En un camino angosto y sinuoso en Great Smoky Mountains, una mujer joven perdió el control de su pequeño automóvil en medio de la noche. Su Ford Fiesta se salió del pavimento y se estrelló contra un árbol.
A pesar de llevar puesto el cinturón de seguridad, la mujer resultó gravemente herida por el impacto y necesitó ayuda urgente. Estaba a solo 10 minutos de su casa en Cherokee, Carolina del Norte, donde la noticia del accidente pronto llegó a los paramédicos.
Pero había un gran problema en Cherokee, capital de la Banda Oriental de Indios Cherokee (EBCI)), una tribu reconocida a nivel federal de más de 16.000 miembros.
Horas antes, un ataque de ransomware contra la infraestructura de TI de la tribu había desconectado la red EBCI, incluido el despacho del 911 y el sistema de geolocalización que utilizan los paramédicos y los agentes de policía.
Como resultado, los socorristas de Cherokee se vieron obligados a pasar 18 minutos adicionales buscando al conductor y su automóvil. Cuando la alcanzaron, la mujer había muerto a causa de sus heridas. Ella tenía 23 años.
“¿Habría sobrevivido esa persona (sin la demora)? Quizás. No lo sabemos”, recuerda Richard Sneed, jefe principal de la EBCI. “Pero la realidad es que, cuando hay una emergencia, cada minuto cuenta. Y cuando te retrasas 18 minutos, esa es la vida de alguien”.
El ataque del 7 de diciembre de 2019 fue el resultado de las vulnerabilidades explotadas por los ciberdelincuentes rusos para cifrar todos los datos tribales. Los piratas informáticos también dejaron un archivo de texto en las computadoras de las víctimas, exigiendo que se pagara un rescate para recuperar los datos.
El trabajo de análisis forense digital llevó a la policía tribal a arrestar a un exempleado, quien presuntamente desempeñó un papel en el aumento de esas vulnerabilidades. Más tarde, un jurado lo encontró culpable de malversación de propiedad tribal, un delito grave. Los fiscales optaron por no presentar otros cargos, incluidos los cargos específicamente relacionados con la interrupción del 911. Cumplió 454 días en la cárcel.
Se hizo algo de justicia, pero la violación pagó un alto precio. Además de retrasar la búsqueda del conductor lesionado, el EBCI perdió una biblioteca de archivos de audio y video irremplazables en idioma Cherokee. Los miembros tribales trabajaron durante ocho meses para restaurar por completo todos los servicios básicos.
En última instancia, la compañía de seguros cibernéticos de EBCI pagó a los ciberdelincuentes rusos varios cientos de miles de dólares en rescate para descifrar los datos.
«Fue surrealista de principio a fin», dice Sneed. “Muy parecido al guión de una película”.
Antes del ciberataque, la EBCI había establecido una relación comercial con Microsoft, pero la tribu solo había implementado Microsoft Outlook en ese momento.
El ataque incitó a los líderes de EBCI a reevaluar toda su infraestructura de TI: dos bancos de servidores locales. Después de varias conversaciones con Microsoft, trasladaron su sistema de TI a microsoft azure para fortalecer la seguridad de los datos y prevenir mejor futuros ataques.
Para lograr esa migración a la nube, y comenzar a restablecer el despacho del 911 y otros servicios, los líderes de EBCI invitaron al arquitecto de soluciones en la nube de Microsoft, Elliot Huffman, a trabajar en el sitio en la sede tribal en Cherokee. Llegó en marzo de 2020.
“Un lugar absolutamente hermoso”, dice Huffman. “Es una comunidad bulliciosa con pequeñas tiendas y las mejores vistas.”
La ciudad de las colinas en el oeste de Carolina del Norte habita en las tierras natales tradicionales de Cherokee. Una vez parte de la nación Cherokee mucho más grande, la Banda del Este descendió de unos 800 Cherokee que se resistieron a unirse al Sendero de las Lágrimas: desplazamientos federales forzados de unos 60.000 pueblos indígenas entre 1830 y 1850.
Esos antepasados EBCI permanecieron en las tierras originales de Cherokee, escondiéndose en los bosques y colinas de Carolina del Norte. Durante la década de 1870, compraron ese mismo tramo de tierra, que se conoció como el límite de Qualla. Hoy en día, la tierra natal de EBCI se extiende por más de 50,000 acres.
La tribu es reconocida a nivel federal como una nación soberana con sus propias leyes, elecciones e instituciones de gobierno. Pero el sofisticado ataque cibernético diezmó esa base y desconectó a toda una nación en una noche.
Inmediatamente después del ataque, los líderes de EBCI declararon el estado de emergencia. Se pusieron en contacto con la Agencia de Infraestructura y Ciberseguridad de EE. UU., o CISA, parte del Departamento de Seguridad Nacional. Mientras tanto, el FBI y la Oficina de Investigaciones del Estado de Carolina del Norte ayudaron a realizar una investigación criminal.
Aún así, quedaban meses de trabajo por delante para reconstruir las funciones de TI de la tribu.
“Cuando llegué allí”, recuerda Huffman, “básicamente estaban pidiendo ayuda a gritos: ‘Lo perdimos todo’”.
El hacker había encriptado cada computadora con una clave diferente. Esas claves fueron enviadas a una estructura de comando y control administrada por las contrapartes del hacker en Rusia. En pocas palabras, los malos poseían una base de datos con una lista de todas las máquinas, estaciones de trabajo y servidores de la red EBCI.
Con esa base de datos, los delincuentes construyeron una herramienta de descifrado universal, que podría usarse para revertir los efectos de los ataques. Después de que se pagó el rescate, los líderes de EBCI recibieron acceso a esa herramienta de descifrado y luego fueron máquina por máquina para recuperar la mayoría de sus datos.
Pero una pérdida irreversible involucró los archivos de audio y video de los miembros tribales que hablaban el idioma Cherokee. El EBCI había invertido 15 años recopilando esas grabaciones, que demostraban la pronunciación y la inflexión correctas de las palabras cherokee, dice Sneed.
“Hay una manera de hablar el idioma y solo nos quedan unos 160 hablantes fluidos”, dice Sneed. “Esos datos se pierden y desaparecen para siempre. No tiene precio. Tiene un impacto cultural a largo plazo en el que no creo que la mayoría de la gente piense. Importa.»
El cambio de EBCI a la nube, dice Sneed, ayudará a preservar otras piezas cruciales de la historia y la cultura tribales.
En la primavera de 2020, Huffman comenzó a trabajar codo con codo con los empleados de TI de la tribu en el centro de operaciones de emergencia de EBCI. Profundizaron en las reparaciones del sistema y, pronto, en la migración a la nube.
“Luchamos para juntar todo”, dice Huffman.
Sus prioridades inmediatas: revivir tanto el despacho del 911 como el sistema financiero de la tribu. Dos veces al año, cada miembro de EBCI recibe un desembolso de varios miles de dólares, una cantidad basada en los ingresos de dos casinos de propiedad tribal. El ciberataque había retrasado esos pagos per cápita.
Huffman registró alrededor de 10 a 12 horas cada día en el esfuerzo de restauración. Por la noche, se alojó en un hotel cercano. Cada fin de semana, viajaba a su casa en Carolina del Sur. Durante su estadía, aprendió palabras Cherokee seleccionadas, como “Sgi”, que significa “gracias”.
“Conseguimos que sus cosas más críticas funcionaran primero. Luego comenzamos a abordar otras cargas de trabajo múltiples”, dice Huffman.
Un proyecto fue una actualización tecnológica completa en las estaciones de trabajo de los empleados del gobierno de EBCI. La tribu compró $2.1 millones en Superficie de Microsoft portátiles para sus empleados y equipados cada uno con Equipos de Microsoft. Eso permitió a los empleados trabajar de forma remota y segura semanas antes de que la pandemia de COVID-19 obligara al distanciamiento social.
“Después de la llegada de Elliot, hablamos un rato con él y, en ese momento, decidimos que todos estábamos en la nube”, recuerda Bill Travitz, el anterior director de TI de la tribu que ocupaba el cargo en el momento del ciberataque. “Una vez que tomamos la decisión de la nube, nunca miramos hacia atrás”.
Travitz, un veterano de TI de 37 años, es un verdadero evangelista para confianza cero arquitectura.
Ese conjunto de principios tiene sus raíces en la doctrina de que la seguridad de los datos no es simplemente una defensa perimetral, sino que debe verse en términos de personas, servicios y movimiento de datos, dice Travitz. Bajo el paraguas de confianza cero, los datos siempre se autentican y autorizan en todos los puntos de datos disponibles, incluida la identidad del usuario, la ubicación y el estado del dispositivo.
En la primavera de 2022, Travitz escribió un artículo en Revista TribalNettitulado «El Santo Grial de la seguridad moderna», que refleja el viaje de confianza cero de EBCI en el ecosistema de la nube de Microsoft.
“Tener cero confianza es un gran consuelo”, dice Travitz. “Sabemos que nuestra postura de seguridad es moderna. No voy a decir que nunca seremos hackeados, eso es una tontería. Pero en términos del daño que podrían causar, tiene un alcance muy limitado. Ahora duermo mejor por la noche”.
Con el sistema de TI de la tribu alojado en Azure y más protegido por Centinela de Microsoftque ve y ayuda a detener las amenazas antes de que causen daño, el equipo técnico de EBCI tiene «visibilidad total de quién hace qué, cuándo y dónde», dice Travitz.
“No hay un alma en esa organización que alguna vez volvería a ser como era”, agrega.
Después de la migración a la nube, Travitz a menudo recibía llamadas de líderes de TI en otras tribus de EE. UU. Preguntaron cómo EBCI logró una arquitectura de confianza cero. Travitz les dijo: «Fue nuestra asociación con Microsoft y Elliot el poder construir esas cosas».
Huffman dice: «Ahora son una de las naciones soberanas tecnológicamente más avanzadas y gobiernos maduros del planeta desde el punto de vista de la ciberseguridad y la implementación de la nube». Continúa trabajando con el EBCI según sea necesario.
No hace mucho, Sneed se tomó sus primeras vacaciones en unos seis años y viajó a México para relajarse y descansar. Junto con algo de ropa de playa, el jefe se llevó su computadora portátil para monitorear sus correos electrónicos de trabajo durante la escapada.
Pero cuando trató de leer esas correspondencias, el sistema de TI basado en Azure de la tribu lo detuvo en seco.
“Al principio, estaba enojado. Pero luego dije: ‘Oye, esto es bueno’. Intentaba iniciar sesión desde otro país y no me dejaba acceder a la red, punto. Entendí el motivo”, dice Sneed.
“Esta crisis puso al descubierto todas las áreas que pensábamos que eran seguras, todas las deficiencias. Mucha gente probablemente pensó, al igual que yo, que nunca nos pasaría a nosotros”.
Fotos de Madison Long.