El grupo de ransomware Brain Cipher accedió al sistema RIBridges, administrado por Deloitte, afectando múltiples programas de asistencia pública. Como consecuencia del incidente fueron presentadas dos demandas colectivas contra la empresa Deloitte, responsable de la plataforma, por no proteger adecuadamente la información de las personas.
El sistema RIBridges de Rhode Island, clave en la gestión de programas sociales, sufrió un ataque cibernético a comienzos de este mes, lo que expuso datos personales de residentes. Deloitte, empresa responsable de administrar la plataforma, confirmó la presencia de malware y la probabilidad de que los actores de amenaza obtuvieran información sensible, incluidos nombres, fechas de nacimiento, números de Seguro Social e información bancaria.
El ataque, atribuido al grupo cibercriminal de ransomware Brain Cipher, fue inicialmente detectado el 5 de diciembre, cuando Deloitte informó al estado sobre una posible vulneración. Posteriormente, el 11 de diciembre, se confirmó la brecha de datos y, dos días después, el sistema fue desconectado para contener la amenaza.
Rhode Island informó que los beneficiarios de programas como Medicaid (salud), SNAP (Programa de Asistencia Nutricional Suplementaria), TANF (Asistencia Temporal para Familias Necesitadas), CCAP (Programa de asistencia para el cuidado infantil), y Rhode Island Works (Obras de Rhode Island) podrían verse afectados. Ante esto, el gobernador Daniel McKee instó a los residentes a tomar precauciones como congelar sus créditos, activar autenticación multifactor y mantenerse atentos ante posibles ataques de phishing.
Brain Cipher afirmó haber robado más de un terabyte de datos comprimidos del sistema RIBridges, inicialmente estableciendo como plazo de negociación hasta el 15 de diciembre, antes de filtrar la información. No obstante, la fecha límite se extendió, según medios locales.
Deloitte aclaró que el sistema afectado pertenecía a un cliente externo y no estaba dentro de su propia red. La empresa reiteró su compromiso de trabajar con Rhode Island para restablecer la operación del sistema lo antes posible.
Mientras tanto, el estado estableció una línea telefónica de atención para resolver dudas sobre el incidente, operativa 12 horas al día. Sin embargo, los operadores no pueden confirmar qué individuos fueron afectados ni proporcionar información sobre beneficios estatales o cobertura médica.
“Las familias cuyos datos personales han sido comprometidos recibirán una carta por correo con información sobre cómo acceder a servicios gratuitos de monitoreo crediticio”, señalaron las autoridades en un sitio web dedicado a informar sobre la brecha.
Los residentes que necesiten inscribirse en los programas afectados pueden hacerlo temporalmente mediante formularios en papel, mientras que las autoridades y Deloitte trabajan para restaurar el sistema de manera segura.
Tras la noticia de que la violación de datos de RIBridges probablemente comprometió la información personal identificable de los residentes de Rhode Island, fueron presentadas dos demandas colectivas contra Deloitte, alegando que la compañía «no protegió adecuadamente la información personal identificable confidencial de las personas que se mantiene en el sistema de Rhode Island conocido como RIBridges», esto de acuerdo a medios locales.
En las demandas se indica que Deloitte no habría implementado suficientes procedimientos y protocolos de ciberseguridad, y que la empresa mantuvo la información privada de una “manera imprudente”.
Sobre el incidente, Deloitte indicó a través de un portavoz que «al enterarnos de que un sistema estatal respaldado por Deloitte había sido atacado por un grupo cibercriminal internacional, iniciamos una investigación en colaboración con nuestro cliente y funcionarios encargados de hacer cumplir la ley”.
«Mientras se lleva a cabo la investigación, hemos demostrado durante la última década nuestro compromiso inquebrantable con el estado de Rhode Island y la gente a la que sirve. Seguiremos trabajando sin descanso para resolver este asunto», agregó el representante de la empresa.
El director digital del Rhode Island, Brian Tardiff, indicó por su parte que el sistema afectado, desarrollado y mantenido por la firma de contabilidad Deloitte, funciona como infraestructura de cara al cliente para servicios estatales como cupones de alimentos y Medicaid.
El funcionario indicó el lunes pasado que estaban “en contacto constante con Deloitte y están centrados en la respuesta a incidentes y las actividades de restauración, por lo que preveo que, como buen socio, estarían presentes en algún momento”. Lo último fue deslizado como una crítica contra la compañía, quienes no participaron de algunas reuniones de coordinación e información con los representantes del Estado.
Según el jefe TI estatal, por ahora “hay dos líneas de trabajo paralelas: la respuesta a incidentes, para garantizar que esto se solucione por completo, y los esfuerzos de planificación de la restauración, para que podamos restaurar el sistema de manera oportuna, de modo que sea estable y seguro”, pero no pudo estimar cómo será el cronograma de restauración o cuándo volverá a estar en línea el sistema comprometido, agregando que “estamos presionando a Deloitte para que responda esas preguntas”.