El incidente de Conduent, detectado el 13 de enero de 2025 y atribuido al grupo de ransomware Safe-Pay, ha escalado de ser una “interrupción limitada” a una brecha de datos masiva que afecta a millones de usuarios finales de sus clientes gubernamentales y de salud.
Cronología de la Intrusión (Riesgo de Persistencia)
- Inicio de la Intrusión: 21 de octubre de 2024.
- Detección y Contención: 13 de enero de 2025.
- Duración del acceso: El actor malicioso mantuvo acceso no autorizado a la red durante casi tres meses (aproximadamente 84 días), lo que sugiere una persistencia prolongada y un amplio reconocimiento interno antes de la extorsión.
Escala y tipos de datos expuestos
- Volumen de datos: Safe-Pay afirma haber robado 8,5 Terabytes (TB) de datos. Conduent ha confirmado que la brecha afecta a más de 10 millones de personas en total, con cifras confirmadas en varios estados de EE.UU. UU. (ej., 400.000 en Texas, 76.000 en Washington, 48.000 en Carolina del Sur).
- Datos Críticos Robados: La información comprometida es de alto valor para el robo de identidad y el fraude, ya que incluye:
- Números de Seguro Social (SSN).
- Información Médica y de Tratamiento.
- Datos de Seguros de Salud/Identificación de Póliza.
- Nombres completos, fechas de nacimiento.
- Impacto en Servicios Gubernamentales: La brecha afectó a sistemas asociados con contratos gubernamentales críticos, como Medicaid y pagos de manutención infantil, lo que generó interrupciones operacionales en varios estados.
Tácticas del Grupo Safe-Pay
- Doble Extorsión: Safe-Pay utiliza la táctica de la doble extorsión, cifrando los sistemas para interrumpir las operaciones y amenazando con publicar los 8.5 TB de datos robados en su sitio de filtración.
- Modus Operandi: Safe-Pay a menudo utiliza credenciales válidas (probablemente compradas) para el acceso inicial (vía RDP/VPN), desactiva protecciones de endpoints y utiliza herramientas como WinRAR para archivar datos antes de la exfiltración.
Recomendaciones
- Revisión de PHI y PII Compartida: Los clientes de Conduent deben auditar inmediatamente qué datos de sus usuarios (especialmente SSN e información médica) fueron manejados por los sistemas comprometidos del proveedor.
- Preparación para Notificaciones: Asumir la responsabilidad de notificar a los usuarios finales afectados si los datos de la propia organización estaban en el conjunto robado. Revisar las cláusulas de los contratos (SLA) sobre seguridad y responsabilidad.
- Auditoría de Acceso de Cuentas de Servicio: Rotar y auditar todas las cuentas de servicio y credenciales que Conduent utilizaba para acceder a los sistemas internos de la propia organización cliente. Aplique MFA estrictamente a cualquier cuenta de proveedor.
- Monitoreo Post-Intrusión: Realizar un Threat Hunting para buscar conexiones inusuales o movimientos laterales originados desde los gateways del proveedor durante el periodo de intrusión (octubre 2024 a enero 2025).
