Nova Scotia Power ha confirmado que sufrió un ataque de ransomware complejo que comprometió la información confidencial de aproximadamente 280,000 clientes.
La empresa de servicios públicos canadiense informó el viernes que los ciberdelincuentes lograron acceder a sus sistemas de red y divulgaron los datos robados, ya que la compañía se negó a pagar el rescate solicitado.
El ciberataque fue detectado inicialmente el 25 de abril de 2025, cuando el equipo de seguridad de TI de Nova Scotia Power identificó un acceso no autorizado a segmentos específicos de la red y servidores de aplicaciones comerciales.
La investigación forense reveló más tarde que la violación inicial del sistema ocurrió mucho antes, alrededor del 19 de marzo de 2025, lo que dio a los atacantes aproximadamente cinco semanas de acceso a la red no detectado.
Esto representa un ejemplo clásico de ransomware de doble extorsión, donde los ciberdelincuentes no solo cifran los sistemas de las víctimas sino que también extraen datos confidenciales para aumentar el apalancamiento.
El tiempo de permanencia prolongado permitió a los actores de amenazas realizar un reconocimiento integral de la red y una filtración de datos antes de implementar su carga útil de cifrado.
Los expertos en seguridad señalan que el ransomware moderno suele emplear cifrado AES-256 combinado con criptografía de clave pública RSA para garantizar que los archivos permanezcan inaccesibles sin las claves de descifrado privadas de los atacantes.
La información robada abarca un amplio espectro de información de identificación personal (PII), incluidos nombres de clientes, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, direcciones de servicio e historiales de cuentas.
Lo que es más preocupante, la infracción también expuso datos financieros altamente confidenciales, como números de seguro social, números de licencia de conducir e información de cuentas bancarias de clientes que utilizan servicios de pago preautorizados.
El ataque demuestra características de criptoransomware, dirigido específicamente a archivos de datos valiosos utilizando sofisticados algoritmos de cifrado.
A diferencia del simple ransomware de casilleros que simplemente restringe el acceso al sistema, este ataque implicó una filtración sistemática de datos antes de implementar el cifrado.
Los actores de amenazas probablemente emplearon técnicas como el movimiento lateral a través de segmentos de red y la escalada de privilegios para acceder a repositorios de datos de alto valor en toda la infraestructura de Nova Scotia Power.
Los analistas de ciberseguridad sugieren que los atacantes pueden haber utilizado vectores de infiltración comunes, incluidos correos electrónicos de phishing, ataques de relleno de credenciales o explotación de vulnerabilidades del sistema sin parches.
La naturaleza sofisticada del ataque indica la posible participación de una operación organizada de ransomware como servicio (RaaS).
Nova Scotia Power declaró explícitamente que no se realizó ningún pago de rescate a los actores de la amenaza, citando una «evaluación cuidadosa de las leyes de sanciones aplicables y la alineación con las directrices de aplicación de la ley».
Esta decisión sugiere que el grupo de ransomware puede ser sancionado por las autoridades canadienses o estadounidenses, lo que hace que cualquier pago sea potencialmente ilegal.
La empresa de servicios públicos se ha asociado con TransUnion para brindar a los clientes afectados una suscripción gratuita de dos años a servicios integrales de monitoreo de crédito a través de TransUnion myTrueIdentity®.
Se recomienda a los clientes que permanezcan atentos a los ataques de ingeniería social y los intentos de phishing que puedan explotar los datos robados.
Es importante destacar que el ataque de ransomware no afectó la infraestructura física de Nova Scotia Power, incluidas las instalaciones de generación, transmisión y distribución.
La empresa, que provee servicios a aproximadamente 550,000 clientes en Nueva Escocia, continúa colaborando con expertos externos en ciberseguridad para restablecer los sistemas afectados e implementar salvaguardias de seguridad adicionales.
Este suceso enfatiza la amenaza creciente que representan las operaciones sofisticadas de ransomware para la infraestructura crítica y subraya la relevancia de implementar medidas robustas de ciberseguridad en el sector energético.
