Enorme distrito escolar unificado de Los Ángeles afectado por un ciberataque
Por STEFANIE DAZIO, FRANK BAJAK y ZEKE MILLER
Associated Press
LOS ÁNGELES (AP) - Un ataque de ransomware dirigido al enorme distrito escolar de Los Ángeles provocó un cierre sin precedentes de sus sistemas informáticos, ya que las escuelas se encuentran cada vez más vulnerables a las brechas cibernéticas al comienzo de un nuevo año.
El ataque al Distrito Escolar Unificado de Los Ángeles hizo sonar las alarmas en todo el país, desde las conversaciones urgentes con la Casa Blanca y el Consejo de Seguridad Nacional después de que se descubrieran los primeros indicios de ransomware a última hora de la noche del sábado hasta los cambios de contraseña obligatorios para 540.000 estudiantes y 70.000 empleados del distrito.
Aunque el ataque utilizó una tecnología que encripta los datos y no los desbloquea a menos que se pague un rescate, en este caso el superintendente del distrito dijo que no se hizo ninguna demanda inmediata de dinero y las escuelas del segundo distrito más grande del país abrieron el martes como estaba previsto.
Este tipo de ataques se ha convertido en una amenaza creciente para las escuelas de Estados Unidos, con varios incidentes de alto perfil registrados desde el año pasado, a medida que la dependencia de la tecnología forzada por la pandemia aumenta el impacto. Y las bandas de ransomware han planeado en el pasado grandes ataques en los fines de semana de vacaciones en Estados Unidos, cuando saben que el personal de TI será escaso y los expertos en seguridad estarán relajados.
Aunque no estaba inmediatamente claro cuándo comenzó el ataque de Los Ángeles -los funcionarios sólo han dicho cuándo fue detectado y un portavoz del distrito declinó responder a preguntas adicionales-, el descubrimiento del sábado por la noche llegó a los niveles más altos de las agencias de ciberseguridad del gobierno federal.
Según un alto funcionario de la administración, esta pauta de apoyo era coherente con los esfuerzos de la administración Biden para proporcionar la máxima asistencia a las industrias críticas afectadas por este tipo de brechas.
El funcionario, que habló bajo condición de anonimato para discutir la respuesta federal, dijo que el distrito escolar no pagó el rescate, pero no quiso entrar en detalles sobre lo que potencialmente podría haber sido robado o dañado y qué sistemas se vieron afectados por la brecha.
La respuesta de la Casa Blanca a la incursión en Los Ángeles refleja una creciente preocupación por la seguridad nacional: Una encuesta del Pew Research Center, publicada el mes pasado, reveló que el 71% de los estadounidenses dicen que los ciberataques de otros países son una amenaza importante para Estados Unidos.
Las autoridades creen que el ataque de Los Ángeles se originó a nivel internacional y han identificado tres posibles países de los que podría proceder, aunque el superintendente de Los Ángeles, Alberto Carvalho, no quiso decir de qué países podría tratarse. La mayoría de los delincuentes que se dedican al ransomware son de habla rusa y operan sin la interferencia del Kremlin.
Los funcionarios de Los Ángeles no identificaron el ransomware utilizado.
"Esto fue un acto de cobardía", dijo Nick Melvoin, el vicepresidente de la junta escolar. "Un acto criminal contra los niños, contra sus profesores y contra un sistema educativo".
En lo que va de año, 26 distritos escolares de Estados Unidos -incluyendo Los Ángeles- y 24 colegios y universidades se han visto afectados por el llamado ransomware, según Brett Callow, analista de ransomware de la empresa de ciberseguridad Emsisoft.
Como las víctimas se niegan cada vez más a pagar para desbloquear sus datos, muchos ciberdelincuentes utilizan la misma tecnología para robar información sensible y exigir el pago de una extorsión. Si la víctima no paga, los datos se vuelcan en Internet.
Callow dijo que al menos 31 de las escuelas atacadas este año tenían datos robados y publicados en línea, y señaló que ocho de los distritos escolares han sido atacados desde el 1 de agosto. El aumento de los ataques a las escuelas al final de las vacaciones de verano no es, sin duda, una coincidencia, dijo.
"Es la amenaza número 1 para nuestra seguridad", dijo Michel Moore, jefe del Departamento de Policía de Los Ángeles. "Es un enemigo invisible e incansable".
Incansable - y caro, incluso fuera de cualquier demanda monetaria. Un ataque de extorsión por ransomware en el mayor distrito escolar de Albuquerque obligó a las escuelas a cerrar durante dos días en enero, mientras que la respuesta de la ciudad de Baltimore a un ataque a sus servidores informáticos en 2019 costó más de 18 millones de dólares.
El ataque de Los Ángeles fue descubierto alrededor de las 10:30 p.m. del sábado, cuando el personal detectó por primera vez "actividad inusual", dijo Carvalho. Los perpetradores parecen haber apuntado a los sistemas de las instalaciones, que involucran información sobre los pagos de contratistas del sector privado - que están disponibles públicamente a través de solicitudes de registros - en lugar de detalles confidenciales como la nómina, la salud y otros datos.
Dijo que los funcionarios de TI del distrito detectaron el malware y detuvieron su propagación, pero no hasta que infectó los sistemas de red clave, lo que obligó a restablecer las contraseñas de todo el personal y los estudiantes.
Las autoridades se apresuraron a rastrear a los intrusos y a restringir los daños potenciales.
"Básicamente apagamos cada uno de nuestros sistemas", dijo Carvalho, señalando que cada uno de ellos había sido revisado y todos menos uno -el sistema de instalaciones- se reiniciaron a última hora de la noche del lunes, cuando el distrito notificó por primera vez el ataque.
El martes, las autoridades federales advirtieron por separado de posibles ataques de ransomware por parte del sindicato criminal conocido como Vice Society, que supuestamente ha atacado de forma desproporcionada al sector educativo.
Las autoridades no han dicho si creen que Vice Society está involucrado en el ataque de Los Ángeles y el grupo no respondió a una solicitud de comentarios el martes.
"El hecho de que se haya emitido un aviso conjunto de ciberseguridad relacionado con Vice Society a los pocos días de descubrirse el ataque al LAUSD puede ser revelador, especialmente porque esta banda ha atacado con frecuencia el sector educativo tanto en Estados Unidos como en el Reino Unido", dijo Callow, el experto en ransomware.
Vice Society apareció por primera vez en mayo de 2021 y, más que una variante única, ha utilizado un ransomware ampliamente disponible en la clandestinidad de habla rusa, dicen los investigadores de seguridad. Entre las víctimas reclamadas por Vice Society se encuentran el distrito escolar de Elmbrook, en Wisconsin, y el Savannah College of Art and Design.
Las bandas de ransomware suelen disolverse después de ataques de gran repercusión, como el incidente de Colonial Pipeline del año pasado, que provocó ataques a gasolineras. Sus miembros se reconstituyen entonces con nuevos nombres.
Aunque hubo presiones para cancelar las clases en Los Ángeles el martes, las autoridades decidieron finalmente permanecer abiertas.
Si no se hubiera descubierto la actividad el sábado por la noche, Carvalho dijo que podría haber habido consecuencias "catastróficas".
"Si hubiéramos perdido la capacidad de hacer funcionar nuestros autobuses escolares, más de 40.000 de nuestros estudiantes no habrían podido llegar a la escuela, o habría sido un sistema muy perturbado", dijo.
El distrito tiene previsto realizar una auditoría forense del ataque para ver qué se puede hacer para evitar futuras incursiones.
"Cada profesor, cada empleado, cada estudiante puede ser un punto débil", dijo Soheil Katal, jefe de información del distrito.
Bajak informó desde Boston y Miller desde Washington. El periodista de Associated Press Seung Min Kim también colaboró.
