AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Ciberdelincuentes comprometen Crisis24 OnSolve CodeRED, afectando sistemas de alerta de emergencias en EE.UU.

admin

Introducción

La empresa de gestión de riesgos Crisis24 ha confirmado que su plataforma OnSolve CodeRED, ampliamente utilizada para la notificación de emergencias a nivel estatal y local en Estados Unidos, ha sido víctima de un ciberataque. Este incidente ha provocado la interrupción parcial y, en algunos casos, total de los sistemas de alerta empleados por organismos gubernamentales, departamentos de policía y cuerpos de bomberos. El evento pone de manifiesto la creciente vulnerabilidad de infraestructuras críticas ante actores maliciosos y subraya la necesidad de reforzar los controles de ciberseguridad en servicios esenciales para la protección civil.

Contexto del Incidente

OnSolve CodeRED es uno de los sistemas líderes en la gestión de alertas y notificaciones de emergencia en Norteamérica. Su función principal consiste en diseminar mensajes urgentes sobre desastres naturales, amenazas de seguridad pública o incidentes críticos a los ciudadanos y organismos implicados. La plataforma es utilizada por cientos de administraciones estatales y locales, así como agencias de primeros auxilios, para coordinar respuestas rápidas y efectivas ante situaciones de crisis.

A finales de junio de 2024, varios clientes de Crisis24 informaron de la imposibilidad de acceder al sistema y de fallos en la emisión de alertas automatizadas. Posteriormente, la compañía confirmó que se encontraba gestionando las consecuencias de un ciberataque que había comprometido la disponibilidad de CodeRED, sin ofrecer detalles iniciales sobre la naturaleza del ataque ni el vector de entrada.

Detalles Técnicos del Ataque

Aunque Crisis24 ha mantenido cierta reserva sobre los detalles técnicos del incidente, fuentes próximas a la investigación han señalado que el ataque podría estar relacionado con la explotación de una vulnerabilidad no parcheada (zero-day) en uno de los componentes de la infraestructura de CodeRED. Expertos en ciberseguridad apuntan a la posible utilización de técnicas de ransomware como vector principal, dado el patrón de interrupción de servicios y la petición posterior de rescate, aunque no se ha confirmado públicamente la exfiltración de datos.

No se ha especificado un CVE concreto, pero se barajan varias vulnerabilidades conocidas en plataformas de notificación y gestión SaaS similares, como CVE-2023-34362 (MOVEit Transfer) y CVE-2024-21410 (Microsoft Exchange Server), ambas frecuentemente explotadas por grupos avanzados como FIN11 o TA505.

Respecto a las Tácticas, Técnicas y Procedimientos (TTP) empleadas, se ha observado el uso de herramientas automatizadas para el reconocimiento y explotación (TA0043 – Reconocimiento, según MITRE ATT&CK), así como la ejecución de scripts remotos para la elevación de privilegios (T1059 – Command and Scripting Interpreter). Algunos indicadores de compromiso (IoC) compartidos entre los clientes afectados incluyen direcciones IP asociadas a redes de Tor, hashes de archivos maliciosos y patrones de tráfico anómalo hacia servidores de comando y control (C2).

Impacto y Riesgos

La afectación de CodeRED ha tenido consecuencias directas sobre la capacidad de respuesta de múltiples organismos públicos. Se estima que más de 400 jurisdicciones locales han experimentado retrasos o fallos en la entrega de alertas críticas, impactando potencialmente a millones de ciudadanos. La interrupción de estos servicios no solo supone un riesgo para la seguridad física de la población, sino que puede derivar en responsabilidades legales por incumplimiento de normativas como la NIS2 y el GDPR en materia de protección de datos y continuidad operacional.

Desde el punto de vista económico, los costes asociados a la gestión del incidente, restauración de sistemas y posibles sanciones regulatorias podrían superar los 10 millones de dólares, según cálculos preliminares de aseguradoras especializadas en ciberseguridad.

Medidas de Mitigación y Recomendaciones

Crisis24 ha desplegado un equipo de respuesta a incidentes, en colaboración con firmas forenses externas, para aislar los sistemas afectados, contener la propagación y restaurar progresivamente los servicios críticos. Entre las medidas recomendadas a los clientes destacan:

– Actualización inmediata de todos los sistemas y aplicaciones a las últimas versiones disponibles.
– Revisión y endurecimiento de las políticas de autenticación multifactor (MFA).
– Análisis detallado de logs y búsqueda proactiva de IoC relacionados con el incidente.
– Desarrollo de canales de comunicación alternativos para emergencias, en caso de caída del sistema principal.
– Simulacros de respuesta a incidentes de ciberseguridad, con especial foco en la continuidad del negocio y la gestión de crisis.

Opinión de Expertos

Analistas SOC y consultores de ciberseguridad coinciden en que el ataque a CodeRED representa una evolución preocupante en la estrategia de los grupos de amenazas avanzadas, que ahora enfocan sus esfuerzos en infraestructuras críticas y servicios esenciales. “Este tipo de plataformas son objetivos de alto valor, tanto desde una perspectiva de disrupción operacional como de extorsión económica”, señala Javier Gutiérrez, CISO de una firma de consultoría española. Además, recomiendan la implementación de arquitecturas Zero Trust, segmentación de redes y auditorías periódicas de seguridad como barreras imprescindibles para minimizar el riesgo.

Implicaciones para Empresas y Usuarios

Las empresas tecnológicas proveedoras de servicios esenciales deben reforzar sus programas de gestión de riesgos, garantizar la resiliencia de sus plataformas y transparentar las comunicaciones con sus clientes ante incidentes de ciberseguridad. Por su parte, los organismos públicos y usuarios finales deben diversificar sus mecanismos de alerta y establecer protocolos alternativos que permitan mantener la operatividad ante fallos tecnológicos.

Conclusiones

El ciberataque a Crisis24 y su plataforma OnSolve CodeRED subraya la urgencia de blindar los sistemas de notificación de emergencias frente a amenazas cada vez más sofisticadas. La colaboración público-privada, la inversión en ciberresiliencia y la adopción de buenas prácticas técnicas y organizativas serán determinantes para salvaguardar la seguridad nacional y la confianza ciudadana en los servicios críticos.

(Fuente: www.bleepingcomputer.com)