Un ataque de ransomware contra la plataforma CodeRED obligó a desactivar el sistema legacy utilizado decenas de estados, filtró información personal de usuarios y forzó a municipios a recurrir a canales alternativos mientras se reconstruyen los servicios afectados.
Un ataque informático contra la plataforma de alertas de emergencia OnSolve CodeRED, administrada por la empresa Crisis24, provocó una interrupción prolongada del sistema en múltiples ciudades y condados de Estados Unidos, además de la exposición de datos de sus usuarios. La compañía confirmó que un grupo de ciberdelincuentes logró comprometer el entorno legacy del servicio, lo que obligó a desmantelar esa infraestructura y acelerar el despliegue de una nueva versión.
La plataforma afectada era utilizada por autoridades locales para emitir alertas sobre inundaciones, incendios, fugas químicas, incidentes de seguridad pública, órdenes de evacuación, personas desaparecidas y otros eventos críticos. La caída del sistema llevó a que municipios de estados como Colorado, Ohio, Texas, California, Massachusetts y Georgia avisaran a sus residentes que, por ahora, no recibirán notificaciones a través de CodeRED y que debían considerar vías alternativas.
El grupo INC Ransom se atribuyó la intrusión en un comunicado publicado en la dark web. La banda aseguró haber obtenido acceso a los sistemas de OnSolve el 1 de noviembre y desplegado ransomware el 10 de ese mismo mes, después de que las negociaciones no avanzaran. Según los atacantes, el proveedor solo habría estado dispuesto a pagar “100.000 dólares” para recuperar los archivos, algo que, según ellos, resultó insuficiente. Posteriormente, difundieron capturas de pantalla que incluirían datos de clientes, como contraseñas en texto claro, y declararon que están vendiendo los archivos robados.
Crisis24, por su parte, confirmó que el ataque “resultó en daños al entorno OnSolve CodeRED en una acción dirigida por un grupo criminal organizado” y que la información sustraída corresponde a una plataforma antigua. Entre los datos expuestos se encuentran nombres, direcciones, correos electrónicos, números telefónicos y contraseñas asociadas a perfiles de usuario. No obstante, varias ciudades recalcaron que el sistema no recolecta información financiera.
La empresa señaló que, aunque inicialmente no había evidencia de que los datos se hubieran publicado en línea, posteriormente verificaron que parte del material terminó circulando en la web. “Confirmamos que datos potencialmente asociados al entorno legacy de OnSolve CodeRED han sido publicados online”, indicó Crisis24, agregando que la investigación sigue en curso y que notificaron a las autoridades competentes.
La interrupción del servicio llevó a que algunos gobiernos locales consideraran cancelar sus contratos, mientras otros iniciaron el proceso de migración hacia la nueva versión de CodeRED. Sin embargo, la restauración no ha estado exenta de dificultades, ya que se hizo a partir de respaldos fechados al 31 de marzo, lo que significa que los usuarios registrados después de esa fecha deberán inscribirse nuevamente.
Varias comunidades han optado por depender temporalmente de redes sociales o del sistema federal administrado por FEMA (Emergencia de los Estados Unidos), para difundir alertas urgentes. En paralelo, Crisis24 afirmó haber realizado una auditoría de seguridad completa y pruebas externas para fortalecer la plataforma renovada, que por ahora ofrece funciones básicas de notificación utilizando datos telefónicos disponibles públicamente.
Pese a que las agencias locales insistieron en que sus sistemas internos no se vieron comprometidos, de todas formas recomendaron a los residentes cambiar cualquier contraseña que hayan reutilizado en otros servicios.