciendo ahora?

Estamos coordinando nuestra acción con las Sociedades Nacionales de la Cruz Roja y de la Media Luna Roja y con las delegaciones del CICR en el terreno para informar a las personas y a las familias cuyos datos fueron alcanzados. Es un proceso complejo y llevará tiempo. Nuestra prioridad principal son las personas las más expuestas a riesgos. Informamos a las personas afectadas a través de llamadas telefónicas, nuestras líneas de atención telefónica directa, anuncios públicos, cartas y, en algunos casos, nuestros equipos viajan hasta comunidades remotas para comunicar la información personalmente. Estamos haciendo todo lo posible para contactar a las personas a las que puede ser difícil contactar , como las personas migrantes. También hemos implementado soluciones alternativas para que los equipos de las organizaciones de la Cruz Roja y de la Media Luna Roja en todo el mundo puedan seguir prestando los servicios de búsqueda básicos para las personas afectadas por este incidente, mientras reconstruimos el entorno digital de la Agencia Central de Búsquedas.

13. ¿Qué cambios se harán al entorno en línea de la Agencia Central de Búsquedas antes de ponerlo en funcionamiento?

Los refuerzos de la seguridad que vamos a implementar son un nuevo proceso de autenticación de dos factores y una solución avanzada de detección de amenazas. Para reanudar los sistemas, el requisito es que las pruebas de penetración realizadas externamente en todas las aplicaciones y los sistemas sean un éxito .

14. ¿Por qué no damos más información técnica sobre el jaqueo o sobre nuestros sistemas?

Damos mucha importancia a la ciberseguridad y hemos invertido sustancialmente en este ámbito a lo largo de muchos años. Esas inversiones deben continuar dado que las amenazas evolucionan constantemente. Para garantizar la seguridad de nuestras aplicaciones y en consonancia con las mejores prácticas del sector, no daremos detalles sobre la arquitectura técnica ni la seguridad.

 15. ¿Qué debería hacer si pienso que mis datos fueron alcanzados en este ciberataque?

Si no nos hemos puesto en contacto con usted y este asunto le preocupa, le pedimos que se comunique con la Sociedad Nacional de la Cruz Roja o de la Media Luna Roja o con la oficina del CICR en su país. Aquí puede consultar una lista con información de contacto. También hemos preparado un artículo con preguntas y respuestas para las personas que han sido afectadas, que contiene más información. Sabemos que nos confió información y datos personales sobre hechos posiblemente traumáticos de su vida. Nos tomamos muy en serio esta responsabilidad. Queremos que sepa que estamos haciendo todo lo posible para restablecer los servicios que ofrecemos en todo el mundo. Trabajaremos con denuedo para recuperar su confianza y así poder seguir prestándole ayuda.

*Una APT (amenaza persistente avanzada) es un actor malintencionado silencioso, por lo general un Estado o un grupo auspiciado por un Estado, que obtiene acceso no autorizado a una red informática y cuya presencia no se detecta por un periodo extenso. En épocas recientes, el término también puede referirse a grupos no auspiciados por Estados que realizan intrusiones selectivas a gran escala para lograr objetivos específicos (referencia: https://en.wikipedia.org/wiki/Advanced_persistent_threat)

**Tomado de IBM, "Cost of a Data Breach Report 2021": "In 2021 it took an average of 212 days to identify a breach and an average 75 days to contain a breach, for a total lifecycle of 287 days." (En 2021, el promedio para identificar un incidente fue de 212 días y, para contrarrestarlo, de 75 días, lo que de un ciclo de vida total de 287 días). https://www.ibm.com/security/data-breach

***https://nvd.nist.gov/vuln/detail/cve-2021-40539