El ransomware ha estado afectando a los municipios estadounidenses desde hace tiempo. Lo que parecía ser otro ataque típico de ransomware que impactó a la ciudad de Columbus, Ohio, en julio pasado. La respuesta de la ciudad al hackeo, sin embargo, fue diferente, lo que ha llevado a expertos en ciberseguridad y derecho de todo el país a cuestionar sus motivos.
Connor Goodwolf (nombre legal David Leroy Ross) es un consultor de IT que investiga en la dark web como parte de su trabajo. “Sigo crímenes de la dark web, organizaciones criminales, y cosas como por lo que el CEO de Telegram ha sido arrestado,” dijo Goodwolf.
Así que cuando se supo que la ciudad de Columbus, su ciudad natal, había sido comprometida, Goodwolf hizo lo que hace: investigar en línea. No le llevó mucho tiempo descubrir lo que los hackers tenían en su poder.
“No fue el más grande, pero fue uno de los hackeos más impactantes que he visto,” dijo Goodwolf.
En cierto modo, lo describió como un hackeo rutinario, con información personal identificable, información de salud protegida, números de Seguro Social y fotos de licencias de conducir expuestas. Sin embargo, debido a que se hackearon múltiples bases de datos, fue más abarcador que otros ataques. Según Goodwolf, los hackers habían comprometido múltiples bases de datos de la ciudad, la policía y la fiscalía. Había registros de arrestos e información sensible sobre menores y víctimas de violencia doméstica. Algunas de las bases de datos hackeadas, dijo, se remontaban a 1999.
Goodwolf encontró más de tres terabytes de datos que le llevaron más de 8 horas descargar.
“Lo primero que vi fue la base de datos de la fiscalía, y pensé ‘mierda, estos son víctimas de violencia doméstica’. Cuando se trata de víctimas de violencia doméstica, debemos protegerlas al máximo porque ya han sido victimizadas una vez, y ahora lo han sido nuevamente al exponer su información,” dijo.
La primer acción de Goodwolf fue contactar a la ciudad para informarles sobre la gravedad del hackeo, ya que lo que vio contradecía las declaraciones oficiales. En una conferencia de prensa el 13 de agosto, el alcalde de Columbus, Andrew Ginther, dijo: “Los datos personales que el actor de la amenaza publicó en la dark web estaban cifrados o corruptos, por lo que la mayoría de los datos proporcionados por el actor de la amenaza son inutilizables.”
Pero lo que Goodwolf estaba descubriendo no respaldaba esa visión. “Intenté comunicarme con la ciudad en varias ocasiones a múltiples departamentos y me ignoraron,” dijo.
Mandiant, propiedad de Google, así como muchas otras firmas de ciberseguridad de primera categoría, ha estado rastreando un aumento continuo en los ataques de ransomware, tanto en prevalencia como en gravedad, y el ascenso del Grupo Rhysida detrás del hackeo de Columbus, que ha ganado notoriedad en el último año.
El Grupo Rhysida se atribuyó la responsabilidad del hackeo. Aunque no se sabe mucho sobre la banda cibernética, Goodwolf y otros expertos en seguridad dicen que parecen ser financiados por el Estado y con base en Europa del Este, posiblemente vinculados a Rusia. Goodwolf dice que estas bandas de ransomware son “operaciones profesionales” con personal, vacaciones pagadas y relaciones públicas.
“Han aumentado los ataques y los objetivos desde el otoño pasado,” dijo.
La Agencia de Seguridad Cibernética e Infraestructura del Gobierno de los Estados Unidos emitió un boletín sobre Rhysida en noviembre pasado.
Goodwolf dijo que, como nadie de la ciudad le respondió, acudió a los medios locales y compartió datos con periodistas para dar a conocer la gravedad del hackeo. Y así fue como escuchó de la ciudad de Columbus, en forma de una demanda y una orden judicial temporal que le impedía difundir más información.
La ciudad defendió su respuesta en una declaración a CNBC:
“La Ciudad inicialmente procedió a obtener esta orden, que fue concedida por el Tribunal, para evitar la divulgación de información sensible y confidencial, potencialmente incluyendo las identidades de los agentes de policía encubiertos, que amenazan la seguridad pública y las investigaciones criminales.”
La orden judicial temporal de 14 días contra Goodwolf ha expirado, y ahora tiene una orden judicial preliminar y un acuerdo con Goodwolf para no publicar más datos.
“Cabe destacar que la orden del Tribunal no prohíbe al demandado hablar sobre el hackeo de datos o incluso describir qué tipo de datos fueron expuestos,” agregó la declaración de la ciudad. “Simplemente prohíbe a la persona difundir los datos robados publicados en la dark web. La Ciudad sigue comprometida con las autoridades federales y expertos en ciberseguridad para responder a esta intrusión cibernética.”
Mientras tanto, el alcalde tuvo que hacer una disculpa en una conferencia de prensa posterior, diciendo que sus declaraciones iniciales se basaban en la información que tenía en ese momento. “Era la mejor información que teníamos en ese momento. Claramente, descubrimos que esa información era inexacta y debo aceptar la responsabilidad por ello.”
Al darse cuenta de que la exposición a los residentes era mayor de lo que se pensaba inicialmente, la ciudad está ofreciendo dos años de monitoreo de crédito gratuito a través de Experian. Esto incluye a cualquier persona que haya tenido contacto con la ciudad de Columbus a través de un arresto u otro procedimiento. Columbus también está trabajando con Legal Aid para ver qué protecciones adicionales se necesitan para las víctimas de violencia doméstica que pueden haber sido comprometidas o necesitan ayuda con órdenes de protección civil.
Hasta la fecha, la ciudad no ha pagado a los hackers, quienes estaban exigiendo $2 millones de rescate.
‘No es Edward Snowden’
Los que estudian derecho de ciberseguridad y trabajan en el ámbito expresaron sorpresa por la demanda civil presentada por Columbus contra el investigador.
“Las demandas contra investigadores de seguridad de datos son raras,” dijo Raymond Ku, profesor de derecho en la Universidad Case Western Reserve. En la rara ocasión en que suceden, dijo, es generalmente cuando se acusa al investigador de haber revelado cómo se aprovechaba o podía aprovecharse de una falla, lo que permitiría a otros aprovechar la falla también.
“Él no era Edward Snowden,” dijo Kyle Hanslovan, CEO de la empresa de ciberseguridad Huntress, quien se mostró preocupado por la respuesta de la ciudad de Columbus y lo que podría significar para futuros hackeos. Snowden era un empleado contratado por el gobierno que filtró información clasificada y enfrentó cargos criminales, pero se consideraba a sí mismo un informante. Goodwolf, según Hanslovan, es un buen samaritano que encontró independientemente los datos hackeados.
“En este caso, parece que simplemente silenciamos a alguien que, según puedo ver, parece ser un investigador de seguridad que hizo lo mínimo y confirmó que las declaraciones oficiales hechas no eran ciertas. Esto no puede ser apropiado uso de los tribunales,” dijo Hanslovan, prediciendo que el caso será anulado rápidamente.
El Fiscal de la Ciudad de Columbus, Zach Klein, dijo durante una conferencia de prensa en septiembre que el caso “no se trata de libertad de expresión o de delación. Se trata de la descarga y divulgación de registros de investigación criminal robados.”
Hanslovan se preocupa por el efecto dominó en el que los consultores y investigadores de ciberseguridad tengan miedo de hacer su trabajo por temor a ser demandados. “La verdadera historia aquí es si estamos viendo el surgimiento de un nuevo manual de respuesta a los hackeos en el que se silencia a individuos, y eso no debería ser bienvenido,” dijo. “Silenciar cualquier opinión, incluso por 14 días, podría ser suficiente para evitar que algo creíble salga a la luz, y eso me aterroriza,” dijo Hanslovan. “Esa voz necesita ser escuchada. A medida que vemos surgir incidentes de ciberseguridad más grandes, estoy preocupado de que la gente esté más preocupada por sacarlos a la luz.”
Scott Dylan, fundador de la firma de capital de riesgo con sede en el Reino Unido NexaTech Ventures, también piensa que las acciones de la ciudad de Columbus podrían causar un efecto desalentador en el campo de la ciberseguridad.
“A medida que el campo del ciberderecho sigue madurando, es probable que este caso se mencione en futuras discusiones sobre el papel de los
investigadores en el aftermath de fugas de datos,” dijo Dylan.
Dice que los marcos legales deben evolucionar al ritmo de la sofisticación tanto de los ciberataques como de los dilemas éticos que generan, y el enfoque tomado por Columbus es un error.
Mientras tanto, el proceso legal continuará para Goodwolf. A pesar de que Columbus y Goodwolf llegaron a un acuerdo la semana pasada sobre la divulgación de información, la ciudad todavía lo está demandando por daños en una demanda civil que podría llegar a $25,000 o más. Goodwolf se representa a sí mismo en sus conversaciones con la ciudad, aunque dice que tiene un abogado en espera, si es necesario.
Algunos residentes han presentado una demanda colectiva contra la ciudad. Goodwolf dice que el 55% de la información hackeada se ha vendido en la dark web, mientras que el 45% está disponible para cualquiera con habilidades para acceder.
Dylan piensa que la ciudad está corriendo un gran riesgo, incluso si sus acciones pueden ser legalmente defendibles, al crear la apariencia de un intento de silenciar el discurso en lugar de fomentar la transparencia. “Es una estrategia que podría salir mal, tanto en términos de confianza pública como de litigios futuros,” dijo.
“Espero que la ciudad se dé cuenta del error de presentar una demanda civil y de las implicaciones no solo en cuanto a seguridad,” dijo Goodwolf, señalando que Intel está construyendo una instalación de $1 mil millones en un suburbio de Columbus. En los últimos años, la ciudad se ha estado posicionando como un nuevo centro tecnológico en el Medio Oeste, y atacar a los sombreros blancos e investigadores de ciberseguridad, dijo, podría hacer que algunos en el sector tecnológico reconsideren su ubicación.