Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Un programa de la Agencia de Seguridad de Infraestructura y Ciberseguridad que advierte a las organizaciones sobre ataques inminentes de ransomware ha sufrido un gran revés después de que su miembro principal abandonó la agencia en lugar de aceptar una reasignación forzada.
David Stern, la fuerza impulsora detrás de la Iniciativa de Notificación Pre-Ransomware (PRNI) de CISA, a través de la cual la agencia alerta a las organizaciones que los actores de ransomware se están preparando para cifrar o robar sus datos, renunció el 19 de diciembre, según cuatro personas familiarizadas con el asunto. El Departamento de Seguridad Nacional había ordenado a Stern tomar un trabajo en la Agencia Federal para el Manejo de Emergencias en Boston o renunciar, y Stern eligió lo último, dijeron tres de las personas.
La salida de Stern de CISA, reportada por primera vez por Cybersecurity Dive, podría obstaculizar significativamente uno de los programas de mayor impacto en una agencia que ya está bajo presión por una purga masiva de fuerza laboral, recortes a servicios clave y luchas de liderazgo vergonzosas.
Desde finales de 2022, CISA ha utilizado consejos de la comunidad de inteligencia, empresas de ciberseguridad y operadores de infraestructura de Internet para identificar las actividades preparatorias de los actores de ransomware en las redes informáticas de EE. UU. y advertir a sus propietarios que los actores de amenazas se están preparando para atacar. La agencia envió más de 1.200 avisos en 2023 y más de 2.100 avisos en 2024, ayudando a prevenir ataques de ransomware en sistemas de agua, servicios públicos de energía, organizaciones de atención médica, escuelas y otros operadores de infraestructura crítica.
Stern, el único empleado de CISA que envió esas notificaciones, “fue absolutamente fundamental para la seguridad nacional”, dijo una persona familiarizada con el asunto, quien, como los demás, solicitó el anonimato para hablar con franqueza. “Compartir esta información urgente con [CISA’s] Las partes interesadas de CI realmente solidificaron nuestras relaciones y demostraron que nos preocupamos por ellos”.
El trabajo de Stern «ha ahorrado a las empresas muchos miles de millones en daños evitados», dijo una segunda persona.
El programa de advertencia de ransomware se enfrenta a la incertidumbre
El destino de la iniciativa de advertencia ahora no está claro. En un comunicado, la directora de Asuntos Públicos de CISA, Marci McCarthy, dijo que el programa «no se ha detenido y continúa funcionando como un elemento clave en los esfuerzos de CISA para derrotar los ataques de ransomware». Una persona familiarizada con el asunto dijo que la agencia está preparando a varios miembros del personal para reemplazar a Stern. Pero otros dijeron que el programa dependía en gran medida de las relaciones de confianza de Stern con las organizaciones que alertan a CISA sobre ataques de ransomware pendientes.
«Dave tiene relaciones que no serán transferibles a alguien nuevo», dijo la segunda persona familiarizada con el asunto.
Una tercera persona dijo que el programa de ransomware «depende completamente de los consejos de la comunidad de investigadores de ciberseguridad», con la que Stern «tenía una relación fantástica».
La destitución de Stern ha exacerbado las crecientes tensiones entre CISA y sus socios, según una cuarta persona familiarizada con el asunto.
«Este programa se basó principalmente en información de grupos fiduciarios administrados por entidades del sector privado», dijo esta persona, «y están reevaluando cómo quieren interactuar con CISA».
CISA se negó a comentar específicamente sobre la partida de Stern. McCarthy dijo que la agencia estaba “centrada directamente en ejecutar su misión estatutaria” y estaba “entregando inteligencia de amenazas cibernéticas oportuna y procesable, apoyando a socios federales, estatales y locales, y defendiéndose contra amenazas cibernéticas criminales y de estados-nación”.
Otros empleados de CISA son responsables de contactar a las empresas que han sido pirateadas, pero el PRNI es la única operación de la agencia enfocada en prevenir los ataques de cifrado y extorsión que han paralizado a las pequeñas empresas e interrumpido los servicios vitales en todo Estados Unidos.
«El trabajo de PRNI es uno de los trabajos de mayor impacto que realiza CISA y ha ahorrado a las empresas estadounidenses miles de millones de dólares al exponerlas a ataques de ransomware antes de que ocurran», dijo la segunda persona familiarizada con el asunto. «Ninguna otra agencia federal está haciendo este trabajo».
Derrocado después de contribuciones clave
Stern recibió su reasignación a FEMA poco antes del cierre del gobierno que comenzó el 1 de octubre y pasó meses luchando contra él, según la segunda persona familiarizada con el asunto. “Hubo un montón de idas y vueltas e intentos de rescindirlo”, dijo esta persona, “pero al final le dijeron que se mudara a [Massachusetts] o dimitir y dimitió el viernes”.
Cybersecurity Dive no pudo comunicarse con Stern para hacer comentarios.
En una entrevista con el Instituto SANS En agosto, Stern dijo que el número total de notificaciones de ransomware había llegado a 4.300, incluidas advertencias a al menos 60 gobiernos extranjeros sobre ataques inminentes a sus organizaciones.
CISA estima que sus notificaciones han ahorrado a las víctimas más de $9 mil millones en daños económicos potenciales, dijo Stern, una cifra que incluye interrupciones operativas, costos de respuesta a incidentes y litigios.
«Esperamos seguir haciendo que el modelo de negocio de ransomware sea lo más insostenible posible, trabajando con nuestros socios», dijo Stern en agosto. «Esperamos hacer mella y tener un impacto».
Fuente