Puerto Rico | Anatomía de un ciberataque: el incidente de ransomware que provocó una emergencia en Hacienda

El Nuevo Día – José Ayala

Déficits de personal y contratistas abrumados, metas de seguridad cibernética sin un rumbo claro, empleados de informática sin el equipo ni adiestramiento adecuado para manejar o mitigar un ciberataque y la falta de un oficial principal de Seguridad Informática (CISO, en inglés) fueron cuatro factores que contribuyeron al ataque mediante ransomware del que el Departamento de Hacienda fue víctima en el 2017.

Esta situación le costó a la agencia sobre $200,000 para restablecer sus sistemas y pérdidas en recaudos de más de $30 millones por día en un espacio de cinco días.

La compañía de ciberseguridad CompSec Direct, fundada en Puerto Rico y con oficinas en Maryland, esbozó estos cuatro factores en un estudio analítico (case study, en inglés) publicado hoy, lunes, sobre el ciberataque a los sistemas de informática de Hacienda.

CompSec Direct, fundada y presidida por el puertorriqueño José Fernández, fue contratada por Hacienda para montar una respuesta al incidente y ofrecer orientación, recomendaciones y acciones de respuesta dirigidas a respaldo y recuperación de datos de los sistemas.

Aunque el documento publicado por la empresa incluye información sobre el rol que tuvieron del 7 al 9 de marzo de 2017, la compañía no incluyó datos relacionados a sucesos internos que no consideraron necesarios para revelar. Fernández explicó a El Nuevo Día que Hacienda no proveyó comentarios en cuanto a material que se debía excluir del estudio analítico.

No obstante, la información contenida en el documento, unido a expresiones públicas de los funcionarios de gobierno y de Hacienda activos durante el incidente, permiten reconstruir los sucesos que desembocaron en la infección de sobre 680 computadoras de la agencia y el cifrado (encryption) forzado de más de 50 terabytes (TB) de datos.

Este incidente sucedió por Hacienda no tener buena higiene de reducción de superficie externa (en otras palabras, la existencia de portales con visibilidad a la Internet en general que dan acceso a sistemas internos de la agencia)”, sostuvo Fernández vía telefónica.

Hacienda ya había sido víctima de un ataque

Para el 2017, agencias federales como la División de Ciberseguridad del Negociado Federal de Investigaciones (FBI, en inglés) y la Agencia de Infraestructura y Ciberseguridad (CISA, en inglés) publicaron alertas sobre incrementos en ataques con ransomware a nivel global y en los Estados Unidos. Ransomware es un tipo de virus que infecta computadoras, cifra o secuestra los archivos contenidos en el almacenaje del sistema (discos duros) y luego solicita un pago (usualmente mediante la criptomoneda Bitcoin) para recuperar el acceso a la información.

No obstante, recordó Fernández, Hacienda fue víctima, el 13 de septiembre de 2016, de una brecha o ataque perpetrado por un hacker con el apodo Fathur.xZ, seudónimo asociado con el grupo Libertad Ciber de Indonesia o INCEF. El atacante solo dañó y/o modificó el portal de colecturía (la página que una persona puede visitar desde cualquier navegador) y Hacienda sostuvo que no hurtó información o datos de ciudadanos.

“Hacienda y otros funcionarios públicos minimizaron el impacto de la brecha de 2016 al decir que no hubo hurto de archivos digitales, pero claramente fueron jaqueados”, señaló Fernández.

Sin embargo, la práctica de exponer al Internet portales que dan acceso a servicios internos de la agencia continuó y sin que se tomaran medidas correctivas. La inserción del ransomware Samas (un derivado del virus SamSam) a la red de Hacienda en el 2017 le propinó a la dependencia un golpe mortal a tan solo siete meses de ocurrir la brecha orquestada por Fathur.xZ.

Cabe destacar que la brecha de 2016 y el ataque de 2017 no están relacionadas; fueron incidentes separados.

El ransomware SamSam o Samas

El 3 de diciembre de 2018, el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC, en inglés) adscrito al Departamento de Seguridad Nacional (Homeland Security) publicó la alerta AA18-337A en el que informó sobre un incremento sustancial de ataques con el virus SamSam y sus variantes, incluyendo Samas, la cepa utilizada por el o los atacantes que infectaron los sistemas de Hacienda en el 2017.

Específicamente, el ransomware se creó, según el Departamento de Justicia federal, en diciembre de 2015 y se utilizó, desde el 2016 hasta el 2018, para perpetrar ataques en hospitales, utilidades y centros de gobierno alrededor del mundo, con una concentración en sistemas ubicados en los Estados Unidos.

Los atacantes utilizaban vulnerabilidades en las versiones de servidor del sistema operativo Windows, de Microsoft, o credenciales válidas obtenidas en la dark web o foros de hackers, para ingresar ilegalmente a redes mediante el Protocolo Remoto de Desktop (RDP, en inglés), una interfaz que le permite a un usuario entrar, mediante una conexión normal de Internet, a una red interna desde una computadora externa como, por ejemplo, una laptop en su hogar.

La alerta describió cuatro variantes del virus SamSam (SamSam1 a SamSam4) que fueron utilizados para llevar a cabo ataques de ransomware en los sistemas de las ciudades de Atlanta, Newark (Nueva Jersey), la Autoridad de Puertos de San Diego (California), el Departamento de Transportación del estado de Colorado y una gran cantidad de hospitales y empresas privadas. En total, según Justicia federal, el virus y sus variantes se utilizaron para atacar a sobre 200 organizaciones y dependencias gubernamentales.Play Video4 técnicas para no caer en las garras de un ataque cibernéticoConsejos para protegerte de los ciberpiratas.

El 28 de noviembre de 2018, un gran jurado federal encontró causa y radicó cargos por crímenes cibernéticos y extorsión contra dos ciudadanos iraníes, Faramarz Shahi Savandi, de34 años, y Mohammad Mehdi Shah Mansouri, de27 años, a quienes Justicia federal atribuyó la creación del ransomware SamSam. La agencia añadió que los imputados recolectaron sobre $6 millones en pagos de las empresas y dependencias que atacaron, al tiempo que provocaron sobre $30 millones en daños a sus víctimas.

Al ser ciudadanos de Irán, Savandi y Shah Mansouri no han sido arrestados, pero el Departamento del Tesoro federal también sancionó, el 3 de diciembre del mismo año, a otros dos iraníes, Ali Khorashadizadeh y Mohammad Ghorbaniyan, por ayudar a Savandi y a Shah Mansouri a cambiar los bitcoins recibidos a la moneda local de Irán.

En una entrevista con el periódico El Vocero del 2017, el entonces principal oficial de Informática de Puerto Rico (CIO), Luis Arocho González, indicó que, según un informe preparado por Microsoft, el ataque a Hacienda se originó en China. Sin embargo, la acusación federal contra Savandi y Shah Mansouri resalta que “las alegaciones en este pliego acusatorio demarcan un esquema de hackeo de computadoras y extorsión internacional con base en Irán”.

Al momento, se desconoce la identidad de el o los atacantes ni, oficialmente, el país de procedencia del ataque. CompSec Direct, explicó Fernández, no fue contratado para llevar a cabo un análisis forense del virus Samas o para identificar a el o las personas que lo crearon. Dicha tarea recayó, según el estudio analítico, en la empresa 6th Element Group, hoy día conocida como FiberWolf.

La transición del gobierno tras las elecciones de 2016 jugó un rol

Tras la victoria de Ricardo Rosselló Nevares en los comicios generales de 2016, múltiples agencias de gobierno se encontraban en un periodo de transición debido a la designación de nuevos directores o secretarios, incluyendo al Departamento de Hacienda.

Bajo el mandato del exgobernador Alejandro García Padilla, Hacienda estuvo en manos del ahora senador y presidente de la Comisión de Hacienda, Juan Zaragoza, desde el 2014 hasta el 2016. Al asumir la gobernación, Rosselló Nevares nominó al contador público autorizado (CPA) Raúl Maldonado Gautier a la Secretaría de Hacienda, puesto al que fue confirmado por el Senado en enero de 2017.Play Video¿Qué pudo provocar el ciberfraude millonario al gobierno?Ante los recientes hallazgos del fraude cibernético millonario que enfrentaron varias agencias del Gobierno, el experto en ciberfraude, Carlos Pérez explica el posible esquema del que pudieron ser víctima, entre otros detalles sobre los blancos perfectos para que se den estos esquemas y la importancia de la ciberseguridad en las compañías para evitarlos.

No obstante, el ataque a Hacienda ocurrió en momentos en que Maldonado Gautier todavía no había llenado varias vacantes dentro de la agencia, incluyendo el puesto de principal oficial de Seguridad Informática de la dependencia. CompSec Direct concluyó en el estudio analítico que el no tener a un oficial en dicho puesto, unido al periodo de transición entre las administraciones de García Padilla y Rosselló Nevares, contribuyeron al éxito del ataque.

CompSec Direct identificó, además, que solo dos miembros del grupo de Tecnología e Informática (IT, en inglés) tenían la tarea de velar por la seguridad cibernética de una agencia con más de 5,000 usuarios de sistemas, aunque Fernández resaltó que esta situación ha mejorado en los últimos cuatro años.

“Hacienda y sus contratistas facilitaron esta brecha. Consideramos que dos personas (a cargo de la seguridad de la red) no era suficiente”, sostuvo Fernández.

“Puedo decir que contaban con sistemas actualizados. El uso del sistema operativo facilitó la infección, pues los ransomwares utilizados en contra de compañías normalmente está diseñado para atacar el sistema operativo más usado mundialmente, que es Windows. Al no tener un CISO y contar con escasos recursos técnicos para defender el centro de finanzas del gobierno Puerto Rico, las personas que apoyan los servicios de IT de Hacienda, y organizaciones similares, se enfocan en disponibilidad de sistemas”, enfatizó Fernández.

En el estudio analítico, CompSec Direct resaltó la dependencia de Hacienda en contratistas “abrumados con tareas (y) que, simplemente, no pueden mitigar efectivamente fallas tecnológicas en su ámbito”. Fernández dijo a El Nuevo Día que no podía identificar con exactitud las compañías con contratos de IT en el periodo en que ocurrió el ataque, pero la entonces portavoz de prensa de Hacienda en el 2017, Kiara Hernández, informó al Centro de Periodismo Investigativo (CPI) que los sistemas eran monitoreados por la División de IT; Microsoft Corporation también ofrecía servicios de monitoreo y seguimiento a sus propios sistemas, y la compañía Evertec ofrecía servicios de monitoreo y seguridad a otros sistemas de la agencia.

“El equipo de IT (de Hacienda) no contaba con buen equipo, organización ni adiestramiento para manejar una situación de ransomware. Conocimiento de fallas existentes de seguridad y debilidades tecnológicas de los sistemas es responsabilidad de los empleados del gobierno, los cuales dependen en contratistas para informar y atender estas fallas de manera transparente y con exactitud”, lee el estudio analítico.

El inicio de la brecha

Aunque Fernández declinó ofrecer una fecha exacta en la que el o los atacantes ingresaron, por primera vez, a la red de Hacienda debido a que hay investigaciones en curso, la agencia confirmó la brecha públicamente el 5 de marzo de 2017. También rechazó identificar el vector, o “la puerta de entrada”, utilizada por el o los operadores del virus para ingresar a la red.

No obstante, Arocho González indicó al CPI que las configuraciones utilizadas por la agencia (en el momento de ocurrir el ataque) “no se ajustan a las que son sugeridas por los parámetros de óptima seguridad del Instituto Nacional de Estándares y Tecnología (NIST)”. El exfuncionario sí dio a entender que el o los atacantes lograron acceso a la red debido a un servicio con visibilidad externa que fue configurado incorrectamente al no eliminar la credencial de acceso de facto.

Arocho González añadió que en la agencia también habían unas 500 computadoras con versiones obsoletas de Windows, como Windows 2000 y Windows XP.

“El ransomware empezó para esa fecha, según sus comunicados de prensa (de Hacienda). La o las personas que ejecutaron el ransomware ya estaban dentro de (la red de) Hacienda. Al tener investigaciones pendientes, no podemos comentar en cuanto a cuándo (comenzó el ataque) ni cuánto tiempo estuvieron dentro de la red”, resaltó el experto en ciberseguridad.

Fernández también declinó ofrecer el número de computadoras afectadas, pero en la entrevista con el CPI de 2017, Arocho González confirmó que 682 máquinas resultaron infectadas con variantes del virus Samas, programa que cifró el contenido de los sistemas, incluyendo las máquinas que contenían los resguardos, o backups, de los archivo de Hacienda.

El o los atacantes solicitaron un pago de 22 bitcoins por cada una de las 682 máquinas afectadas y así restaurar sus datos. Basado en el valor de un bitcoin para la primera semana de marzo de 2017 (unos $1,290), el o los atacantes pidieron un pago de casi $18 millones para restaurar el acceso a todas las computadoras infectadas. Si se lleva ese cálculo al valor actual de poco más de $35,000 por un bitcoin, si el ataque hubiese ocurrido este mes, el monto total para restaurar los sistemas hubiese sido de sobre $525 millones.

“Los hackers lograron acceso a la red de Hacienda al ellos (Hacienda) no prevenir riesgos. Al proveer más accesibilidad a sus sistemas, el pasado se repitió (en referencia a la brecha de 2016). Dos vulnerabilidades, usadas en conjunto, facilitaron la brecha (de 2017). Ese mismo año le notificamos al CIO de Puerto Rico (Arocho González) de un vector similar dentro (de la red) del Senado y se pudo coordinar un arreglo, sin incidente”, dijo Fernández.

El ataque a la red de Hacienda sacó de servicio los sistemas para la radicación de planillas, de la lotería y los servicios de colecturía y colecturía virtual. Del mismo modo, la Autoridad de los Puertos se vio imposibilitada de cobrar impuestos al comercio marítimo, y los negocios en la isla no pudieron rendir informes sobre la recolección de pagos por el Impuesto sobre Ventas y Uso (IVU). La agencia estimó que no pudo recaudar entre $25 a $30 millones diarios desde que reportó el ataque (5 de marzo de 2017) hasta que restauraron su red siete días después, el 11 de marzo.

Un dato curioso del ataque fue que el o los hackers cifraron el sistema que contenía los resguardos o backups de los datos de la agencia, evitando que Hacienda pudiese restaurar sus sistemas con rapidez.

CompSec Direct indicó en el estudio analítico que personal de IT de Hacienda detectó la ejecución de variantes del virus modificados para no ser detectados, aspecto que, quizás, contribuyó a la rápida expansión del ataque a otros sistemas.

“Sí, ocurrieron ataques adicionales. La variante o las variantes del ransomware están diseñadas para evadir la detección, pues para el segundo día el sistema de antivirus ya identificaba el ransomware (original). Eso fue interesante porque al ver el código (del virus y las variantes), les añadieron caracteres adicionales a las funciones (del código fuente) para cambiar el perfil (signature) del virus, evitando así que fuese detectado hasta que las definiciones de un antivirus fuesen actualizadas para detectar ese nuevo perfil”, explicó Fernández.

En el segundo día de la respuesta al incidente, CompSec Direct le recomendó a Hacienda pagar un bitcoin (unos $1,290 en marzo de 2017) para recuperar el acceso a uno de sus sistemas, el que contenía los backups actualizados. Por lo general, un operador de ransomware permite “comprar” una llave para descifrar un sistema como un método para establecer confianza con la víctima y darle la seguridad de que si paga, el operador enviará las llaves y herramientas necesarias para descifrar los sistemas afectados.

Aparte del bitcoin enviado para tener acceso al sistema con los backups, Hacienda no realizó ningún otro pago a el o los operadores del ransomware.

“En su situación, era su mejor opción. Otra compañía intentó hacer la prueba de desciframiento e intentaron comunicarse con los operadores del ransomware, pero no contestaron. Esa recomendación era la manera más costo efectiva de recuperar su información luego de considerar todas las alternativas”, resaltó Fernández.

Para el tercer día de la respuesta, CompSec Direct entregó informes al FBI con el descubrimiento de hechos y articularon las acciones tomadas para mitigar el evento de ransomware. Hacienda finalmente restableció sus sistemas el 11 de marzo de 2017.

El ataque se pudo haber evitado

Tras finalizar su labor de respuesta inicial al incidente, CompSec Direct realizó varias recomendaciones al Departamento de Hacienda, incluyendo el reclutamiento de aspirantes a trabajar en IT mediante ferias de empleos y eventos enfocados en ciberseguridad como conferencias, además de implementar un interinato de seis a 12 meses para entrenar empleados de seguridad informática.

También recomendó llevar a cabo una auditoría de sus procesos de recuperación de desastres y realizar pruebas de dichos procedimientos a modo de mejorar el tiempo de respuesta ante una emergencia y para la recuperación de los sistemas. Por último, la empresa recomendó aumentar los adiestramientos del personal de IT sobre el manejo adecuado de incidentes o ataques, incluyendo medidas en relación a la toma de decisiones y la redacción de informes para documentar futuros eventos.

“Sin inversión en adiestramiento de empleados veteranos de Hacienda, sus habilidades se estancan y quizás dejen sus plazas por otras oportunidades, sin considerar la continuidad de tareas o compartir su conocimiento operacional antes de separarse (de la agencia)”, lee el estudio analítico.

Fernández indicó que Hacienda incorporó algunas de las recomendaciones. “Al ver otros informes y publicaciones, mejoraron algunos elementos, simplemente debido a lo que ocurrió”, sostuvo el experto.

Al ser abordado sobre si CompSec Direct estableció un móvil para el ataque, Fernández respondió que “aquí llegamos a las tres verdades que existen en (el campo de) forense digital y ser contratado para hacer este tipo de trabajo: lo que nosotros pensamos que ocurrió, lo que informamos y lo que en realidad sucedió no siempre son iguales debido a escasez de algunos detalles”.

“Existen acontecimientos que hacen difícil decir con exactitud lo que en realidad ocurrió dentro de Hacienda en el 2017, y más difícil aún es establecer quién o quienes forman parte de estos grupos si no existe una confesión de alguien capturado y dispuesto a ser un informante. El ransomware sí tuvo un impacto en la red de Hacienda y sí ocurrió un crimen serio y grave debido a la escala de daños económicos que citaron a través de los medios de comunicación”, añadió.

“Los operadores de ransomware fueron vinculados a SamSam y el FBI publicó un comunicado que establece que los operadores se basan en Irán y no en China, como inicialmente comunica La Fortaleza. Estos grupos tienen vínculos y enlaces sociales con personas que comienzan como parte del grupo y luego salen o se unen a otros grupos criminales. Existe confusión en mi industria de cómo atribuimos los actores basados en su código al empezar a crear economías de revendedores y derivados de código e infraestructura utilizada de forma compartida para operar una red efectiva de ransomware. Consideramos que los actores necesitas generar ingresos si desean operar este tipo de negocio; la otra compañía nos informó que los operadores del ransomware no contestaron (los intentos de comunicación), y su herramienta para descifrar los datos no funcionó en pruebas realizadas. Una persona (u organización criminal) no toma el tiempo de crear este modelo de negocio sin tener los mecanismos para facilitar y mejorar la probabilidad de pagos. Aquí existe una discrepancia de verdades”, argumentó Fernández.

El fundador y presidente de CompSec Direct sostuvo que el ataque registrado en el 2017 pudo haberse evitado porque existían múltiples señales y advertencias, incluyendo la brecha del 2016.

“Puerto Rico es un blanco para estos tipos de ataques. Imagínate que personas están montando páginas falsificadas para obtener la información de solicitantes del PUA y otras estafas. Esto se pondrá peor. La educación es la mejor herramienta para tratar de combatir esto, y es algo que, quizás, debería introducirse dentro del sistema de educación de la isla”, argumentó Fernández.

“Cuando nosotros nos criamos, nada de esto existía. Hoy día me da hasta dificultad, a veces, para operar un celular. Por eso resulta fácil engañar a otras personas que no tienen ese dominio técnico. Tiene que haber otros mecanismos de seguridad para facilitar la detección de estas estafas. La protección de los pequeños y medianos negocios también es fundamental”, sostuvo.

“En los últimos cuatro años vi como (atacantes) penetraron (los sistemas de) Hacienda, el CRIM (Centro de Recaudación de Ingresos Municipales), a la Autoridad de Energía Eléctrica y al Departamento de Justicia. Y no es como que puedes poner a un Palo Alto Networks o a un Fortinet (empresas de ciberseguridad) y los pones ahí, te resuelven. Tenemos que comenzar con la educación y adiestramientos”, finalizó Fernández.

Al momento, Hacienda no se ha expresado sobre este estudio.