Suiza: el ransomware Play filtró 65.000 documentos gubernamentales

El Centro Nacional de Ciberseguridad (NCSC) de Suiza ha publicado un informe sobre su análisis de una violación de datos tras un ataque de ransomware contra Xplain, revelando que el incidente afectó a miles de archivos sensibles del gobierno federal.

Xplain es un proveedor suizo de soluciones tecnológicas y de software para diversos departamentos gubernamentales, unidades administrativas e incluso las fuerzas armadas del país. La banda de ransomware Play irrumpió en la empresa el 23 de mayo de 2023.

En ese momento, el actor de la amenaza afirmó haber robado documentos que contenían información confidencial y, a principios de junio de 2023, llevó a cabo sus amenazas y publicó los datos robados en su portal de la darknet.

El gobierno suizo comenzó a investigar los archivos filtrados e inmediatamente admitió que los datos filtrados podrían contener documentos pertenecientes a la administración federal suiza.

En un nuevo comunicado hecho público hoy, el Gobierno suizo confirma que en la filtración se filtraron 65.000 documentos gubernamentales:

  • De los aproximadamente 1,3 millones de archivos publicados por el ransomware Play, alrededor del 5% (65.000 documentos) afectan a la administración federal.
  • La mayoría (95%) de estos archivos afectan a las unidades administrativas del Departamento Federal de Justicia y Policía (FDJP): la Oficina Federal de Justicia, la Oficina Federal de Policía, la Secretaría de Estado de Migración y el centro interno de servicios informáticos ISC-FDJP.
  • El Departamento Federal de Defensa, Protección Civil y Deporte (DDPS) sólo se vio ligeramente afectado, con algo más del 3% de los datos.
  • Alrededor de 5.000 documentos contenían información sensible, incluidos datos personales (nombres, direcciones de correo electrónico, números de teléfono y direcciones), detalles técnicos, información clasificada y contraseñas de cuentas.
  • Un pequeño grupo de unos cientos de archivos contenía documentación sobre sistemas informáticos, software o datos arquitectónicos, así como contraseñas.

Está previsto que la investigación administrativa, iniciada el 23 de agosto de 2023, concluya a finales de mes, y que los resultados completos y las recomendaciones sobre ciberseguridad se comuniquen al Consejo Federal.

La duración de la investigación se explica por la complejidad del análisis de datos no estructurados y el gran volumen de datos filtrados, que requirieron mucho tiempo y recursos para clasificar los documentos pertinentes para la administración federal.

Además, el análisis de las filtraciones de datos con fines probatorios es jurídicamente complejo, ya que la información confidencial requiere la coordinación y participación interinstitucional, lo que inevitablemente prolonga el proceso.