Cómo las pequeñas vulnerabilidades se convierten en una receta para el desastre

Blog post 9 abril 2021 by Max van der Linden, Analista de Seguridad en Bureau Veritas Cybersecurity

Como habrá oído, el municipio Hof van Twente ha sido víctima recientemente de un ataque de ransomware, que ha provocado la paralización casi total de su actividad. Un ataque de ransomware básicamente rompe o bloquea archivos importantes y sólo los restaura cuando se paga una gran suma de dinero.

Adobe Stock 157071653

NFIR ha realizado una investigación forense del caso, el informe publicado* se ha utilizado como base para este blog. Este blog pretende proporcionar una visión general de alto nivel de la trayectoria de los acontecimientos que condujeron al ataque y mostrar que las vulnerabilidades que pueden parecer insignificantes al principio pueden tener un gran impacto cuando se encadenan.

El9de noviembre de 2020 los hackers obtuvieron el initial access forzando de forma bruta el acceso de escritorio remoto (RDP) de un servidor FTP. Esto puede parecer complejo, pero esencialmente los hackers encontraron un ordenador que almacena archivos/documentos. Este ordenador ofrecía la opción de iniciar sesión y controlar el sistema de forma remota, así que los hackers empezaron a adivinar el nombre de usuario y la contraseña intentando iniciar sesión millones de veces con diferentes nombres de usuario y contraseñas, hasta que finalmente encontraron la cuenta "testadmin" con la contraseña "Welkom2020" y pudieron iniciar sesión. El "test" en "testadmin" implica que se trataba de una cuenta creada con fines de prueba.

Mando y control

La cuenta "testadmin" tenía el mayor nivel de acceso dentro de la organización, lo que permitió a los piratas informáticos moverse libremente por la red y ejecutar sus acciones maliciosas. Los hackers habían accedido a un total de nueve servidores, de los cuales utilizaron cuatro para establecer una conexión con su propio servidor de mando y control. El servidor de mando y control es esencialmente un sistema controlado por los hackers que envía órdenes a los cuatro servidores de la red Hof van Twente, a los que ahora se puede "ordenar" que ejecuten ataques desde dentro.

Como los hackers tenían ahora una forma de "Comandar y Controlar" cuatro sistemas de la red, eliminaron el acceso RDP del servidor FTP. En otras palabras, los piratas informáticos cerraron y bloquearon la puerta trasera que habían utilizado para obtener inicialmente el acceso, ya que dejar la puerta abierta podría levantar sospechas o permitir que otros obtuvieran el mismo acceso.

Adobe Stock 252116838 copy

Es la hora del espectáculo Ejecución del ataque

Ahora que los hackers tenían acceso a la red interna y habían borrado su vía de entrada inicial era el momento de ejecutar el ataque de ransomware. A las 10 de la noche, cuando los hackers esperaban que no hubiera nadie en la oficina para interferir, empezaron a bloquear sistemas y a borrar 89 servidores virtuales hasta que sólo quedaron vivos los sistemas necesarios para hacer funcionar técnicamente la red. Tómese un momento para imaginar lo que esto significaría en su organización, en esencia, todo lo almacenado en la sala de servidores ha desaparecido.

Los piratas informáticos dejaron un indicio de que no se trataba sólo de un fallo técnico. Cuando las Personas entraron en la oficina observaron notas de rescate impresas en algunas de las impresoras. Además, los hackers dejaron copias digitales de estas ransom-notes en los sistemas afectados. Las notas de rescate suelen contener instrucciones sobre lo que debe hacer una empresa para recuperar sus datos y sistemas, que en general se reducen a: "Pague mucho dinero y le daremos las claves para desbloquearlo todo de nuevo".

Adobe Stock 270049183

En varios momentos del periodo de compromiso podría haber habido oportunidades de detectar el ataque. Para dar una idea de la cronología, el primer inicio de sesión con éxito de los hackers se produjo el 9 de noviembre. Fue el 30 de noviembre cuando se ejecutó el ataque real. Esto dio una ventana de aproximadamente 20 días en la que este ataque podría haber sido detenido. Por ejemplo, en un momento dado los hackers instalaron un software en el servidor FTP para enviar spam. Este spam fue bloqueado por el cortafuegos. La instalación del software y el bloqueo de este spam podrían haber sido un indicador temprano de que algo iba mal en la red.


Si los hackers de Hof van Twente hubieran redactado un informe, probablemente habrían incluido las siguientes conclusiones:

  • Riesgo medio - Interfaces de administración disponibles desde Internet
  • Riesgo medio - Falta de capacidad de detección.
  • Riesgo medio - Política de contraseñas débil.
  • Riesgo medio - Privilegios excesivos para las cuentas.
  • Riesgo medio - Ausencia de autenticación multifactor en las cuentas de usuario.
  • Riesgo medio - Falta de segmentación de la red.
  • Riesgo bajo - Cuentas de prueba en el entorno de producción.
  • Riesgo bajo - Copia de seguridad conectada a la red.
  • Riesgo bajo - Cuentas no asociadas a personas concretas.


Observe cómo se trata en su mayoría de hallazgos de riesgo medio y bajo, lo que da una sensación de "se necesita alguna mejora, pero no es para tanto". Sin embargo, al encadenarlos, se llegó a una situación crítica con una paralización casi total de la empresa.

Las valiosas lecciones aprendidas

Ahora se estará preguntando, es una bonita historia de terror, pero ¿cómo puedo evitar que esto le ocurra a mi organización? Bueno, al analizar este escenario específico hay algunas recomendaciones que podrían hacerse:

  • Asegúrese de que las interfaces administrativas no son accesibles desde Internet a menos que sea absolutamente necesario.
  • Implemente mecanismos de detección que alerten a la organización cuando ocurran "cosas extrañas" en la red.
  • Implemente una política de contraseñas segura, con autenticación multifactor.
  • Asegúrese de que las cuentas sólo tienen la cantidad mínima de privilegios que necesitan para su propósito previsto.
  • Las cuentas utilizadas en un entorno de aceptación no deben tener acceso a producción, ya que ambos entornos tienen un nivel de seguridad diferente.
  • Implemente la segmentación de la red para evitar el salto de servidores de bajo perfil a servidores de alto perfil.
  • Utilice siempre cuentas de usuario con nombre para evitar que se compartan las contraseñas y aumentar la trazabilidad.
  • Asegúrese de que haya al menos una copia de seguridad que no esté conectada a la red.
Adobe Stock 167813129

Arreglar cualquiera de estas vulnerabilidades habría roto la cadena y aumentado enormemente la dificultad de este ataque.


Es muy aconsejable que una empresa de security testing como Secura compruebe este tipo de vulnerabilidades para evitar que los atacantes puedan formar una cadena de ataque de este tipo.

Secura conoce las trampas más comunes y puede asesorarle sobre dónde encontrarlas y cómo mitigarlas. Aumentar el nivel de seguridad de la organización en un lenguaje que puedan entender los distintos niveles de conocimientos tecnológicos (desde el desarrollo hasta la dirección)


"La mejor forma de defenderse de los hackers es utilizando hackers".

¿Le interesa saber más sobre los ataques de Ransomware como el de Hof van Twente y cómo se desarrollan en el dominio público? Obtenga más información sobre el Ransomware, la mentalidad del hacker, cómo prevenir estos ataques y mucho más en nuestro seminario web anterior sobre Ransomware aquí.

Youtube banner template webinars Ransomware webinar example