Ir al contenido principal

Después de un devastador ciberataque, la Banda Oriental de Indios Cherokee se convirtió en una de las naciones más avanzadas del mundo a nivel tecnológico

En un camino angosto y sinuoso en Great Smoky Mountains, una mujer joven perdió el control de su pequeño automóvil en medio de la noche. Su Ford Fiesta se salió del camino y se estrelló contra un árbol.

A pesar de llevar puesto el cinturón de seguridad, la mujer resultó con heridas de gravedad por el impacto y necesitó ayuda urgente. Estaba a solo 10 minutos de su casa en Cherokee, Carolina del Norte, donde la noticia del accidente pronto llegó a los paramédicos.

Pero había un gran problema en Cherokee, capital de la Banda Oriental de Indios Cherokee (EBCI, por sus siglas en inglés), una tribu reconocida a nivel federal de más de 16 mil miembros.

Horas antes, un ataque de ransomware contra la infraestructura de TI de la tribu había desconectado la red de la EBCI, incluido el despacho del 911 y el sistema de geolocalización utilizado por paramédicos y policías.

Como resultado, los socorristas de Cherokee se vieron obligados a pasar 18 minutos adicionales en la búsqueda de la conductora y su automóvil. Cuando la encontraron, la mujer había muerto a causa de sus heridas. Ella tenía 23 años.

US-441 en Cherokee, Carolina del Norte
Un ataque cibernético en 2019 desconectó el despacho del 911, lo que provocó un retraso en la llegada a un accidente automovilístico en esta carretera.

“¿Habría sobrevivido esa persona (sin la demora)? Quizás. No lo sabemos”, recuerda Richard Sneed, jefe principal de la EBCI. “Pero la realidad es que, cuando hay una emergencia, cada minuto cuenta. Y cuando te retrasas 18 minutos, esa es la vida de alguien”.

El ataque del 7 de diciembre de 2019 fue el resultado de las vulnerabilidades explotadas por los ciberdelincuentes rusos para cifrar todos los datos de la tribu. Los piratas informáticos también dejaron un archivo de texto en las computadoras de las víctimas, donde exigían que se pagara un rescate para poder recuperar los datos.

El trabajo de análisis forense digital llevó a la policía tribal a arrestar a un exempleado, quien presuntamente desempeñó un papel en el aumento de esas vulnerabilidades. Más tarde, un jurado lo encontró culpable de malversación de propiedad tribal, un delito grave. Los fiscales optaron por no presentar otros cargos, incluidos los cargos relacionados en específico con la interrupción del 911. Cumplió 454 días en la cárcel.

Se hizo algo de justicia, pero la violación cobró un alto precio. Además de retrasar la búsqueda de la conductora lesionada, el EBCI perdió una biblioteca de archivos de audio y video irremplazables en idioma Cherokee. Los miembros tribales trabajaron durante ocho meses para restaurar por completo todos los servicios básicos.

En última instancia, la compañía de seguros cibernéticos de EBCI pagó a los ciberdelincuentes rusos varios cientos de miles de dólares en rescate para descifrar los datos.

«Fue surrealista de principio a fin», dice Sneed. “Muy parecido al guion de una película”.

Antes del ciberataque, la EBCI había establecido una relación comercial con Microsoft, pero la tribu solo había implementado Microsoft Outlook en ese momento.

El ataque incitó a los líderes de EBCI a reevaluar toda su infraestructura de TI: dos bancos de servidores locales. Después de varias conversaciones con Microsoft, trasladaron su sistema de TI a Microsoft Azure para fortalecer la seguridad de los datos y prevenir mejor futuros ataques.

Para lograr esa migración a la nube, y comenzar a restablecer el despacho del 911 y otros servicios, los líderes de EBCI invitaron al arquitecto de soluciones en la nube de Microsoft, Elliot Huffman, a trabajar en el sitio en la sede tribal en Cherokee. Llegó en marzo de 2020.

“Un lugar en verdad hermoso”, dice Huffman. “Es una comunidad bulliciosa con pequeñas tiendas y las mejores vistas”.

Museo del indio cherokee
El traslado de EBCI a la nube ayudará a preservar piezas cruciales de la historia y la cultura tribales.

La ciudad de las colinas en el oeste de Carolina del Norte habita en las tierras natales tradicionales Cherokee. Una vez parte de la nación Cherokee mucho más grande, la Banda del Este descendió de unos 800 Cherokee que se resistieron a unirse al Sendero de las Lágrimas: desplazamientos federales forzados de unos 60 mil pueblos indígenas entre 1830 y 1850.

Esos antepasados ​​EBCI permanecieron en las tierras originales de Cherokee, escondiéndose en los bosques y colinas de Carolina del Norte. Durante la década de 1870, compraron ese mismo tramo de tierra, que se conoció como el límite de Qualla. Hoy en día, la tierra natal de EBCI se extiende por más de 50 mil acres.

La tribu es reconocida a nivel federal como una nación soberana con sus propias leyes, elecciones e instituciones de gobierno. Pero el sofisticado ataque cibernético diezmó esa base y desconectó a toda una nación en una noche.

Inmediatamente después del ataque, los líderes de EBCI declararon el estado de emergencia. Se pusieron en contacto con la Agencia de Infraestructura y Ciberseguridad de Estados Unidos, o CISA, por sus siglas en inglés, que forma parte del Departamento de Seguridad Nacional. Mientras tanto, el FBI y la Oficina de Investigaciones del Estado de Carolina del Norte ayudaron a realizar una investigación criminal.

Aun así, quedaban meses de trabajo por delante para reconstruir las funciones de TI de la tribu.

«Cuando llegué allí», recuerda Huffman, «pedían ayuda a gritos: ‘Perdimos todo'».

El hacker había encriptado cada computadora con una clave diferente. Esas claves fueron enviadas de regreso a una estructura de comando y control administrada por las contrapartes del pirata informático en Rusia. En pocas palabras, los malos poseían una base de datos con una lista de todas las máquinas, estaciones de trabajo y servidores de la red EBCI.

Con esa base de datos, los delincuentes construyeron una herramienta de descifrado universal, que podría usarse para revertir los efectos de los ataques. Después de que se pagó el rescate, los líderes de EBCI recibieron acceso a esa herramienta de descifrado y luego fueron máquina por máquina para recuperar la mayoría de sus datos.

Pero una pérdida irreversible involucró los archivos de audio y video de los miembros tribales que hablaban el idioma Cherokee. El EBCI había invertido 15 años en la recopilación de esas grabaciones, que demostraban la pronunciación y la inflexión correctas de las palabras cherokee, dice Sneed.

“Hay una manera de hablar el idioma y solo nos quedan unos 160 hablantes fluidos”, dice Sneed. “Esos datos se pierden y desaparecen para siempre. No tiene precio. Tiene un impacto cultural a largo plazo en el que no creo que la mayoría de la gente piense. Esto importa.»

Richard Sneed, jefe principal de la Banda Oriental de Indios Cherokee
Richard Sneed, jefe principal de la Banda Oriental de Indios Cherokee

El cambio de EBCI a la nube, dice Sneed, ayudará a preservar otras piezas cruciales de la historia y la cultura tribales.

En la primavera de 2020, Huffman comenzó a trabajar codo con codo con los empleados de TI de la tribu en el centro de operaciones de emergencia de EBCI. Profundizaron en las reparaciones del sistema y, pronto, en la migración a la nube.

“Luchamos para juntar todo”, dice Huffman.

Sus prioridades inmediatas: revivir tanto el despacho del 911 como el sistema financiero de la tribu. Dos veces al año, cada miembro de EBCI recibe un desembolso de varios miles de dólares, una cantidad basada en los ingresos de dos casinos de propiedad tribal. El ciberataque había retrasado esos pagos per cápita.

Huffman registró alrededor de 10 a 12 horas cada día en el esfuerzo de restauración. Por la noche, se alojaba en un hotel cercano. Cada fin de semana, viajaba a su casa en Carolina del Sur. Durante su estadía, aprendió palabras Cherokee seleccionadas, como “Sgi”, que significa “gracias”.

“Conseguimos que sus cosas más críticas funcionaran primero. Luego comenzamos a abordar otras cargas de trabajo múltiples”, dice Huffman.

Un proyecto fue una actualización tecnológica completa en las estaciones de trabajo de los empleados del gobierno de EBCI. La tribu compró $2.1 millones de dólares en computadoras portátiles Microsoft Surface para sus empleados y equipó a cada una con Microsoft Teams. Eso permitió a los empleados trabajar de forma remota y segura semanas antes de que la pandemia de COVID-19 obligara al distanciamiento social.

“Después de que llegara Elliot, pasamos un tiempo para hablar con él y, en ese momento, decidimos que todos estuviéramos en la nube”, recuerda Bill Travitz, el anterior director de TI de la tribu que ocupaba el cargo en el momento del ciberataque. “Una vez que tomamos la decisión de la nube, nunca miramos hacia atrás”.

Miembros del equipo de TI de EBCI.
El equipo de reconstrucción de TI de EBCI, de izquierda a derecha: Josh Oliver, Windall Toineeta, Rick Colcord, Doug Chase, Anthony Brown, Michael Lambert y Jeremy Brown.

Travitz, un veterano de TI de 37 años, es un verdadero evangelista de la arquitectura de confianza cero.

Ese conjunto de principios se basa en la doctrina de que la seguridad de los datos no es tan solo una defensa perimetral, sino que debe verse en términos de personas, servicios y movimiento de datos, dice Travitz. Bajo el paraguas de confianza cero, los datos siempre se autentican y autorizan en todos los puntos de datos disponibles, incluida la identidad del usuario, la ubicación y el estado del dispositivo.

En la primavera de 2022, Travitz escribió un artículo en la revista TribalNet, titulado «El Santo Grial de la seguridad moderna», que reflexiona sobre la jornada de confianza cero de EBCI en el ecosistema de la nube de Microsoft.

“Tener cero confianza es un gran consuelo”, dice Travitz. “Sabemos que nuestra postura de seguridad es moderna. No voy a decir que nunca seremos hackeados, eso es una tontería. Pero en términos del daño que podrían causar, tiene un alcance muy limitado. Ahora duermo mejor por la noche”.

Con el sistema de TI de la tribu alojado en Azure y protegido por Microsoft Sentinel, que ve y ayuda a detener las amenazas antes de que causen daño, el equipo técnico de EBCI tiene «visibilidad total de quién hace qué, cuándo y dónde», dice Travitz.

“No hay un alma en esa organización que alguna vez volvería a ser como era”, agrega.

Después de la migración a la nube, Travitz a menudo recibía llamadas de líderes de TI en otras tribus de Estados Unidos. Preguntaban cómo EBCI logró una arquitectura de confianza cero. Travitz les dijo: «Fue nuestra asociación con Microsoft y Elliot el poder construir esas cosas».

Huffman dice: «Ahora son una de las naciones soberanas más avanzadas a nivel tecnológico y uno de los gobiernos más maduros del planeta desde el punto de vista de la ciberseguridad y la implementación de la nube». Él continúa con su labor en la EBCI según sea necesario.

No hace mucho, Sneed se tomó sus primeras vacaciones en unos seis años y viajó a México para relajarse y descansar. Junto con algo de ropa de playa, el jefe se llevó su computadora portátil para monitorear sus correos electrónicos de trabajo durante la escapada.

Pero cuando trató de leer esas correspondencias, el sistema de TI basado en Azure de la tribu lo detuvo en seco.

“Al principio, estaba enojado. Pero luego dije: ‘Oye, esto es bueno’. Trataba de iniciar sesión desde otro país y no me permitía acceder a la red, punto. Entendí el motivo”, dice Sneed.

“Esta crisis puso al descubierto todas las áreas que pensábamos que eran seguras, todas las deficiencias. Mucha gente tal vez pensó, al igual que yo, que nunca nos pasaría a nosotros”.

Fotos por Madison Long.