Una de las dificultades cuando se produce un ciberataque es la detección de este. La Universidad de Stanford ha admitido haber sido víctima de un ataque de ransomware, que permaneció sin detectar durante más de cuatro meses. Este incidente de ciberseguridad, que inicialmente evitó el uso de la palabra «ransomware» en las comunicaciones oficiales, ha salido a la luz después de que el grupo Akira expusiera a la universidad en su sitio web hacia finales de octubre de 2023.
El Departamento de Seguridad Pública de la universidad fue el blanco específico de este ataque, revelando vulnerabilidades significativas en las defensas cibernéticas de una de las instituciones más prestigiosas del mundo. El informe presentado ante la Oficina del fiscal general de Maine desveló que Stanford tomó conciencia del incidente el 27 de septiembre, descubriendo la brecha de datos que se había originado el 12 de mayo de 2023. Este largo periodo sin detectar la intrusión origina interrogantes sobre la presencia continua del o los atacantes dentro de la red y la eficacia de los sistemas de vigilancia de Stanford.
Información comprometida y respuesta de la institución
El grupo Akira informó que robó 430 GB de datos a la Universidad de Stanford mediante su ransomware, entre ellos información personal y documentos confidenciales. Todo esto está disponible para que cualquiera pueda descargarlo a través de un archivo torrent, lo que significa que la universidad probablemente se negó a pagar el rescate.
Aunque desde la Universidad no se ha detallado completamente qué información específica fue comprometida, los documentos sugieren que nombres y números de seguridad social están entre los datos robados. En respuesta a este robo, Stanford ha ofrecido a las 27.000 personas afectadas 24 meses de monitoreo de crédito gratuito, acceso a una póliza de seguro de reembolso de hasta 1 millón de dólares y servicios de recuperación de identidad.
La universidad ha reafirmado su compromiso con la protección de la información personal, notificando a las autoridades federales y locales y colaborando con expertos externos en ciberseguridad para cerrar el acceso no autorizado. Además, se han prometido mejoras adicionales en las medidas de seguridad del Departamento de Seguridad Pública.
Akira y su desarrollo en el mundo de la ciberdelincuencia
Akira ha estado operando desde marzo de 2023 y sus víctimas han recibido diversas demandas de rescate por robo de datos, que van desde sumas relativamente pequeñas de seis cifras hasta varios millones de dólares.
Este grupo usa un ransomware sofisticado, se especializa en el cifrado de archivos, solicitando pagos para la recuperación de estos. Propaga su infección mediante técnicas como correos de phishing y explotando fallos de seguridad.
Desde su nacimiento, ha atacado a múltiples sectores, demandando rescates que pueden alcanzar cifras millonarias. Una característica distintiva de Akira es su capacidad para eliminar copias de seguridad automáticas de Windows, enfocándose en archivos vitales para maximizar el daño. Evita cifrar archivos y directorios cruciales para el funcionamiento de Windows, y emplea tecnologías para suspender servicios que bloqueen el cifrado. Después, distribuye una nota de rescate con amenazas de venta o difusión de información robada si no se efectúa el pago.
Desafíos de los ataques de ransomware
Este incidente subraya la constante amenaza que el ransomware representa para instituciones de todos los tamaños y sectores. La habilidad de los atacantes para permanecer ocultos dentro de la red de Stanford durante un periodo tan extenso plantea preguntas críticas sobre la necesidad de mejorar las estrategias de detección y respuesta ante incidentes de ciberseguridad.
El ataque a Stanford demuestra que ninguna organización es inmune a la ciberdelincuencia, enfatizando la importancia de una vigilancia constante, evaluaciones regulares de seguridad y una inversión continua en tecnología y formación en ciberseguridad.