Una contraseña débil permitió que el ransomware Akira destruyera KNP Logistics, con 158 años de antigüedad, lo que provocó una demanda de rescate de 5 millones de libras y la pérdida de 700 puestos de trabajo.

La mayoría de las empresas no superan su quinto aniversario; los estudios demuestran que aproximadamente el 50% de las pequeñas empresas fracasan en los primeros cinco años. Por eso, cuando KNP Logistics Group (anteriormente Knights of Old) celebró más de un siglo y medio de operaciones, dominaba el arte de la supervivencia. Durante 158 años, KNP se adaptó y perduró, construyendo una empresa de transporte que operaba 500 camiones en todo el Reino Unido. Pero en junio de 2025, una contraseña fácil de adivinar provocó la caída de la empresa en cuestión de días.

La empresa con sede en Northamptonshire fue víctima del grupo de ransomware Akira después de que atacantes obtuvieran acceso adivinando la contraseña débil de un empleado. Los atacantes no necesitaron una sofisticada campaña de phishing ni un exploit de día cero; solo necesitaban una contraseña tan simple que los ciberdelincuentes pudieran adivinarla correctamente.

Cuando falla la seguridad básica, todo se derrumba.

Independientemente de los mecanismos de seguridad avanzados que tenga implementados su organización, todo se derrumba si fallan las medidas de seguridad básicas. En el ataque a KNP, Akira atacó los sistemas conectados a internet de la empresa,encontró la credencial de un empleado sin autenticación multifactor y adivinó la contraseña. Una vez dentro, desplegaron su ransomware por toda la infraestructura digital de la empresa.

Pero los delincuentes no se limitaron a cifrar datos empresariales críticos. También destruyeron las copias de seguridad y los sistemas de recuperación ante desastres de KNP, impidiendo que la empresa pudiera recuperarse sin pagar el rescate. Los delincuentes exigieron aproximadamente 5 millones de libras esterlinas, dinero que la empresa de transporte no tenía.

KNP contaba con el cumplimiento normativo de TI estándar del sector y un seguro contra ciberataques, pero ninguna de estas protecciones fue suficiente para mantener la organización en funcionamiento. Las operaciones se paralizaron. Todos los camiones quedaron fuera de servicio. Todos los datos empresariales permanecieron bloqueados. El equipo de crisis contratado por las aseguradoras lo describió como “el peor escenario posible” para cualquier organización. En cuestión de semanas, KNP entró en concurso de acreedores y 700 empleados perdieron sus empleos.

El problema de las contraseñas persiste

La historia de KNP ilustra una vulnerabilidad que sigue afectando a organizaciones de todo el mundo. Un estudio de Kaspersky, que analizó 193 millones de contraseñas comprometidas, reveló que el 45% podría ser descifrado en un minuto. Y cuando los atacantes pueden simplemente adivinar o descifrar rápidamente las credenciales, incluso las empresas más consolidadas se vuelven vulnerables. Las fallas de seguridad individuales pueden tener consecuencias para toda la organización, mucho más allá de la persona que eligió “Passord123” o dejó su fecha de nacimiento como credencial de inicio de sesión.

En junio de 2024, Kaspersky analizó 193 millones de contraseñas, encontradas en el dominio público en diversos recursos de la darknet. Los resultados revelaron que la mayoría de las contraseñas revisadas no eran lo suficientemente seguras y podían ser fácilmente comprometidas. A continuación, se detalla la rapidez con la que esto puede ocurrir:

 

  • 45% (87 millones) en menos de un minuto.
  • 14% (27 millones): de 1 minuto a 1 hora.
  • 8% (15 millones): de 1 hora a 1 día.
  • 6% (12 millones): de 1 día a 1 mes.
  • 4% (8 millones): de 1 mes a 1 año.

 

Los expertos identificaron solo el 23% (44 millones) de las contraseñas como “resistentes”; comprometerlas llevaría más de un año.

Más allá del daño financiero

El colapso de KNP demuestra que los ataques de ransomware tienen consecuencias que van mucho más allá de una pérdida financiera inmediata. Setecientas familias perdieron su principal fuente de ingresos. Una empresa con casi dos siglos de historia desapareció de la noche a la mañana. Y la economía de Northamptonshire perdió un importante empleador y proveedor de servicios.

Para las empresas que sobreviven a los ataques de ransomware, el daño a la reputación suele agravar el golpe inicial. Las organizaciones se enfrentan al escrutinio constante de clientes, socios y organismos reguladores que cuestionan sus prácticas de seguridad. Las partes interesadas exigen responsabilidades por las filtraciones de datos y los fallos operativos, lo que conlleva responsabilidades legales.

La creciente crisis de ransomware en el Reino Unido

KNP se suma a las aproximadamente 19.000 empresas del Reino Unido que sufrieron ataques de ransomware el año pasado, según encuestas gubernamentales. Entre las víctimas más destacadas se incluyen grandes minoristas como M&S, Co-op y Harrods, lo que demuestra que ninguna organización es demasiado grande ni demasiado consolidada para ser el objetivo.

Cada vez es más fácil. Las bandas criminales han reducido las barreras de entrada al ofrecer plataformas de ransomware como servicio y tácticas de ingeniería social que no requieren habilidades técnicas avanzadas. Los atacantes ahora llaman rutinariamente a los servicios de asistencia de TI para acceder a los sistemas corporativos, aprovechando la psicología humana en lugar de las vulnerabilidades del software.

Investigaciones del sector sugieren que la demanda típica de rescate en el Reino Unido alcanza aproximadamente los 4 millones de libras esterlinas, y aproximadamente un tercio de las empresas optan por pagar en lugar de arriesgarse a una pérdida total del negocio. Sin embargo, el pago no garantiza la recuperación de datos ni previene futuros ataques; simplemente financia operaciones criminales dirigidas a otras organizaciones.

Construyendo defensas resilientes

El incidente de KNP pone de relieve que los controles de seguridad son la defensa más crítica de su organización contra el ransomware. Cuando una sola credencial débil puede destruir décadas (o siglos) de operaciones comerciales, no puede permitirse el lujo de considerar la seguridad de las contraseñas como algo secundario. Para construir defensas resilientes, debe:

  • Implementar políticas de contraseñas robustas: Su primera defensa son políticas de contraseñas robustas, respaldadas por la detección de contraseñas vulneradas. Puede reducir significativamente el riesgo de ataques exitosos a credenciales bloqueando contraseñas débiles y comúnmente comprometidas, a la vez que exige la creación de frases de contraseña largas y complejas.
  • Se debe escanear y auditar continuamente las credenciales de Active Directory comparándolas con miles de millones de contraseñas vulneradas conocidas, lo que ayuda a su organización a implementar políticas de contraseñas robustas y a la vez previene credenciales fáciles de adivinar. Herramienta gratuitas como Specops Password Auditor o DSInternalspermiten hacerlo.
  • Habilitar la autenticación multifactor: Incluso cuando las contraseñas se ven comprometidas, factores de autenticación adicionales pueden evitar el acceso no autorizado a sistemas críticos.
  • Implementar una arquitectura de confianza cero y controles de acceso con privilegios mínimos: además de las protecciones de contraseñas y autenticación, debe limitar las acciones de los atacantes si acceden a su red. Las arquitecturas de confianza cero asumen la vulnerabilidad y verifican cada solicitud de acceso, independientemente de la ubicación del usuario o su estado de autenticación previo. Los controles de acceso con privilegios mínimos funcionan de la mano con este enfoque, limitando el movimiento lateral dentro de las redes y garantizando que una sola cuenta vulnerada no pueda desbloquear todos los recursos de la organización.
  • Realizar pruebas y recuperación de copias de seguridad periódicas: su organización debe asegurarse de que sus sistemas de copia de seguridad permanezcan aislados de las redes principales y probar periódicamente los procedimientos de restauración. Cuando un ransomware ataca, las copias de seguridad funcionales suelen determinar si una empresa sobrevive.

Invertir en controles de seguridad hoy en día cuesta mucho menos que reconstruir un negocio desde cero, si es posible hacerlo.

Fuente: Segu Info