Restablecer contraseñas inseguras rápidamente tras un ataque de ransomware

La gestión de contraseñas ya estaba en la hoja de ruta del Ayuntamiento de Kalix cuando un grupo de atacantes aprovechó contraseñas débiles y previamente filtradas para ejecutar un ataque de ransomware. El ataque, ocurrido en diciembre de 2021, paralizó por completo los sistemas informáticos municipales y provocó consecuencias generalizadas: desde usuarios dependientes que no pudieron recibir atención domiciliaria hasta errores en el pago de nóminas.

El consistorio colaboró con consultores IT y expertos en ciberseguridad para completar en solo tres semanas un proceso de actualización equivalente a tres años de trabajo.

Kenneth Björnfot, responsable del departamento de TI en Kalix, explica que contar con un proceso seguro de restablecimiento de contraseñas era imprescindible antes de que los más de 1.400 empleados pudieran volver a operar en los sistemas informáticos.

“Bloqueamos todas las cuentas y comunicamos al personal que tendrían que autenticarse con Mobile BankID para establecer una nueva contraseña,” comenta Kenneth. “Todo el mundo conoce BankID, así que el proceso fue muy sencillo para ellos. Y desde el punto de vista del equipo IT, tenemos la tranquilidad de que es un sistema seguro.”

Mobile BankID es un sistema de identificación electrónica de alta confianza muy extendido en Suecia. Se utiliza para acceder a servicios públicos, entidades bancarias, plataformas de crédito y otros entornos que requieren autenticación fuerte. Funciona a partir de números de identidad personal, que en este caso ya estaban registrados como atributo dentro de Active Directory.

Gracias a esa integración previa, el despliegue de Specops uReset fue una experiencia fluida para los empleados del municipio Cada empleado accedió a la URL correspondiente se autenticó con Mobile BankID y recibió instrucciones para crear una nueva contraseña. Las nuevas políticas de contraseña son más estrictas para evitar futuros accesos con credenciales débiles.

El papel de las contraseñas débiles

Aunque la investigación policial sigue en curso, todo apunta a que el origen del ataque fueron contraseñas vulnerables y ya comprometidas.

“Analizando el recorrido que siguieron los atacantes, hemos identificado las cuentas comprometidas y las contraseñas débiles que estaban en uso,” explica Kenneth.

Según la información publicada por los medios, los atacantes permanecieron dentro de la red durante un tiempo antes de desplegar el ransomware. Pese a la amenaza, el Ayuntamiento se negó a pagar el rescate.

Antes de implementar uReset, los restablecimientos se hacían a través del servicio técnico. El procedimiento consistía en que el empleado llamaba, daba su número de identidad personal, y recibía una contraseña temporal por teléfono. Sin embargo, no se obligaba a cambiar esa contraseña posteriormente, por lo que muchas veces se usaban durante semanas o meses, lo que representaba un riesgo claro.

Además, este método presentaba otro problema grave: era fácil suplantar la identidad de un empleado, ya que los números personales son accesibles públicamente en internet.

Con Specops uReset, el Ayuntamiento no solo pudo resolver de forma rápida y segura el problema de las contraseñas tras el ataque, sino que también redujo significativamente la carga de trabajo del equipo de soporte técnico.

Lecciones para otros municipios

Tras este incidente, otros ayuntamientos en Suecia están revisando su postura de seguridad y, en concreto, las debilidades asociadas a la gestión de contraseñas. Una forma eficaz de empezar es realizar un análisis de situación y ejecutar una auditoría de contraseñas para detectar vulnerabilidades específicas.

La herramienta Specops Password Auditor fue diseñada para identificar múltiples fallos relacionados con contraseñas —como cuentas sin expiración, credenciales filtradas o políticas laxas— y generar informes exportables en cuestión de minutos.