Enorme distrito escolar unificado de Los Ángeles afectado por un ciberataque
LOS ÁNGELES (AP) – Un ataque de ransomware dirigido al enorme distrito escolar de Los Ángeles provocó un cierre sin precedentes de sus sistemas informáticos, ya que las escuelas se encuentran cada vez más vulnerables a las brechas cibernéticas en el inicio de un nuevo año.
El ataque al Distrito Escolar Unificado de Los Ángeles hizo saltar las alarmas en todo el país, desde las conversaciones urgentes con la Casa Blanca y el Consejo de Seguridad Nacional después de que se descubrieran los primeros indicios de ransomware a última hora de la noche del sábado, hasta los cambios de contraseña obligatorios para 540.000 estudiantes y 70.000 empleados del distrito.
Aunque el ataque utilizó una tecnología que encripta los datos y no los desbloquea a menos que se pague un rescate, en este caso el superintendente del distrito dijo que no se hizo ninguna demanda inmediata de dinero y las escuelas del segundo distrito más grande del país abrieron el martes como estaba previsto.
Este tipo de ataques se ha convertido en una amenaza creciente para las escuelas de Estados Unidos, con varios incidentes de alto perfil reportados desde el año pasado a medida que la dependencia de la tecnología forzada por la pandemia aumenta el impacto. Y las bandas de ransomware han planeado en el pasado grandes ataques en los fines de semana de vacaciones en Estados Unidos, cuando saben que el personal de TI será escaso y los expertos en seguridad estarán relajados.
Aunque no estaba inmediatamente claro cuándo comenzó el ataque de Los Ángeles -los funcionarios sólo han dicho cuándo fue detectado y un portavoz del distrito declinó responder a preguntas adicionales-, el descubrimiento del sábado por la noche llegó a los niveles más altos de las agencias de ciberseguridad del gobierno federal.
Según un alto funcionario de la administración, este patrón de apoyo fue coherente con los esfuerzos de la administración Biden para proporcionar la máxima asistencia a las industrias críticas afectadas por tales brechas.
El funcionario, que habló bajo condición de anonimato para discutir la respuesta federal, dijo que el distrito escolar no pagó el rescate, pero no quiso entrar en detalles sobre lo que potencialmente podría haber sido robado o dañado y qué sistemas se vieron afectados por la brecha.
La respuesta de la Casa Blanca a la incursión en Los Ángeles refleja una creciente preocupación por la seguridad nacional: Una encuesta del Pew Research Center, publicada el mes pasado, encontró que el 71% de los estadounidenses dicen que los ciberataques de otros países son una amenaza importante para los Estados Unidos.
Las autoridades creen que el ataque de Los Ángeles se originó a nivel internacional y han identificado tres posibles países de los que podría proceder, aunque el superintendente de Los Ángeles, Alberto Carvalho, no quiso decir de qué países podría tratarse. La mayoría de los delincuentes de ransomware son de habla rusa y operan sin interferencia del Kremlin.
Los funcionarios de Los Ángeles no identificaron el ransomware utilizado.
“Esto fue un acto de cobardía”, dijo Nick Melvoin, el vicepresidente de la junta escolar. “Un acto criminal contra los niños, contra sus profesores y contra un sistema educativo”.
En lo que va de año, 26 distritos escolares de Estados Unidos -incluido el de Los Ángeles- y 24 colegios y universidades se han visto afectados por el llamado ransomware, según Brett Callow, analista de ransomware de la empresa de ciberseguridad Emsisoft.
Dado que las víctimas se niegan cada vez más a pagar para desbloquear sus datos, muchos ciberdelincuentes utilizan la misma tecnología para robar información sensible y exigir el pago de una extorsión. Si la víctima no paga, los datos se vuelcan en Internet.
Callow dijo que al menos 31 de las escuelas afectadas este año tenían datos robados y publicados en línea, y señaló que ocho de los distritos escolares han sido atacados desde el 1 de agosto. El aumento de los ataques a las escuelas al final de las vacaciones de verano no es ciertamente una coincidencia, dijo.
“Es la amenaza número 1 para nuestra seguridad”, dijo Michel Moore, jefe del Departamento de Policía de Los Ángeles. “Es un enemigo invisible y es incansable”.
Incansable – y caro, incluso fuera de cualquier demanda monetaria. Un ataque de extorsión por ransomware en el mayor distrito escolar de Albuquerque obligó a las escuelas a cerrar durante dos días en enero, mientras que la respuesta de la ciudad de Baltimore a un ataque de 2019 a sus servidores informáticos costó más de 18 millones de dólares.
El ataque de Los Ángeles fue descubierto alrededor de las 22:30 horas del sábado, cuando el personal detectó por primera vez “actividad inusual”, dijo Carvalho. Los perpetradores parecen haber apuntado a los sistemas de las instalaciones, que involucran información sobre los pagos de contratistas del sector privado – que están disponibles públicamente a través de solicitudes de registros – en lugar de detalles confidenciales como la nómina, la salud y otros datos.
Dijo que los funcionarios de TI del distrito detectaron el malware y detuvieron su propagación, pero no hasta que infectó los sistemas de red clave, lo que obligó a restablecer las contraseñas de todo el personal y los estudiantes.
Las autoridades se esforzaron por rastrear a los intrusos y restringir los daños potenciales.
“BásicamenteEl lunes por la noche, cuando el distrito notificó por primera vez el problema, se comprobó que todos los sistemas, excepto uno, el de las instalaciones, se habían reiniciado.
El martes, las autoridades federales advirtieron por separado de posibles ataques de ransomware por parte del sindicato criminal conocido como Vice Society, que supuestamente ha atacado de forma desproporcionada al sector educativo.
Las autoridades no han dicho si creen que Vice Society está involucrada en el ataque de Los Ángeles y el grupo no respondió a una solicitud de comentarios el martes.
“El hecho de que se haya emitido un aviso conjunto de ciberseguridad relacionado con Vice Society a los pocos días de descubrirse el ataque al LAUSD puede ser revelador, especialmente porque esta banda ha atacado con frecuencia el sector educativo tanto en Estados Unidos como en el Reino Unido”, dijo Callow, el experto en ransomware.
Vice Society apareció por primera vez en mayo de 2021 y, más que una variante única, ha utilizado un ransomware ampliamente disponible en la clandestinidad de habla rusa, dicen los investigadores de seguridad. Entre las víctimas reclamadas por Vice Society se encuentran el distrito escolar de Elmbrook, en Wisconsin, y el Savannah College of Art and Design.
Las bandas de ransomware suelen disolverse tras ataques de gran repercusión, como el incidente de Colonial Pipeline del año pasado, que provocó ataques a gasolineras. Sus miembros se reconstituyen con nuevos nombres.
Aunque hubo presiones para que se cancelaran las clases en Los Ángeles el martes, las autoridades decidieron finalmente permanecer abiertas.
Si no se hubiera descubierto la actividad el sábado por la noche, Carvalho dijo que podría haber habido consecuencias “catastróficas”.
“Si hubiéramos perdido la capacidad de hacer funcionar nuestros autobuses escolares, más de 40.000 de nuestros estudiantes no habrían podido llegar a la escuela, o habría sido un sistema muy perturbado”, dijo.
El distrito tiene previsto realizar una auditoría forense del ataque para ver qué se puede hacer para evitar futuras incursiones.
“Cada profesor, cada empleado, cada alumno puede ser un punto débil”, dijo Soheil Katal, jefe de información del distrito.
___
Bajak informó desde Boston y Miller desde Washington. El periodista de Associated Press Seung Min Kim también contribuyó.