Ransomware OnSolve CodeRED: 100 Municipios sin Alertas Nov 2025

El Ransomware OnSolve CodeRED ha colapsado el sistema de notificaciones de emergencia utilizado por cientos de municipios estadounidenses. El grupo INC Ransom atacó la plataforma OnSolve CodeRED en noviembre de 2025, forzando su desmantelamiento permanente y exponiendo datos personales de millones de residentes. Este ataque representa uno de los incidentes más graves contra infraestructura crítica de respuesta a emergencias en la historia de Estados Unidos.

¿Qué es el Ransomware OnSolve CodeRED y Cómo Ocurrió el Ataque?

El Ransomware OnSolve CodeRED se refiere al ciberataque perpetrado por el grupo INC Ransom contra la plataforma de notificaciones de emergencia OnSolve CodeRED. Este sistema era utilizado por cientos de agencias gubernamentales, departamentos de policía, y oficinas de gestión de emergencias para alertar a la población sobre desastres naturales, búsquedas de personas, y otras situaciones críticas.

El ataque comenzó el 10 de noviembre de 2025, cuando los clientes de OnSolve perdieron acceso completo a la plataforma. El Departamento de Policía de Great Falls en Cascade County, Montana, fue uno de los primeros en detectar el problema durante la preparación de una prueba de alerta de emergencia programada.

El 11 de noviembre, OnSolve reconoció públicamente haber detectado «vulnerabilidades potenciales de seguridad» en la plataforma y suspendió el acceso al sistema para una revisión integral. El 22 de noviembre, el grupo INC Ransom reclamó públicamente la autoría del ataque, confirmando el robo masivo de datos personales.

Impacto del Ransomware OnSolve CodeRED: Millones sin Sistema de Alertas

El impacto del Ransomware OnSolve CodeRED fue devastador y sin precedentes:

• Cientos de municipios afectados: Jurisdicciones en todo Estados Unidos perdieron su sistema principal de notificaciones de emergencia durante dos semanas críticas.
• Millones de residentes expuestos: Los datos personales comprometidos incluyen nombres, direcciones físicas, números telefónicos, direcciones de correo electrónico, y contraseñas utilizadas para crear cuentas en el sistema.
• Desmantelamiento permanente: OnSolve tomó la decisión sin precedentes de desmantelar permanentemente toda la infraestructura legacy de CodeRED debido al daño sufrido en el entorno.
• Cancelación masiva de contratos: El Condado de Cascade, Montana, terminó formalmente su contrato de tres años con OnSolve el 13 de noviembre de 2025. Otras jurisdicciones como el Condado de Beltrami, Minnesota, y múltiples agencias en el Valle de Shenandoah siguieron el mismo camino.

Durante el periodo de interrupción, millones de estadounidenses carecieron de su sistema primario de notificaciones de emergencia en un momento donde tormentas severas, desastres naturales, y otras emergencias podrían ocurrir sin advertencia.

INC Ransom: El Grupo Detrás del Ransomware OnSolve CodeRED

El grupo INC Ransom, también conocido como GOLD IONIC, es responsable del ataque al sistema OnSolve CodeRED. Este grupo ha estado operando desde julio de 2023 y se ha caracterizado por atacar sectores críticos como salud, educación, gobierno, e infraestructura industrial.

Según análisis de Cyble Research, INC Ransom ha mantenido actividad constante durante 2025. En el primer trimestre de 2025, el grupo representó el 5% del mercado de ransomware como actor emergente. Para el segundo trimestre de 2025, INC Ransom registró 12 incidentes (aproximadamente 2% del total), con actividad estable enfocada en tácticas de doble extorsión y abuso de credenciales.

Tácticas, Técnicas y Procedimientos (TTPs) de INC Ransom

Las tácticas empleadas por INC Ransom en ataques como el del Ransomware OnSolve CodeRED incluyen:

• Acceso inicial: Explotación de aplicaciones públicas como CVE-2023-3519 en Citrix NetScaler, o técnicas de phishing para manipular usuarios.
• Ejecución: Uso de Windows Management Instrumentation (WMIC), Windows Command Shell, y Service Execution para desplegar el payload de ransomware a través de la red comprometida.
• Persistencia: Utilización de cuentas válidas comprometidas, eliminación de archivos, y deshabilitación de controles de seguridad mediante herramientas como SystemSettingsAdminFlows.exe.
• Acceso a credenciales: Uso de herramientas como Lsassy.py para extraer credenciales desde la memoria.
• Descubrimiento: Despliegue de herramientas como NETSCAN.EXE y Advanced IP Scanner para reconocimiento de red.
• Movimiento lateral: Uso de software de escritorio remoto como AnyDesk.exe para moverse dentro de la red.
• Exfiltración de datos: Transferencia de datos robados mediante herramientas como Rclone, Tor, MEGASync, y otros servicios basados en la nube para ejecutar tácticas de doble extorsión.
• Impacto: Cifrado de datos críticos para bloquear el acceso a información esencial, con amenaza de exposición pública de los datos robados si no se paga el rescate.

Este enfoque de doble extorsión empleado en el Ransomware OnSolve CodeRED es particularmente devastador: no solo cifran los datos, sino que también roban información sensible y amenazan con publicarla si no se cumplen sus demandas de rescate.

Datos Comprometidos en el Ransomware OnSolve CodeRED

Según la declaración oficial de OnSolve y las reclamaciones del grupo INC Ransom, los datos personales comprometidos en el ataque del Ransomware OnSolve CodeRED incluyen:

• Nombres completos de usuarios registrados
• Direcciones físicas residenciales
• Números telefónicos (utilizados para recibir alertas)
• Direcciones de correo electrónico
• Contraseñas utilizadas para crear cuentas en el sistema

OnSolve confirmó que no se almacenaba información de cuentas bancarias ni tarjetas de crédito en el sistema, limitando el alcance financiero directo del robo de datos. Sin embargo, la información comprometida es suficiente para permitir ataques de phishing dirigido, ingeniería social, y fraude de identidad contra millones de residentes.

Respuesta de OnSolve al Ransomware OnSolve CodeRED

La respuesta de OnSolve Corporation al ataque del Ransomware OnSolve CodeRED fue rápida pero radical:

1. Suspensión inmediata: El 11 de noviembre de 2025, OnSolve suspendió el acceso completo a la plataforma CodeRED para realizar una revisión de seguridad integral.
2. Análisis forense: Crisis24 (empresa matriz de OnSolve) declaró que «el análisis forense continúa indicando que este es un incidente estrictamente contenido dentro del entorno OnSolve CodeRED sin contagio más allá.»
3. Desmantelamiento permanente: A mediados de noviembre, OnSolve tomó la decisión sin precedentes de desmantelar permanentemente la infraestructura legacy completa de CodeRED debido al daño dentro del entorno.
4. Migración acelerada: La compañía anunció una transición acelerada a una nueva plataforma llamada «CodeRED by Crisis24», operada desde una infraestructura completamente nueva y aislada.
5. Notificación a afectados: OnSolve notificó a los clientes de CodeRED sobre el incidente y la exposición potencial de datos personales de millones de residentes.

La decisión de desmantelar permanentemente el sistema completo en lugar de restaurarlo desde backups sugiere que el daño infligido por el Ransomware OnSolve CodeRED fue extremadamente severo, posiblemente comprometiendo la integridad de toda la infraestructura de manera irrecuperable.

Consecuencias para Municipios que Usaban el Ransomware OnSolve CodeRED

Las consecuencias del Ransomware OnSolve CodeRED para los municipios que dependían del sistema fueron inmediatas y graves:

Condado de Cascade, Montana

El Condado de Cascade tomó la acción más agresiva, terminando formalmente su contrato de tres años con OnSolve el 13 de noviembre de 2025, solo tres días después de detectar el problema. La jurisdicción migró rápidamente a sistemas alternativos para mantener capacidades de notificación de emergencia.

Condado de Beltrami, Minnesota

El Condado de Beltrami anunció públicamente el fin del sistema CodeRED y la transición a plataformas alternativas de notificación de emergencia debido a preocupaciones sobre la brecha de datos y la prolongada interrupción del servicio.

Región de St. Louis y Valle de Shenandoah

Múltiples agencias de aplicación de la ley y gestión de emergencias en estas regiones reevaluaron sus contratos con CodeRED. Muchas optaron por migrar a sistemas competidores como Everbridge, Nixle, o Alert Sense para restaurar capacidades críticas de comunicación de emergencia.

La pérdida masiva de clientes representa un golpe devastador no solo para OnSolve Corporation, sino también para la confianza en sistemas centralizados de notificación de emergencia a nivel nacional.

Lecciones de Seguridad del Ransomware OnSolve CodeRED

El ataque del Ransomware OnSolve CodeRED ofrece lecciones críticas para organizaciones que gestionan infraestructura crítica:

1. Segmentación de red: La decisión de OnSolve de desmantelar completamente el sistema sugiere falta de segmentación adecuada que hubiera permitido contener el daño.
2. Autenticación multifactor (MFA): INC Ransom frecuentemente explota cuentas comprometidas. La implementación rigurosa de MFA podría haber dificultado el acceso inicial.
3. Gestión de parches: El grupo explota vulnerabilidades conocidas como CVE-2023-3519 en Citrix NetScaler. El parcheo oportuno es crítico.
4. Monitoreo de amenazas: La detección temprana de movimiento lateral y exfiltración de datos podría haber limitado el daño.
5. Backups aislados: La decisión de desmantelar el sistema completo sugiere que los backups también fueron comprometidos o no eran confiables, destacando la necesidad de backups inmutables y aislados.
6. Planes de continuidad: Los municipios que carecían de sistemas de notificación de respaldo quedaron completamente vulnerables durante semanas.

Para organizaciones que gestionan infraestructura crítica, este incidente subraya la importancia de diseñar sistemas con redundancia, resiliencia ante fallos catastróficos, y capacidad de restauración rápida sin depender exclusivamente de un único proveedor.

Recomendaciones de Mitigación Contra el Ransomware OnSolve CodeRED

Basándose en los TTPs documentados de INC Ransom y el caso específico del Ransomware OnSolve CodeRED, las organizaciones deben implementar las siguientes medidas:

Prevención de Acceso Inicial

• Parchear inmediatamente vulnerabilidades conocidas, especialmente CVE-2023-3519 (Citrix NetScaler) y otras mencionadas en advisories de CISA.
• Implementar capacitación de concienciación sobre phishing para todos los empleados.
• Reducir la superficie de ataque exponiendo solo servicios estrictamente necesarios a Internet.

Detección y Respuesta

• Monitorear el uso de herramientas como WMIC, PSExec, AnyDesk, Advanced IP Scanner, y Lsassy.py en entornos de producción.
• Implementar detección de comportamiento anómalo en cuentas de usuario, especialmente acceso fuera de horarios habituales.
• Establecer alertas para transferencias de datos inusuales hacia servicios cloud como MEGASync o Rclone.

Protección de Datos

• Implementar backups 3-2-1: 3 copias, en 2 medios diferentes, con 1 copia offline o inmutable.
• Probar regularmente la restauración de backups para validar su integridad y capacidad de recuperación.
• Cifrar datos sensibles en reposo y en tránsito.
• Implementar controles de acceso basados en privilegios mínimos.

Planificación de Continuidad

• Desarrollar planes de continuidad que no dependan exclusivamente de un único proveedor de servicios críticos.
• Establecer sistemas de comunicación de respaldo para emergencias.
• Realizar simulacros de respuesta a ransomware regularmente.

El caso del Ransomware OnSolve CodeRED demuestra que incluso proveedores especializados en servicios críticos pueden ser víctimas de ciberataques devastadores. Las organizaciones deben asumir que cualquier servicio puede ser comprometido y planificar en consecuencia.

FAQ: Ransomware OnSolve CodeRED

¿Qué es el Ransomware OnSolve CodeRED?

El Ransomware OnSolve CodeRED se refiere al ciberataque ejecutado por el grupo INC Ransom contra la plataforma de notificaciones de emergencia OnSolve CodeRED en noviembre de 2025. El ataque resultó en el robo de datos personales de millones de residentes y el desmantelamiento permanente del sistema.

¿Quién es responsable del Ransomware OnSolve CodeRED?

El grupo INC Ransom (también conocido como GOLD IONIC) reclamó públicamente la responsabilidad del ataque. Este grupo ha estado activo desde julio de 2023 y se especializa en ataques contra infraestructura crítica, salud, educación, y gobierno.

¿Qué datos fueron comprometidos en el ataque?

Los datos comprometidos incluyen nombres, direcciones físicas, números telefónicos, direcciones de correo electrónico, y contraseñas de usuarios registrados en el sistema CodeRED. No se robó información de tarjetas de crédito o cuentas bancarias.

¿Cuántos municipios fueron afectados por el Ransomware OnSolve CodeRED?

Cientos de municipios en todo Estados Unidos perdieron acceso a su sistema de notificaciones de emergencia durante aproximadamente dos semanas. Jurisdicciones en Montana, Minnesota, Missouri, Virginia, y otros estados se vieron afectadas.

¿El sistema CodeRED seguirá funcionando?

No. OnSolve tomó la decisión sin precedentes de desmantelar permanentemente toda la infraestructura legacy de CodeRED. La compañía está migrando clientes a una nueva plataforma llamada «CodeRED by Crisis24» construida en infraestructura completamente nueva.

¿Cómo puedo protegerme si mis datos fueron comprometidos?

Si eras usuario de CodeRED, debes: (1) cambiar inmediatamente contraseñas, especialmente si reutilizabas la misma contraseña en otros servicios; (2) estar alerta ante intentos de phishing dirigido utilizando tu información personal; (3) considerar congelar tu crédito para prevenir fraude de identidad; (4) monitorear tus cuentas financieras en busca de actividad sospechosa.

El ataque del Ransomware OnSolve CodeRED marca un punto de inflexión en la ciberseguridad de infraestructura crítica en Estados Unidos, demostrando que ningún sistema es inmune a amenazas de ransomware sofisticadas y que la preparación, redundancia, y resiliencia son esenciales para proteger servicios que salvan vidas.