Llamada de atención del ransomware en Nevada: el caso de la gestión del acceso privilegiado

La Oficina de Tecnología del Gobernador (GTO) del Estado de Nevada publicó recientemente un “Informe posterior a la acción” sobre el ataque de ransomware a nivel estatal que interrumpió los sistemas estatales durante casi un mes en agosto de 2025. El informe detalla no sólo lo que sucedió sino también la respuesta coordinada al incidente por parte del GTO, los proveedores y los socios encargados de hacer cumplir la ley de agencias locales, estatales y federales. Este ciberataque a nivel estatal demuestra la necesidad crítica de contar con Gestión de Accesos Privilegiados (PAM) para gestionar y proteger el acceso a sistemas y datos altamente confidenciales.

¿Qué ocurrió durante el ataque de ransomware en Nevada?

El estado de Nevada descubrió la violación por primera vez el 24 de agosto de 2025, cuando varias máquinas virtuales se desconectaron, lo que interrumpió los sitios web gubernamentales, los sistemas telefónicos y las plataformas en línea en 60 agencias gubernamentales estatales. Agencias como la Autoridad de Salud de Nevada tuvieron que desconectar sus sistemas, lo que obligó a los empleados a utilizar soluciones alternativas y volver a los procesos en papel. Otras agencias afectadas incluyeron el Departamento de Vehículos Motorizados de Nevada, el Departamento de Seguridad Pública de Nevada y la Patrulla de Carreteras de Nevada. El portal principal del estado, NV.gov, y la oficina del gobernador también tuvieron sistemas fuera de línea o degradados.

La violación finalmente se remonta a un ataque de ingeniería social que ocurrió en mayo de 2025, cuando un empleado estatal buscó una herramienta de administración del sistema y, sin saberlo, hizo clic en un anuncio malicioso. Al hacerlo, el empleado descargó malware de un sitio web falsificado, y el malware instaló una puerta trasera que se conectó a la infraestructura del atacante, lo que permitió el acceso remoto no autorizado. Aunque Symantec protección de terminales (SEP) detectó y puso en cuarentena el malware el 26 de junio de 2025, ya era demasiado tarde, y el atacante ya había escalado privilegios para moverse lateralmente a través de la red estatal.

El informe afirma:

Entre el 16 y el 24 de agosto, el TA (actor de amenazas) utilizó RDP para moverse entre servidores críticos, acceder a múltiples directorios, archivos y servidores — incluido el servidor de bóveda de contraseñas — para recuperar contraseñas de 26 cuentas. El actor de amenazas borró constantemente los registros de eventos para ocultar su actividad.

El 24 de agosto de 2025, el atacante eliminó copias de seguridad de información confidencial e implementó ransomware en toda la infraestructura virtual del estado. El estado de Nevada finalmente no pagó el rescate y pudo recuperar el 90% de los datos afectados necesarios para restaurar los servicios afectados. Sin embargo, además de los costos de horas extras de los empleados estatales que trabajan para restablecer los servicios, el estado también pagó más de $1 millón por el apoyo de proveedores externos. El alcance total de los datos robados sigue bajo investigación. El director de Información de Nevada, Timothy Galluzi, compartió en una rueda de prensa que algunos datos estatales se extraídos del sistema estatal sin autorización; sin embargo, no está claro qué tipo de datos fueron robados.

Después de recuperar los sistemas, el GTO realizó varios cambios para reforzar las defensas de ciberseguridad del estado. Primero aseguraron los sistemas más confidenciales y se aseguraron de que el acceso estuviera limitado únicamente al personal esencial. El equipo también revisó las reglas y permisos del sistema para evitar futuros accesos no autorizados, un aspecto crucial de PAM.

Cómo KeeperPAM podría haber ayudado a limitar el ataque

Los ciberdelincuentes buscaron obtener un mayor acceso a la red del estado apuntando específicamente a los empleados de TI, sabiendo que probablemente tenían privilegios elevados. Si bien una solución PAM no habría impedido que el usuario hiciera clic en un enlace a un sitio web falsificado, podría haber bloqueado la instalación de la herramienta maliciosa y limitado el alcance del ataque al evitar el movimiento lateral del atacante y el acceso a bóvedas y servidores después de la entrada inicial. Estas son algunas formas en que KeeperPAM habría ayudado:

1. Contener la escalada de privilegios de los puntos finales

Cuando el malware se instaló en una estación de trabajo interna, obtuvo control administrativo al eludir las protecciones de los puntos finales locales. Este tipo de escalamiento es común cuando los usuarios tienen privilegios excesivos o pueden instalar software no aprobado.

El administrador de privilegios de terminales de Keeper (EPM) aplica el acceso con privilegios mínimos por diseño. Los usuarios se ejecutan como usuarios estándar y las aplicaciones que requieren derechos elevados deben aprobarse de forma expresa. Las políticas pueden bloquear instaladores no confiables, restringir el abuso de PowerShell y scripts y hacer cumplir flujos de trabajo de aprobación para acciones privilegiadas. Combinado con el registro de auditorías y las alertas, los equipos de seguridad obtienen visibilidad sobre cada solicitud de elevación intentada. La herramienta de TI falsa que desencadenó la violación de Nevada no se habría instalado sin aprobación en primer lugar.

2. Eliminación de privilegios permanentes

KeeperPam elimina el riesgo de tener privilegios administrativos permanentes. A través del acceso justo a tiempo (JIT), KeeperPAM garantiza que las credenciales administrativas estén disponibles solo cuando sea necesario y solo durante el tiempo que sea necesario. Los usuarios operan con derechos estándar por defecto, y cuando requieren licencias elevadas, esos privilegios se conceden por un tiempo y expiran automáticamente cuando se completa la tarea requerida.

KeeperPAM también proporciona rotación automática de credenciales que cambia continuamente las contraseñas de las cuentas de administrador y servicio. Incluso si un ciberdelincuente logra obtener las credenciales, estas se vuelven inútiles en cuestión de minutos. En el caso de Nevada, el código malicioso no habría podido recopilar ni reutilizar las credenciales de administrador almacenadas en la caché para desplazarse lateralmente entre los servidores.

3. Prevención del movimiento lateral

Una vez que los atacantes logran entrar, su siguiente paso casi siempre es el movimiento lateral, saltando de una máquina a otra a través de RDP para llegar a objetivos de alto valor, como controladores de dominio o servidores de bases de datos. KeeperPAM hubiera limitado de forma significativa o incluso impedido el movimiento lateral en el ataque de Nevada, ya que los ciberdelincuentes no hubieran podido usar RDP para moverse entre sistemas.

Keeper Connection Manager, un componente central de KeeperPAM, impone el acceso de confianza cero a servidores y bases de datos. En vez de exponer puertos RDP o SSH en la red, KCM gestiona cada sesión a través de una pasarela segura. Las credenciales se inyectan directamente desde la bóveda encriptada. Los usuarios nunca ven ni manejan las credenciales, y todas las sesiones son auditables y se graban. Si los atacantes de Nevada hubieran intentado usar credenciales robadas para el movimiento lateral de RDP o SSH, sus conexiones habrían fallado.

4. Protección de credenciales

Casi la mitad de todas las violaciones implican credenciales comprometidas. Una vez dentro de una red, los atacantes suelen recopilar contraseñas almacenadas en caché, tokens o credenciales de administrador local para moverse por la red. KeeperPAM tiene una arquitectura de confianza cero y conocimiento cero, lo que significa que todo el cifrado y descifrado ocurre localmente en el dispositivo del usuario. En lugar de simplemente almacenar credenciales, Keeper las aísla, cifra, rota e inyecta de una manera que hace prácticamente imposible el robo de credenciales.

• Los secretos se encriptan localmente y son ilegibles para cualquier persona que no sea el usuario
• Las credenciales nunca son visibles, ni se almacenan o reutilizan en los puntos finales
• Los derechos de administrador son temporales y están estrictamente controlados
• Las contraseñas y claves rotan automáticamente
• Los registros completos de auditoría garantizan la rendición de cuentas y la trazabilidad

Incluso si los atacantes de Nevada hubieran accedido a un servidor de gestión de contraseñas, no habrían podido descifrar ni exportar ninguna credencial en texto plano.

5. Monitoreo en tiempo real y contención rápida

KeeperPAM ofrece visibilidad y control total sobre la actividad privilegiada.

• Cada sesión privilegiada se registra y almacena para fines de auditoría y análisis forense
• La supervisión de sesiones en vivo permite a los administradores observar o terminar conexiones sospechosas en tiempo real
• KeeperAI puede analizar automáticamente la actividad de los usuarios, determinando riesgos y finalizando sesiones cuando se detecta actividad sospechosa
• La rotación y revocación instantánea de credenciales permite bloquear las cuentas comprometidas con una sola acción
• La integración con las plataformas de Gestión de Información y Eventos de Seguridad (SIEM) y Orquestación, Automatización y Respuesta de Seguridad (SOAR) permite alertas automatizadas y flujos de trabajo de respuesta

Si se hubieran implementado estos controles, el equipo de seguridad de Nevada podría haber identificado rápidamente la sesión no autorizada, rotado las credenciales y contenido la intrusión antes de que se produjera la filtración de datos, o incluso haber impedido por completo la descarga del malware con RBI y EPM.

Autorización FedRAMP y GovRAMP para el sector gubernamental

Keeper Security Government Cloud (KSGC) es la versión de KeeperPAM alojada en Amazon Web Services (AWS) GovCloud, que cumple con los requisitos de seguridad y conformidad de FedRAMP. AWS GovCloud está diseñado para alojar datos confidenciales y cargas de trabajo reguladas, y cumple con los estrictos estándares de cumplimiento del gobierno de EE. UU.

Con KSGC, las agencias gubernamentales obtienen una solución de PAM escalable y de confianza cero que verifica continuamente cada intento de acceso, sin importar la ubicación o el dispositivo. Los controles de acceso basados en roles (RBAC) y la supervisión en tiempo real refuerzan el principio de privilegio mínimo y proporcionan visibilidad total en todas las actividades privilegiadas.

¿Listo para aprender más sobre cómo Keeper puede ayudar a su organización a protegerse contra el ransomware y cumplir con los requisitos de confianza cero? Solicite una demostración de KSGC hoy.