La plataforma OnSolve CodeRED, utilizada por organismos estatales y municipales de Estados Unidos para el envío de alertas de emergencia masivas, se ha visto implicada en un grave incidente de ciberseguridad. La operación, atribuida al grupo de ransomware INC, interrumpió procesos de notificación crítica y provocó la exposición de datos personales de usuarios del servicio.
Qué es OnSolve CodeRED y por qué forma parte de la infraestructura crítica
CodeRED, gestionada por la empresa Crisis24, es una plataforma de notificación que utilizan gobiernos locales, departamentos de policía, bomberos y otros servicios de emergencia para avisar a la población sobre inundaciones, incendios, fugas de gas, desastres naturales, alertas AMBER y otras amenazas para la vida y la seguridad. En la práctica, se integra en la infraestructura crítica de protección civil.
La indisponibilidad de un sistema de este tipo no solo implica una pérdida de servicio tecnológico, sino un riesgo directo de que miles de personas no reciban a tiempo mensajes vitales. Por ello, los expertos clasifican los ciberataques contra plataformas de alerta pública como incidentes de alta sensibilidad, incluso cuando son obra de ciberdelincuentes motivados por beneficio económico y no de actores estatales.
Detalles del ciberataque: ransomware INC y modelo RaaS
Según la información publicada por los propios atacantes y confirmada por un comunicado de Crisis24, el grupo INC ransomware se infiltró en la infraestructura de OnSolve el 1 de noviembre de 2025. Tras una fase inicial de movimiento lateral y reconocimiento, el 10 de noviembre activaron el cifrado masivo de archivos, bloqueando sistemas clave y desplegando una campaña de ransomware.
INC opera bajo el modelo RaaS (Ransomware-as-a-Service), en el que desarrolladores de malware alquilan su código y su infraestructura a afiliados, a cambio de un porcentaje del rescate. Este esquema, documentado por múltiples informes de empresas de ciberseguridad, ha reducido la barrera de entrada para grupos criminales, aumentando la frecuencia y el impacto de los ciberataques de extorsión.
El grupo afirma que la empresa estuvo dispuesta a pagar un rescate de 100 000 dólares, pero las negociaciones fracasaron. En respuesta, los atacantes no entregaron ninguna clave de descifrado y comenzaron a ofrecer los datos robados en mercados del dark web, acompañando los anuncios con capturas de pantalla de cuentas y contraseñas en texto plano.
Alcance de la filtración de datos y sistemas afectados
Crisis24 ha indicado que el ataque se centró en una versión heredada (legacy) de la plataforma CodeRED, y que el resto de sus sistemas no se vieron comprometidos. Sin embargo, dicha versión estaba aún en producción en numerosos organismos estatales y municipales de todo el país, lo que amplificó el impacto operativo.
Los atacantes obtuvieron un amplio conjunto de datos personales de usuarios de CodeRED, entre ellos: nombres, direcciones postales, correos electrónicos, números de teléfono y credenciales de acceso. La exposición de contraseñas resulta especialmente crítica, porque muchos usuarios siguen reutilizando la misma combinación en diferentes servicios, abriendo la puerta a ataques de relleno de credenciales (credential stuffing) y a accesos ilegítimos en cascada.
Debido al daño en la infraestructura, Crisis24 se vio obligada a detener por completo la versión comprometida y reconstruir el servicio desde copias de seguridad sobre la nueva plataforma “CodeRED by Crisis24”. No obstante, los backups disponibles databan del 31 de marzo de 2025, lo que dejó fuera de la restauración a parte de los registros recientes y de las cuentas de usuarios, complicando el restablecimiento normal de las operaciones.
Impacto en autoridades locales y servicios de emergencia
Numerosos condados, ciudades y agencias de seguridad pública de Estados Unidos han informado de interrupciones significativas en sus sistemas de alertas de emergencia. Los problemas no se limitaron a fallos técnicos en el envío de notificaciones, sino también a la necesidad de reconfigurar flujos de trabajo, migrar contactos, volver a registrar usuarios y validar canales de comunicación en un contexto de alta presión operativa.
Algunos clientes gubernamentales han empezado a contemplar la rescisión de contratos con CodeRED a raíz del incidente. Para los proveedores de servicios de notificación masiva, este tipo de brechas supone no solo un daño reputacional inmediato, sino también un riesgo regulatorio y contractual, dado que la colaboración con administraciones públicas exige niveles reforzados de protección de datos y resiliencia.
Riesgos para los ciudadanos y medidas recomendadas
Como consecuencia de la filtración, se recomienda a todos los usuarios de OnSolve CodeRED que cambien de inmediato sus contraseñas, tanto en esta plataforma como en cualquier otro servicio donde pudieran haber reutilizado las mismas credenciales. Es imprescindible adoptar prácticas básicas de higiene digital: contraseñas únicas, largas y complejas, uso de gestores de contraseñas y activación sistemática de la autenticación multifactor (2FA).
Asimismo, los usuarios deben permanecer especialmente alerta ante correos electrónicos, SMS y llamadas sospechosas. El acceso de los atacantes a datos de contacto precisos incrementa la probabilidad de campañas de spear phishing altamente personalizadas, orientadas al robo de credenciales adicionales o de información financiera.
Lecciones para la protección de infraestructura crítica y sistemas legacy
Este incidente ilustra con claridad que incluso las plataformas consideradas “obsoletas” pueden seguir siendo piezas centrales de la infraestructura crítica y, por tanto, objetivos prioritarios de los ciberdelincuentes. Las organizaciones responsables de servicios esenciales deben inventariar y auditar de forma periódica sus sistemas legacy, acelerar su sustitución o aislamiento, reforzar los controles de acceso, segmentar sus redes y probar con regularidad sus procedimientos de copia de seguridad y recuperación ante desastres.
Para ciudadanos y entidades públicas por igual, el ataque contra OnSolve CodeRED es un recordatorio de que la ciberseguridad ya no es una opción técnica, sino una condición básica para la seguridad física. Adoptar buenas prácticas de gestión de contraseñas, desplegar autenticación multifactor, formar al personal frente al phishing y exigir garantías robustas a los proveedores tecnológicos son pasos esenciales para reducir el impacto de futuros ciberataques y proteger tanto los datos como la vida de las personas.
