Cuando una ciudad estadounidense entera fue paralizada por ransomware - La realidad del ciberataque de Saint Paul

Seguridad
https://es.andytips.com/posts/2025/saint-paul-ataque-ransomware-interlock-caso-estudio-2025/
Índice

El pasado julio, un ataque de ransomware absolutamente devastador golpeó Saint Paul, Minnesota, causando uno de los peores incidentes de ciberseguridad en la historia municipal estadounidense.
Los sistemas informáticos de toda la ciudad quedaron paralizados, las comunicaciones de red fallaron, los ciudadanos no podían pagar sus facturas de agua, las bibliotecas perdieron acceso a Wi-Fi, e incluso los empleados municipales no podían trabajar.

Resultó ser un ataque de ransomware orquestado por un grupo de hackers llamado “Interlock.”
Lo más indignante es que cuando la ciudad se negó a pagar sus demandas, estos criminales publicaron 43GB de datos ciudadanos en Internet.

Examinemos exactamente qué pasó y qué podemos aprender de ello.

Cómo empezó todo

Me topé con esta historia mientras navegaba por noticias de seguridad.
Hemos estado sufriendo ataques de ransomware en Corea últimamente, así que he estado siguiendo lo que pasa en otros lugares. ¿Pero esto? Esto fue otro nivel.
Una ciudad estadounidense entera puesta de rodillas. No podía creerlo.

¿Te imaginas cómo se siente tener una ciudad entera paralizada?
Cuando pensé en ello, fue realmente aterrador.
Todos los servicios digitales que damos por sentado en la vida diaria se vuelven inútiles de repente en un instante.
(Quiero decir, ¿podemos siquiera funcionar sin Internet ya?)

Cronología del ataque

Así es como todo se desarrolló, día a día.

  • 22 de julio de 2025: La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) emite advertencia sobre el grupo ransomware Interlock
  • 25 de julio de 2025: Los sistemas de seguridad automatizados de Saint Paul detectan por primera vez “actividad sospechosa” y comienza el ataque
  • 25-27 de julio de 2025: El ataque continúa durante todo el fin de semana, el daño al sistema se intensifica
  • 27 de julio de 2025: Las autoridades municipales apagan completamente todos los sistemas de información para evitar más daños
  • 28 de julio de 2025: Wi-Fi del Ayuntamiento y bibliotecas públicas apagado, herramientas de pago en línea desactivadas, acceso a la red interna suspendido (los servicios de emergencia 911 (número de emergencia estadounidense) permanecen operativos)
  • 29 de julio de 2025: El alcalde Melvin Carter declara oficialmente estado de emergencia local / El gobernador Tim Walz activa el equipo de protección cibernética de la Guardia Nacional de Minnesota / El FBI lanza investigación y despliega dos firmas de ciberseguridad nacionales
  • 30 de julio de 2025: La ciudad anuncia que los salarios de los empleados se pagarán normalmente a pesar del cierre del sistema de nómina
  • 1 de agosto de 2025: El Consejo Municipal de Saint Paul decide unánimemente extender el estado de emergencia por 90 días
  • 8 de agosto de 2025: Procesamiento manual de nómina completado, todos los empleados pagados normalmente
  • 10 de agosto de 2025: Atacante identificado como el grupo ransomware ‘Interlock’ confirmado oficialmente / Comienza la operación de recuperación “Operation Secure St. Paul” (restablecimientos de contraseña y verificaciones de equipo para aproximadamente 3,500 personas)
  • 11 de agosto de 2025: La ciudad anuncia oficialmente el rechazo de las demandas de rescate / Interlock se venga publicando 43GB de datos robados en la dark web (principalmente documentos del Departamento de Parques y Recreación) / Anuncia servicio gratuito de monitoreo de crédito de 12 meses para todos los empleados
  • 12 de agosto de 2025: Operación Secure St. Paul Fase 1 completada (más de 2,000 personas procesadas)
  • Finales de agosto de 2025: Servicios telefónicos, pagos de facturas de agua en línea, sistemas de pago de parques y recreación comienzan recuperación gradual

Julio 2025: Fallo del sistema de Saint Paul

Las primeras señales sospechosas en Saint Paul fueron detectadas el viernes por la mañana, 25 de julio de 2025.
Los sistemas de seguridad automatizados de la ciudad detectaron “actividad sospechosa.” Pero ya era demasiado tarde.

El ataque de los hackers continuó durante todo el fin de semana. Del 25 al 27 de julio, toda la ciudad estuvo esencialmente bajo asedio digital.
Para prevenir más daños, las autoridades municipales tomaron la drástica decisión de apagar todos los sistemas de información el domingo 27 de julio.

¿Cuáles fueron las consecuencias?
El Wi-Fi del Ayuntamiento y las bibliotecas públicas se apagó completamente, y los sistemas de pago en línea quedaron totalmente paralizados.
Los ciudadanos no tenían manera de pagar sus facturas de agua.

Lograron mantener el 911 (número de emergencia estadounidense) funcionando - lo cual, ya sabes, es bastante crítico.
¿Pero todos esos otros servicios de los que la gente depende? Pagos de facturas de agua,
registros municipales, sistemas internos… todo fuera de línea.

Estado de emergencia

El 29 de julio, el alcalde de Saint Paul, Melvin Carter, decidió que no podían aguantar más.
Anunció oficialmente que esto no era solo un simple error del sistema, sino más bien “un ataque digital intencional y coordinado por actores externos sofisticados.”

Declaró inmediatamente un estado de emergencia local.
Esto muestra lo grave que se había vuelto la situación.

El gobernador de Minnesota, Tim Walz, también emitió una orden ejecutiva esa noche, desplegando el equipo de protección cibernética de la Guardia Nacional de Minnesota.
La razón oficial fue que “la escala y complejidad del ataque excedieron las capacidades de respuesta de la ciudad.”
Piénsalo - desplegar la Guardia Nacional por un ciberataque a una ciudad… eso es absolutamente sin precedentes.

El FBI se involucró. Dos grandes firmas de ciberseguridad también. Todos corrían despavoridos.

La identidad de Interlock

No fue hasta el 10 de agosto que se reveló la identidad de los atacantes.
En una conferencia de prensa, el alcalde Carter reveló que fue obra de un grupo de ransomware llamado “Interlock.” (Lo cual, honestamente, tomó mucho más tiempo de lo que pensarías.)

Interlock no es cualquier grupo de hackers.
La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) había emitido una advertencia sobre ellos solo tres días antes del ataque.
El alcalde Carter los describió como “una organización sofisticada, motivada financieramente, que tiene como objetivo corporaciones, hospitales y agencias gubernamentales, robando y vendiendo terabytes de información sensible.”

Su demanda era simple:
Páganos dinero.

¿La cantidad exacta? Nadie lo dice. Pero St. Paul no cedió.
Y ahí fue cuando las cosas se pusieron feas.

Represalias y filtración de datos ciudadanos

Cuando la ciudad se negó a pagar el rescate, comenzó la represalia de Interlock.
El 11 de agosto, publicaron 43GB de datos robados de Saint Paul en Internet.

Afortunadamente, la mayoría de los datos filtrados eran de las unidades compartidas del Departamento de Parques y Recreación.
Incluían documentos de trabajo, copias de identificaciones que los empleados habían enviado a Recursos Humanos, e incluso recetas de cocina personales - descritos como materiales “diversos y no sistemáticos.”

Pero sin saber qué más podría filtrarse, la ciudad tuvo que tranquilizar a sus ciudadanos.
La ciudad anunció que proporcionaría a todos los empleados 12 meses de monitoreo de crédito gratuito y servicios de protección contra robo de identidad.
Esta fue una medida de precaución en caso de que información más sensible hubiera sido comprometida.

Lanzamiento de la operación de recuperación

Para restaurar sus sistemas, Saint Paul lanzó una operación masiva.
Llamada “Operation Secure St. Paul,” este esfuerzo requirió que todos los aproximadamente 3,500 empleados municipales se reunieran en el sótano del Roy Wilkins Auditorium y hicieran fila frente a unos 80 computadoras instaladas allí.

Los empleados tenían que presentar sus identificaciones y números de empleado, pasar aproximadamente 30 minutos restableciendo contraseñas y someterse a verificaciones de seguridad en sus laptops de trabajo.
Este proceso continuó durante tres días del 10 al 12 de agosto, de 6 AM a 10 PM.
Fue un reinicio completo. Deben haber tenido un momento increíblemente difícil.

Solo después de restablecer toda la información de cuenta
pudieron comenzar a reiniciar los sistemas uno por uno.

¿Qué es el ransomware?

Repaso rápido sobre ransomware, en caso de que no estés familiarizado.

Es básicamente toma de rehenes digital.
El software se infiltra en tu sistema, bloquea todos tus archivos importantes con encriptación, y luego - aquí está el truco - exige pago para desbloquearlos.
Del tipo “paga o pierde todo”.

Los atacantes de ransomware de hoy se han vuelto más astutos.
No solo encriptan archivos - roban datos importantes de antemano.
Así que cuando las víctimas se niegan a pagar, añaden otra amenaza: “Entonces publicaremos la información personal de tus clientes o ciudadanos en Internet.”

Esto se llama “Doble Extorsión.”

Los motivos de los criminales

Entonces, ¿por qué estos criminales invierten tanto tiempo y esfuerzo en estas infecciones?

Dinero, obviamente.
Estos ataques generan mucho dinero - estamos hablando de cientos de miles, a veces millones por golpe. Cuando apuntas a hospitales o gobiernos municipales, la recompensa puede ser masiva.
Por eso todos se están subiendo al tren.

Luego está todo este asunto del RaaS - Ransomware as a Service.
Piensa en modelo de franquicia: grandes grupos como Interlock construyen las herramientas, hackers más pequeños
ejecutan los ataques reales, todos comparten las ganancias.
Un arreglo tipo “yo me encargo de la tecnología, tú haces el trabajo sucio”.

La criptomoneda también lo hizo más fácil.
Los pagos en Bitcoin son casi imposibles de rastrear, así que los criminales se sienten mucho más seguros exigiendo rescates de esta manera.

¿Y honestamente? Todavía hay toneladas de objetivos fáciles por ahí.
Gobiernos locales, pequeñas empresas - muchos no invierten lo suficiente en seguridad.
Piensan “no nos pasará a nosotros” hasta que pasa.
Entonces es demasiado tarde.

Y todavía hay muchos objetivos con ciberseguridad débil.
Especialmente los gobiernos locales y pequeñas empresas a menudo tienen inversiones de seguridad insuficientes, facilitando que los hackers penetren.
Piensan “no nos pasará nada grave…” y se vuelven complacientes, luego quedan completamente devastados cuando son atacados una vez.

Aquí está la cosa sobre ciberseguridad: Si un hacker realmente quiere entrar,
eventualmente lo logrará. Cada sistema tiene vulnerabilidades.
La pregunta no es “¿pueden entrar?” sino “¿cuánto tiempo les tomará?” Una seguridad fuerte te da tiempo - a veces suficiente para que se rindan y sigan adelante.

Lo que podemos hacer

Entonces, ¿cómo podemos protegernos de tales ataques?

Los respaldos son tu red de seguridad.
Guarda copias de archivos importantes en discos externos o almacenamiento en la nube - en algún lugar separado de tu sistema principal.
De esa manera, si el ransomware golpea, no estás completamente jodido.
Solo una cosa: no dejes los discos de respaldo conectados permanentemente a tu computadora.
También pueden ser encriptados si el malware se propaga.
Sí, es un poco molesto desconectarlos cada vez, pero vale la pena.

Mantén todo actualizado.
Lo sé, lo sé - las notificaciones de actualización son molestas.
Pero esos parches de seguridad existen por una razón.
Cuando tu sistema operativo o software te solicita actualizar, no lo pospongas.
Los hackers buscan específicamente sistemas que ejecutan software desactualizado con vulnerabilidades conocidas.
Adquiere el hábito de instalar actualizaciones tan pronto como estén disponibles.

Trata los correos sospechosos como veneno.
Aquí está la cosa - la mayoría del ransomware no aparece mágicamente en tu computadora.
Necesita que lo dejes entrar, generalmente a través de un correo de phishing.
¿Ese archivo adjunto de alguien que no conoces? Bórralo.
¿Ese enlace en un mensaje extraño? No hagas clic.
Si algo se siente raro en un correo, probablemente lo es.
Confía en tus instintos.

Usa contraseñas fuertes y habilita la autenticación de dos factores.
Contraseña diferente para cada cuenta - sí, es una molestia recordarlas todas, pero para eso existen los administradores de contraseñas.
Y activa la autenticación de dos factores donde sea posible.
Añade una capa extra que hace la vida mucho más difícil para los atacantes que intentan entrar en tus cuentas.

Hazte un objetivo difícil.
Aquí está algo que los expertos en seguridad saben: si un hacker determinado realmente quiere entrar en un sistema específico, eventualmente encontrará una manera.
Pero aquí están las buenas noticias - la mayoría de los hackers no son tan pacientes.
Buscan victorias fáciles, no desafíos.
Así que apila las medidas de seguridad.
Contraseñas fuertes, autenticación de dos factores, software actualizado, configuración de firewall - todo.
Haz tu sistema lo suficientemente molesto para descifrar, y los hackers generalmente pasarán a objetivos más fáciles.
Están dirigiendo un negocio, después de todo.
El tiempo es dinero, incluso para los criminales.

Conciencia de seguridad diaria

En realidad, me encontré reflexionando mucho mientras investigaba este incidente de Saint Paul.
Creo que he sido demasiado complaciente sobre la ciberseguridad en mi vida diaria.

Nuestras vidas diarias son inseparables de la tecnología digital, ¿verdad?
Desde la banca por Internet hasta las compras, redes sociales y trabajo…
Casi todo se hace en línea, pero nuestro interés en la seguridad ha sido deficiente.

Especialmente el pensamiento “¿quién hackearía a una persona ordinaria como yo?” parece realmente peligroso.
El ransomware a menudo se propaga indiscriminadamente en lugar de apuntar a individuos específicos.
Es como lanzar una red amplia para atrapar cualquier pez que caiga.

También me di cuenta de que si soy atacado, no debería ocultarlo ni intentar resolverlo solo.
Como hizo Saint Paul, debería pedir ayuda abiertamente y trabajar con expertos para resolverlo.

A través de este incidente de ransomware de Saint Paul, he ganado una nueva apreciación por lo importante que es la ciberseguridad.
Fue impactante que una ciudad entera pudiera ser paralizada, y aterrador que tales ataques se estén volviendo cada vez más sofisticados.

Así que sí, esa es la historia de St. Paul. Aterrador, ¿verdad?

¿Cómo se ve tu configuración de seguridad? ¿Tienes historias de terror o consejos para compartir?
Déjalos en los comentarios - me encantaría escuchar lo que todos ustedes piensan sobre todo esto.