Hace cuatro meses, la ciudad de Santee “experimentó un incidente de seguridad de datos que involucró el robo o la encriptación de propiedad de la empresa”, según un abogado contratado por la ciudad, que posteriormente otorgó un contrato de $603,000 a una empresa que se especializa en ransomware para intentar recuperar los datos robados.
Desde entonces, los funcionarios de la ciudad han revelado poco sobre la investigación, qué datos estuvieron involucrados o si hubo una demanda de rescate. “Realmente no puedo decir nada sobre eso”, dijo la gerente de la ciudad de Santee, Marlene Best.
Best también dijo que no podía dar una línea de tiempo sobre cuándo podría concluir la investigación del incidente cibernético.
“Todavía estamos trabajando en parte de ese proceso, y realísticamente estamos bien”, dijo, reiterando que no hubo preocupaciones de seguridad pública. “No tengo nada más que pueda decir sobre ese tema”.
La única declaración oficial emitida por la ciudad fue en septiembre y decía que el incidente de ciberseguridad, que ocurrió el 20 de agosto, afectó la red informática que da servicio a las oficinas de istración de la ciudad.
“No hubo impacto en los sistemas que apoyan los servicios del 911, y la interrupción no causó problemas de seguridad pública”, decía la declaración. “La ciudad permaneció abierta para hacer negocios durante todo el incidente, y hemos resuelto en gran medida el problema”.
La declaración de dos párrafos mencionó a “terceros” que están ayudando a abordar el incidente y concluyó con una amplia predicción sobre cuándo terminaría la investigación.
“La ciudad continúa evaluando la información que pudo haber sido comprometida”, decía. “Esperamos que nuestra investigación concluya en las próximas semanas o meses. Queremos agradecer a nuestros empleados y a nuestra comunidad por su paciencia y comprensión mientras abordamos el problema”.
Tres días después del incidente, el 23 de agosto, la ciudad firmó un acuerdo con Coveware, que se describe a sí misma como una empresa de respuesta a incidentes de ransomware, y otorgó a la empresa un contrato de $603,000.
El San Diego Union-Tribune solicitó una copia del contrato, pero inicialmente fue rechazada con la explicación de que estaba relacionado con una investigación en curso y que los documentos estaban protegidos por el privilegio abogado-cliente. Posteriormente, la ciudad publicó una copia del acuerdo con muchas secciones redactadas después de ser ada por el abogado del periódico.
Parte del contrato que no fue redactado indicaba que la empresa había sido contratada “para intentar recuperar la propiedad”.
Un profesional en ciberseguridad dijo que no podía decir exactamente qué estaba haciendo Coveware para la ciudad basándose en lo que podía leer en el contrato.
“En este caso, no sabemos cuáles son los servicios que se están prestando, ya que están redactados”, dijo Luke Connolly, un analista de inteligencia de amenazas de la empresa de ciberseguridad y consultoría Emsisoft, con sede en Nueva Zelanda.
Respondió por correo electrónico, diciendo que los cibercriminales, también conocidos como actores de amenazas, generalmente roban datos y exigen un rescate para su devolución.
La encriptación que mantiene los datos secuestrados podría ser derrotada de varias formas, como por ejemplo, un técnico experto descubriendo un error cometido por el actor de amenazas o la policía encontrando una forma de liberar los datos, escribió Connolly. Otra solución que describe Connolly es pagar el rescate.
“Sin más información, solo estamos especulando, pero sabemos que el costo fue de $600k, lo cual parece una suma grande para al menos un par de las opciones”, escribió Connolly.
En otro tipo de extorsión, un actor de amenazas que roba datos sensibles que podrían ser dañinos o embarazosos si se liberaran, exigirá dinero para mantener los datos ocultos.
“Notaré que mientras las organizaciones sigan realizando pagos de rescate a las bandas criminales, las bandas continuarán buscando y encontrando nuevas víctimas porque siguen el dinero”, escribió Connolly. “Si el dinero se agotara porque nadie cumpliera con sus demandas de extorsión, la actividad de extorsión de los actores de amenazas probablemente disminuiría drásticamente”.
En 2021, Scripps Health sufrió un ciberataque. En ese momento, el sistema de salud tampoco fue transparente con los detalles del incidente, incluyendo si los hackers amenazaban con liberar datos sensibles o si exigían dinero para devolver los datos encriptados. En mayo de 2024, Palomar Health Medical Group fue víctima de un ciberataque que paralizó sus sistemas informáticos, incluidos los servicios telefónicos digitales, haciendo que los registros médicos electrónicos fueran inaccesibles durante meses y obligando al personal a documentar todo, desde citas hasta recetas, a mano.
Los sistemas de salud se han convertido en un objetivo frecuente de ciberataques en los últimos años, con incidentes que más que se duplicaron entre 2022 y 2023, según el Centro de Integración de Inteligencia sobre Amenazas Cibernéticas. Un ataque a Change Healthcare en febrero dejó a pacientes de todo el país sin poder llenar recetas y a médicos incapaces de facturar a los proveedores de seguros.
Después del sector salud, el gobierno es considerado el segundo objetivo más frecuente de ciberataques en todo el país.
En Texas, la ciudad de Borger tuvo que operar su suministro de agua manualmente debido a un ciberataque en 2021, mientras que los sistemas informáticos de 22 pequeñas ciudades de Texas fueron secuestrados en un hackeo de 2019. Nueva Orleans, Nueva York y muchas otras ciudades han informado sobre ciberataques y demandas de rescate en los últimos años.
Original Story
Santee offering few details about cyber attack or contract to recover data
