Una intrusión en los sistemas informáticos del distrito escolar de Los Ángeles comenzó más de un mes antes de lo que se reveló anteriormente y probablemente expuso información confidencial, incluidos los números de Seguro Social, de más de 500 personas que trabajaban para contratistas del distrito, según información presentada ante el estado. .
Como el distrito reveló anteriormente, la brecha de seguridad no parece extenderse a los registros de nómina y los números de Seguro Social de las decenas de miles de empleados del distrito. Un número no revelado de estudiantes matriculados en algún momento entre 2013 y 2016 y algunos empleados durante ese período parecen haber perdido información que incluye su fecha de nacimiento y dirección. Los distritos escolares de California no recopilan los números de Seguro Social de los estudiantes.
La información actualizada llega a través de un «Aviso de violación de datos» que, según la ley estatal, el segundo sistema escolar más grande del país debía enviar a las posibles víctimas.
Los funcionarios del distrito escolar el viernes no proporcionaron información sobre la cantidad de posibles víctimas. Además de tener que notificar a las víctimas, se debe presentar una carta de aviso ante el fiscal general del estado cuando el número de afectados supere los 500 residentes de California, el umbral obligatorio para la notificación pública.
Los funcionarios del distrito habían declarado previamente que habría un número pequeño pero aún no determinado de víctimas: «valores atípicos», como dijo el Superintendente. Alberto Carvalho los describió. Las víctimas serían notificadas y asistidas, agregó, al tiempo que enfatizó que la narrativa predominante era la de un peor desastre evitado.
Los piratas informáticos se llevaron alrededor de 500 gigabytes de datos, una cifra acordada tanto por los piratas informáticos como por el sistema escolar. Eso es una gran cantidad en comparación con lo que mantendría un usuario individual, pero una pequeña fracción de los datos bajo el control de LA Unified.
El robo de datos es solo una parte de un ataque. La segunda parte consiste en cifrar los sistemas informáticos para que sus usuarios no puedan acceder, paralizando la capacidad de realizar negocios cotidianos. Los piratas informáticos lograron encriptar servidores en la división de instalaciones del distrito, pero tuvieron un éxito limitado en otros lugares, a pesar de que las operaciones normales, incluida la instrucción en el aula y el mantenimiento de registros, fueron más difíciles durante aproximadamente dos semanas. Las escuelas nunca tuvieron que cerrar temporalmente, lo que sucedió en otros lugares cuando algunos sistemas escolares fueron atacados.
LA Unified se negó a pagar un rescate y los piratas informáticos respondieron liberando los datos que tenían en la web oscura, donde otros malos actores podrían usarlos para fines tales como el robo de identidad.
Los funcionarios del distrito han caracterizado públicamente durante meses que el ataque comenzó y terminó el 3 de septiembre, el sábado del fin de semana del Día del Trabajo. Los técnicos del distrito, cuando notaron el ataque, se movieron rápidamente y con éxito sustancial para limitar su alcance.
«De una manera muy, muy singular, detuvimos el ataque a mitad de camino», dijo Carvalho en una conferencia de prensa en octubre. «Eso es muy inusual. Lo que suele suceder es que la entidad se entera del ataque después de que la información fue capturada, cargada y los servidores del sistema [are] encriptado. … Puedo decirles que ha habido una serie de sistemas en este país que han sido víctimas de este mismo actor que no tuvieron tanta suerte».
La investigación de seguimiento determinó que una intrusión comenzó el 31 de julio.
“Entre el 31 de julio de 2022 y el 3 de septiembre de 2022, un actor no autorizado accedió y adquirió ciertos archivos mantenidos en nuestros servidores”, establece el aviso requerido, que se presentó ante el estado la semana pasada.
Los registros estatales indican que la brecha comenzó el 31 de julio y finalizó el 3 de septiembre.
El viernes, el distrito dijo que el escenario original de ataque de un día sigue siendo correcto.
“La investigación reveló que el actor de amenazas estaba involucrado en un reconocimiento el 31 de julio de 2022 o alrededor de esa fecha”, dijo un comunicado del distrito. «El ciberataque comenzó y terminó el 3 de septiembre de 2022».
Para los expertos en seguridad cibernética, la divulgación en la carta de aviso no fue una sorpresa. Habían predicho que una investigación descubriría que la intrusión en el sistema comenzó antes de lo anunciado.
«Los piratas informáticos suelen estar dentro de las redes durante semanas o incluso meses antes de implementar el ransomware que cifra los sistemas», dijo Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft. «Esto significa que hay una ventana de oportunidad durante la cual las amenazas pueden detectarse y neutralizarse antes de que se conviertan en incidentes de ransomware en toda regla».
«En términos simples, suceden muchas cosas antes de que los sistemas se bloqueen», agregó. «El pirata informático necesita hacer un reconocimiento, ingresar a la red, asegurarse de que pueda volver a ingresar, obtener acceso a otras áreas de la red, filtrar datos, etc., etc. Todos estos pasos requieren que haga ciertas cosas —y esas cosas se pueden detectar si las estás buscando».
Un informe de Emsisoft recientemente publicado indica que la cantidad anual de ataques cibernéticos conocidos en los sistemas escolares en 2022 fue casi la misma que en otros años recientes a pesar de «órdenes ejecutivas, cumbres internacionales, mayores esfuerzos para interrumpir el ecosistema de ransomware y la creación por parte del Congreso de un organismo interinstitucional, la Fuerza de Tarea Conjunta contra el Ransomware, para unificar y fortalecer los esfuerzos».
Pero no está claro si los ataques están causando un mayor daño, según el informe.
«Una disminución en el nivel de interrupción causado por los ataques o en la cantidad pagada en rescates podría considerarse una victoria, incluso si la cantidad de incidentes hubiera aumentado», afirma el informe, al tiempo que señala que los datos para llegar a tal conclusión no estaban disponibles en gran medida. .
El aviso de violación de datos del LAUSD contenía noticias desagradables para los contratistas del distrito según la investigación en curso.
«El 9 de enero de 2023, identificamos los documentos de cumplimiento laboral, incluidos los registros de nómina certificados, que los contratistas proporcionaron al Distrito Escolar Unificado de Los Ángeles en relación con los proyectos de la División de Servicios de Instalaciones», dice el aviso. «Esos archivos contenían los nombres, direcciones y números de Seguro Social de empleados de contratistas y subcontratistas y otras personas afiliadas».
Carvalho, quien se convirtió en superintendente hace casi un año, dijo recientemente que el distrito era más vulnerable debido a fallas prevenibles. Estos incluyeron no cumplir con las recomendaciones clave de una auditoría interna de seguridad cibernética que se preparó hace más de dos años, dijo.
2023 Los Ángeles Times.
Distribuido por Tribune Content Agency, LLC.
Citación: Los piratas informáticos penetraron las computadoras del LAUSD mucho antes de lo que se sabía anteriormente, encuentra la investigación del distrito (2023, 23 de enero) recuperado el 23 de enero de 2023 de https://techxplore.com/news/2023-01-hackers-penetrated-lausd-earlier-previously.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.