Noticias Encuentros A Fondo Opinión Entrevistas Casos de éxito Vídeos Administración Pública Guía TIC Premios Computing

noticias

Lecciones aprendidas tras el ataque del ransomware Rhysida al Puerto de Seattle

Home Seguridad
Dirección copiada

El Puerto de Seattle experimentó un ciberataque hace un año que puso en jaque sus operaciones y estrategias de detección y respuesta. Ronald Jimerson, CISO del Puerto, compartió las revelaciones clave sobre los atacantes, las interrupciones que sufrieron y los cambios fundamentales que se implementaron tras el incidente en el marco del 19ENISE, en León

Publicado el 23 oct 2025
Ransomware
Ronald Jimerson, CISO del Puerto de Seattle, en ENISE19 (León).

El 24 de agosto de 2024, el ransomware conocido como Rhysida colocó al Puerto de Seattle, en Estados Unidos, en el ojo del huracán con un ataque que impactó en las operaciones portuarias esenciales, afectando a la cadena de suministro y causando retrasos significativos en el comercio internacional. Este ataque también alcanzó al Aeropuerto Internacional de Seattle-Tacoma, interrumpiendo varios de sus sistemas.  

Poco más de un año después, Ronald Jimerson, CISO del Puerto, analiza el ataque y desgrana cómo estructuraron su defensa destacando la necesidad de acelerar la modernización de las estrategias de seguridad a causa de la cada vez mayor sofisticación de las amenazas y las profundas disrupciones causadas en el marco de 19ENISE, en León.

La naturaleza del adversario

Según las investigaciones, se cree que los atacantes provienen de Europa Oriental, territorios pertenecientes a la antigua Unión Soviética. Estos actores suelen apuntar a organizaciones gubernamentales e infraestructuras críticas, aunque también han atacado a la industria médica y, recientemente, la Administración del departamento de Transporte en Maryland, Estados Unidos.

Jimerson destacó la naturaleza empresarial de estos grupos, señalando que «el ransomware, a menudo, se ofrece como un servicio (Ransomware as a Service – RaaS), lo que permite a individuos con poca experiencia lanzar ataques, respaldados por servicio y soporte». Esto ha contribuido a que se produzca un aumento significativo en los ataques de ransomware, sin ir más lejos, «estos ataques han aumentado un 56% en el primer trimestre del año», según datos del CISO.

El ataque sirvió como una oportunidad para mejorar radicalmente sus sistemas mediante un plan de modernización y resiliencia de tres años que se completó, aproximadamente, en seis meses

Los atacantes de Rhysida demostraron ser «muy sofisticados y pacientes«. Sus tácticas incluyen el phishing, la instalación de malware y el uso de kits para llevar a cabo tácticas de movimiento lateral para moverse dentro de la red ya comprometida de la empresa con el fin de encontrar vulnerabilidades y obtener privilegios de acceso más altos. Una vez dentro, «los ciberdelincuentes actúan con minuciosidad y paciencia, construyendo una hoja de ruta de la arquitectura de la organización. Sin embargo, su ejecución final es rápida y automatizada, e incluso borran registros (loggings) para dificultar el análisis forense». En este sentido, «los equipos de atacantes están bien organizados, dividiendo sus tareas entre la extracción de datos y la limpieza de todo rastro que puedan ir dejando», añadió Jimerson.

Disrupción operacional inmediata

Como respuesta inmediata al ataque, el Puerto de Seattle tuvo que cortar la conexión de sus sistemas con internet, con la consiguiente interrupción de servicios y capacidades esenciales. Entre la interrupción de servicios críticos, tanto en el puerto de Seattle como en el aeropuerto de Seattle-Tacoma, Ronald Jimerson destacó:

  • Los sistemas de comunicación: Se perdió el wifi y los sistemas telefónicos.
  • Las operaciones del aeropuerto: La interrupción del sistema obligó al personal del aeropuerto a escribir manualmente los pases de abordo (boarding pass) para las aerolíneas.
  • Seguridad física: Los sistemas de alarma, las cámaras de seguridad y algunos sistemas de seguridad personalizados dejaron de funcionar. Esto requirió enviar personal para que acudiera físicamente a ciertas ubicaciones para garantizar la protección y el acceso a las instalaciones.
  • Funciones esenciales de TI: El Active Directory se vio comprometido. Se perdió el acceso a bases de datos críticas, la capacidad de realizar funciones de trabajo en sistemas de cliente, ya que dependían de internet; y la capacidad de realizar GIS y mapeo. Sorprendentemente, la impresión se convirtió en un gran desafío dadas las diversas operaciones y procesos que requerían presentar información en papel.
  • Impacto financiero: La capacidad de la organización para gestionar el presupuesto, pagar a empleados, honrar gestionar contratos y manejar la facturación también se vio afectada.

No obstante, si hubo un sistema que se convirtió en una prioridad crítica durante el ataque fue el sistema de equipaje, «cuya caída provocó una gran confusión y requirió una rápida restauración para permitir el movimiento del tráfico de pasajeros».

Puerto de Seattle, Estados Unidos.

Respuesta, coordinación y la decisión de no pagar

La respuesta inmediata ante el ciberataque involucró al departamento de TI, al de seguridad de la información y el departamento legal del Puerto de Seattle, que «se movilizaron de inmediato y activaron un Centro de Operaciones de Emergencia (EOC) para centralizar la información y coordinar las decisiones. También utilizaron el Sistema Nacional de Gestión de Incidentes (NIMS) para una actuación más ordenada».

Jimerson señaló que el Puerto se asoció con Microsoft para realizar el análisis forense inicial, y con un tercer proveedor externo para el análisis del impacto a gran escala. Durante la crisis, el Puerto de Seattle también contó con el apoyo y la información del FBI y dos organizaciones federales, lo que ayudó a comprender la naturaleza de la amenaza y los servicios que podían ofrecer.

Respecto a la demanda de rescate, el Puerto contrató servicios legales externos para gestionar la comunicación con los ciberatacantes. Después de realizar un análisis de coste-beneficio y riesgo, la organización tomó la decisión de no pagar el rescate de 5,8 millones de dólares que les pedían los ciberdelincuentes. Jimerson explicó que esta decisión se basó en «sus valores fundamentales y en la preocupación por cómo el pago podría dañar la reputación y la confianza pública».

Lecciones aprendidas y modernización acelerada

El CISO del Puerto de Seattle celebró que el ataque sirvió como una oportunidad para mejorar radicalmente sus sistemas mediante un plan de modernización y resiliencia de tres años que se completó, aproximadamente, en seis meses. Las principales lecciones que aprendieron y mejores que aplicaron en el Puerto tras el ciberataque fueron:

Acelerar la modernización

Migraron completamente de plataformas legacy, -como Windows 10, que ya había terminado su vida útil-; realizaron una actualización de red, servidor y firewalls y también migraron la protección de endpoints a una nueva plataforma más integrada en la nube, un proceso que estaba en curso cuando ocurrió el ataque.

La ciberseguridad no es solo un problema técnico del departamento de TI, sino un problema también del negocio, que requiere de la toma de decisiones por parte de los líderes de las compañías

Modelo de acceso estructurado

Implementaron un modelo de seguridad de acceso bastante agresivo basado en tiers (niveles). Este modelo de Microsoft exige que los administradores de alto nivel tengan cuentas separadas y utilicen máquinas privadas para realizar tareas que requieren un nivel de seguridad superior.

La seguridad como una cuestión de negocio

Jimerson subrayó que «la ciberseguridad no es solo un problema técnico del departamento de TI, sino un problema también del negocio, que requiere de la toma de decisiones por parte de los líderes de las compañías. Los profesionales de TI deben romper los silos y toda organización debe comprender la importancia que los sistemas tienen para la misión clave del negocio», dijo. .

Inversión en monitorización

Debido a que el departamento de ciberseguridad del Puerto es pequeño, se contrató a un tercero para proporcionar servicios de seguridad gestionados 24/7, garantizando una vigilancia constante.

Comunicación y transparencia

A raíz de este ataque, en el Puerto de Seattle aprendieron la importancia de optimizar la recopilación y el procesamiento de información para que todos los actores y sistemas involucrados la puedan digerir. «Es crucial ser transparente y oportuno con el público para evitar que los medios de comunicación o las redes sociales generen suposiciones falsas, como la afirmación de que el aeropuerto estaba totalmente inoperativo», explicó el CISO.

Cuidado del Personal

La organización fue consciente de la fatiga que experimentaron los empleados del Puerto, ya que trabajaron hasta 19 o 20 horas seguidas tratando de restaurar los sistemas.

Jimerson concluyó que la entidad sigue siendo una «organización en continuo aprendizaje», especialmente dado que el panorama de amenazas se vuelve más amplio y sofisticado, impulsado por desarrollos tecnológicos como la inteligencia artificial.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Laura del Río
Laura del Río
Periodista

Periodista especializada en tecnologías de la información, innovación y estrategia empresarial. Cuando comencé a estudiar la carrera de Periodismo en la Universidad Complutense de Madrid, la mitad de la clase quería ser periodista deportivo y la otra mitad corresponsal de guerra, yo estaba entre los segundos. Pero después de muchas experiencias trabajando como becaria, desde el ámbito editorial hasta el de la aviación, acabé en el mundo «tech», un terreno inexplorado para mí que me apasionó al instante y que, de momento, me ha dado más alegrías que disgustos. Ahora trabajo para que mis lectores se acerquen a la tecnología sin miedo ni prejuicios.

Sígame en

Leer también:

Temas

Canales

Artículos relacionados

  • Facturación

  • informes

    La facturación de las empresas de servicios digitales crece a un ritmo interanual del 8,7%

    08 Ene 2025

    por Redacción Computing

    Compartir
  • Inetum Murcia

  • NOTICIAS

    Murcia acogerá la sede de un nuevo hub tecnológico de Inetum

    20 Ene 2025

    por Redacción Computing

    Compartir
  • Paco Hortigüela: “No veo posible que una IA pueda ser en el futuro presidente de Ametic”

  • ENTREVISTAS

    Paco Hortigüela: “No veo posible que una IA pueda ser en el futuro presidente de Ametic”

    15 Sep 2025

    por Rufino Contreras

    Compartir