Kerberoasting Cómo un correo electrónico y contraseñas antiguas sumieron a 140 hospitales en el caos

Hoy, nos sumergimos en el maravilloso mundo de la seguridad cibernética, más específicamente, en, no, dos devastadores ataques de ransomware contra la compañía de atención médica estadounidense Ascension.

Se ha hablado mucho sobre la supuesta negligencia de Microsoft., Pero como suele ser el caso con tales cosas, la verdad es más profunda. Este incidente muestra cómo una cadena de vulnerabilidades, desde una contraseña débil hasta sistemas obsoletos, puede conducir al desastre.

Antecedentes: El número de ataques de ransomware en todo el mundo está atravesando el techo, especialmente en el objetivo que vale la pena EE.UU., saltó en 2024. Con más de 5.000 ataques reportados, un aumento de 15 % En comparación con 2023, la amenaza es más real que nunca. La mitad de estos ataques se dirigieron a organizaciones, incluidos hospitales, agencias gubernamentales y empresas privadas. El caso de la Ascensión es un ejemplo trágico del costo humano de este desarrollo.

¿Qué pasó? Ataque a la Ascensión

Imagina un hospital repentinamente aislado del mundo exterior: Sin registros médicos electrónicos, sin citas, sin procedimientos regulados. Esto es exactamente lo que sucedió en la Ascensión. ¡Sólo con un factor de 140!
El ataque de Mayo de 2024 No son solo 140 hospitales los que han sido cerrados. y Datos de 5,6 millones de pacientes robados, También crea situaciones que amenazan la vida.

El hack comenzó con una acción pequeña pero trascendental: Un contratista externo hizo clic en un enlace malicioso en un resultado de búsqueda de Bing, lo que resultó en la descarga de un archivo malicioso y la infección de la computadora portátil. Este primer error permitió que los atacantes se extendieran por toda la red. Desde la computadora infectada, obtuvieron acceso al corazón de la red: el Directorio Activo de Windows. Active Directory es la llave maestra para todas las puertas de una empresa. Si lo rompes, casi tienes la llave maestra para todo.

«Kerberoasting»: Principio de vulnerabilidad

Los atacantes utilizaron un método llamado Kerberoasting. Suena como una barbacoa acogedora, pero es cualquier cosa menos eso. Se beneficiaron de una antigua vulnerabilidad en el protocolo de autenticación Kerberos de Microsoft, que se basa en un método de cifrado inseguro.

¿El problema? Incluso si las versiones más recientes de Active Directory son seguras, por defecto recurren al método obsoleto y más débil cuando un dispositivo, como una computadora portátil infectada, lo solicita. Es como instalar el último y más seguro sistema de alarma, pero la puerta aún se abre con la vieja llave de tu abuelo.

¿Qué es Kerberos y cómo funciona?

Para aquellos que quieran saber más: Kerberos Este es un protocolo de autenticación clásico de los años 80. Utiliza «billetes» temporales para confirmar que un dispositivo o persona está autorizado. Esto es más seguro que reenviar contraseñas constantemente.

Kerberoasting Aproveche el hecho de que cada usuario válido "Boleto de servicio" puede solicitar. Este ticket está cifrado con el hash de contraseña del servicio solicitado. Los atacantes roban este boleto, rompen el hash fuera de línea y luego tienen acceso completo al servicio.

La verdadera causa: Contraseñas débiles y Co.

Lo que pasó en el debate público fue el papel de la Ascensión misma. ¡Los ataques Kerberoasting solo funcionan si la contraseña hash es lo suficientemente débil como para ser descifrada!

El Investigador de seguridad informática Tim Medin, que acuñó el término «kerberoasting», es cierto: «El problema que lleva al kerberoasting son las contraseñas fundamentalmente malas». Estima que incluso una contraseña aleatoria de 10 dígitos sería difícil de descifrar. Esto sugiere que la contraseña comprometida de Ascension no era aleatoria ni estaba en línea con las recomendaciones de Microsoft.

Otro experto, Richard Gold, señala otros problemas de seguridad masivos:

• Falta de segmentación de la red: Una computadora infectada nunca debe tener acceso directo a toda la red.
  
• Falta de principio de los derechos mínimos: Las cuentas de usuario deben tener solo los derechos de acceso más necesarios.
  
• Sin arquitectura de niveles: Los sistemas importantes (como el controlador de dominio) deben estar estrictamente separados de los menos importantes.

En resumen: Los atacantes pudieron saltar directamente del ordenador portátil del contratista a la «clave maestra» central de la red. Esto simplemente no debería suceder en una empresa tan grande. Es un caso clásico de Seguridad en Profundidad (o falta de ella). Imagina un barco que tiene múltiples capas para sobrevivir a una grieta en el casco. Una sola vulnerabilidad no debe conducir a un fracaso total.

Otro problema, a menudo pasado por alto: Los atacantes permanecieron sin ser detectados durante tres meses, de febrero a mayo. Esto indica deficiencias masivas en el monitoreo de la red y la detección de intrusiones.

Y como si eso no fuera suficiente: Una segunda fuga de datos

Como si el desastre de mayo de 2024 no fuera suficiente, Ascensión una vez más fue víctima de una fuga de datos en un incidente separado. Cómo comenzó la empresa Mayo de 2025 En diciembre de 2024, se robaron los datos personales de más de 100 000 personas.

Este hack no tuvo nada que ver con el ataque Kerberoasting. Se llevó a cabo a través del software de un antiguo socio comercial de Ascension, que a su vez utilizó el notorio Cl0p ransomware hack está asociado. Además de SentinelOne, Los chicos de Barracuda intensamente preocupado por el tema. Aquí, los atacantes explotaron una vulnerabilidad en una plataforma de transferencia de archivos para robar información confidencial. Estos incluyen:

• Nombres, direcciones, números de teléfono y direcciones de correo electrónico
• Números de la seguridad social
• Información sobre diagnósticos y seguros

Ascension se vio obligada a proporcionar servicios gratuitos de crédito y protección de identidad a los afectados en cinco estados diferentes de los Estados Unidos durante dos años. Este incidente muestra una vez más que la compañía está luchando con la seguridad básica en todos los canales.

Las consecuencias: Si el equipo falla

El impacto del hackeo fue devastador y afectó vidas humanas. Los médicos y las enfermeras ya no podían acceder a los historiales médicos electrónicos. Los sistemas para ordenar pruebas, procedimientos y medicamentos se paralizaron. Una enfermera en la emisora estadounidense NPR reportó una experiencia aterradora: Casi le dio a un bebé la dosis equivocada de un anestésico porque los documentos escritos a mano eran confusos.

Este incidente deja claro lo que puede suceder cuando un sistema de salud que ha funcionado completamente digitalmente durante años de repente tiene que volver al papel. Muchas enfermeras y cuidadores que nunca antes habían trabajado con documentos en papel de repente tuvieron que recurrir a formularios de décadas de antigüedad abarrotados de cajones.

El daño va mucho más allá de la interrupción inmediata:

• Aumento de la tasa de mortalidad: Los estudios estiman que la tasa de mortalidad en los hospitales como resultado de un ataque cibernético por 1-2 % puede levantarse.
  
• Consecuencias jurídicas: Ascensión ya se enfrenta a demandas.
  
• Pérdidas financieras: Aparte de los posibles pagos de rescate y el costo de restaurar los sistemas, los ciberataques pueden conducir a pérdidas masivas de ingresos y cuellos de botella en la contratación.

Microsoft en Crítica

Senador Ron Wyden de la Comisión Federal de Comercio (FTC) solicitó oficialmente investigar a Microsoft por fallas de ciberseguridad. Acusa a la compañía de poner en peligro la infraestructura crítica de Estados Unidos a través de su actitud negligente hacia la seguridad. Wyden criticó públicamente que el «monopolio de facto de Microsoft en el mercado de los sistemas operativos empresariales» supusiera una grave amenaza para la seguridad nacional.

Los hechos son explosivos: Los empleados de Wyden advirtieron a Microsoft en el julio de 2024 frente a la vulnerabilidad. Microsoft publicado en 8 de octubre de 2024 Escribió una publicación de blog al respecto, pero no prometió una advertencia directa al cliente o una actualización rápida del software. Casi un año después, aún no se ha lanzado ninguna actualización para deshabilitar el cifrado obsoleto por defecto.

Cómo Ensar Seeker, CISO en SOCRadar, declaró: «Lo que sucedió con Ascensión no es solo un clic o un viejo estándar de cifrado. Se trata de riesgos sistémicos derivados de configuraciones estándar y de la complejidad arquitectónica de ecosistemas de software ampliamente utilizados, como el de Microsoft.»

¿Qué pueden aprender las organizaciones de esto?

El mayor aprendizaje de la debacle de la Ascensión es la importancia de Planificación de la preparación y la respuesta. No es suficiente simplemente ejecutar la seguridad de TI. Tienes que asumir que un ataque ocurrirá en algún momento.

Lo más importante es tener un plan claro y practicarlo regularmente. La experta Jen Anthony señala: «Los dos factores más importantes en la respuesta de una organización son el liderazgo y la comunicación».

• Practica, practica, practica: llamado «Ejercicios de mesa» Simular un ataque cibernético. Se identifican vulnerabilidades, se mejora el tiempo de respuesta y se prueban los canales de comunicación.
  
• Comunicación clara: En una crisis, es esencial comunicarse abierta y honestamente con los empleados y clientes / pacientes para mantener la confianza.

Conclusión: Un desastre que era prevenible

Los ataques a la Ascensión muestran que no hay un solo culpable. La conveniencia de Microsoft para soportar estándares obsoletos ha contribuido, pero la mayor responsabilidad recae en la propia Ascensión.

La falta de estándares de seguridad, desde contraseñas seguras hasta la segmentación de la red y los principios de confianza cero, fue la verdadera razón por la que el ataque de mayo de 2024 tuvo tanto éxito. Una sola vulnerabilidad no debería haber llevado al colapso de una red tan grande. El segundo incidente muestra que este es un problema sistemático que va mucho más allá de un solo vector de ataque.

Especialmente porque los atacantes siempre encontrarán nuevas formas, es tarea de las empresas implementar medidas de seguridad básicas y mantenerlas continuamente. La historia de Ascension es una llamada de atención para cualquiera que crea que la seguridad cibernética es solo un problema para el departamento de TI.

Recursos adicionales sobre el tema:

• Principio de confianza cero: ¿Qué hay detrás de este modelo de seguridad?
• Seguridad de la contraseña: ¿Cómo crear contraseñas realmente seguras?
• Prácticas recomendadas de Active Directory: Una guía para administradores para proteger Active Directory.