Ataques informáticos hieren la red de gobiernos latinoamericanos y amenazan a Chile
El ransomware Conti ya ha atacado a Costa Rica y Perú. El ataque es de tal magnitud que EE.UU. ofreció recompensa por datos para llegar a los ciberdelincuentes y Costa Rica decretó esta semana estado de emergencia. En el país están alertas por su posible llegada.
El miércoles, el gobierno de Costa Rica publicó un decreto para declarar estado de emergencia ante una ola de ataques informáticos que provocó que varios servicios dejaran de atender y que, además, comprometió información importante almacenada en servidores de entidades gubernamentales.
El estado de emergencia se produce tras un mes de sucesivos ataques de ransomware atribuidos a Conti, un grupo de ciberterroristas y cibercriminales de habla rusa.
El ransomware es un tipo de software malicioso que encripta la información de computadores o redes para evitar que sus usuarios puedan acceder a los datos y trabajar con normalidad. En la mayoría de los casos aparece una pantalla de bloqueo con un mensaje en que se cobra recompensa, que en caso de corporaciones y gobiernos puede llegar a los millones de dólares.
"Normalmente es un pago en criptomonedas que hay que realizar en un determinado período de tiempo. De no hacerlo, la información se pierde o queda encriptada, lo que ha causado, incluso, que empresas quiebren por no poder seguir con sus operaciones. Si se paga, supuestamente los ciberdelincuentes envían un código para poder desencriptar la información y trabajar normalmente", dice Germán Fernández, director de Operaciones de la empresa de CronUp Ciberseguridad.
Los ataques comenzaron en abril y el primer blanco fue el Ministerio de Hacienda de Costa Rica, lo que afectó varios de sus sistemas, incluidos los que tienen que ver con la recaudación de impuestos y sistemas de aduanas. Luego siguieron la agencia de Seguridad Social y al Ministerio del Trabajo.
El ataque es de tal seriedad que el Departamento de Estado de EE.UU. ofreció una recompensa de US$ 10 millones por información que conduzca a la identificación de miembros del grupo.
Conti apuntó ahora a Perú. "En su sitio en la Deep Web comenzaron a publicar archivos con evidencia de que tienen información valiosa en su poder. El primer ataque fue a la Dirección General de Inteligencia (Digimin) del Ministerio del Interior", dice Fernández.
"Son ataques complejos. Es una verdadera industria del crimen, una banda muy organizada a tal punto que muchos de ellos no se conocen entre sí ni nunca han hablado", agrega.
El especialista dice que este tipo de ataques usa una modalidad llamada Ransomware-as-a-Service (RaaS), es decir, los desarrolladores del ransomware lo venden como si fuera un servicio para que otros lo exploten comercialmente. "Hay quienes se encargan de infectar a las víctimas, otros se encargan de la parte comercial, es decir, concretar que se hagan los pagos y después repartir el dinero, etc.".
Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis de Kaspersky en América Latina, dice que de esta banda se sabe que hablan ruso. Según el especialista, una de las razones por las que se han acrecentado los ataques en estos meses es porque las sanciones a Rusia hacen que la economía de ese país esté empeorando. "Lo que buscan es el pago en criptodivisas para contar con dinero rápido".
Pero, ¿por qué su foco en países de Latinoamérica? Beztuzhev cree que es porque es una región alejada del conflicto bélico. "Se dieron cuenta de que es mejor atacar países que no estén vinculados y alejados del conflicto, para que no los vinculen con él, y Latinoamérica es el escenario perfecto".
Preparación local
"El principal vector de contagio del ransomware Conti es el phishing , es decir, el correo electrónico engañoso. De ahí se propaga a la manera de un troyano y te roba información. Si llega al computador preciso y al usuario indicado los atacantes pueden tomar control de la red y robar información valiosa", dice Carlos Silva, jefe del CSIRT, el organismo encargado de la seguridad informática de las redes del Estado.
Y añade: "En este caso se trata de una doble extorsión: por un lado te piden recompensa para que puedas desencriptar la información. Pero por otro lado, te amenazan con hacer pública información valiosa y privada", aclara.
Hernán Espinoza, encargado de auditoría en ciberseguridad en el CSIRT dice que es difícil la atribución del delito. "Son estructuras criminales bien armadas y son tan osados que se ha visto que ofrecen dineros a funcionarios para que instalen el malware al interior de su organización", señala.
Desde el CSIRT ya advirtieron a los organismos del Gobierno para que estén atentos a la amenaza, activaron sus protocolos de seguridad y generaron una alerta. "Lo que les decimos a las instituciones siempre es que se preparen para lo peor, que no den por descontados que están seguros", dice Espinoza.
Por ahora no se ha detectado este ataque en Chile, dicen desde CSIRT. Pero Dmitry Bestuzhev agrega que Chile está en la mira: "Se sabe que es un país que tiene más recursos y es reconocido por su desarrollo. Probablemente esté en los planes".
Al ser consultados de cómo se puede estar preparado, los especialistas de CSIRT dicen que el respaldo de la información es lo más crítico, ya que se puede atacar Conti, pero teniendo un respaldo se pueden reiniciar los sistemas y volver a operar rápidamente, para que la operación se vea afectada el menor tiempo posible.
"Pero se ha sabido de instituciones que incluso teniendo respaldos los han perdido porque se encuentran en la misma red. Por eso conviene tenerlos en redes aisladas, incluso en otro edificio", dice Espinoza.
En ese sentido, la organización advierte que hay decretos y directrices a nivel nacional que norman las acciones preventivas y reactivas de los organismos del Gobierno ante las amenazas y ataques informáticos.
El jefe de CSIRT explica que la directriz de la organización es que no se debe pagar rescate a los ciberdelincuentes, no solo porque financia una actividad delictual, "sino porque nadie garantiza que no te seguirán cobrando a futuro o que no vendan tu información a terceros".
Y añade que el CSIRT de las Américas, organización que coordina y unifica a los CSIRT de la región, ya impartió la alerta pertinente y está atenta a esta amenaza.
Problema latenteCSIRT dice que solo en abril detectaron 9.400 correos con malware en Chile y que se bloquearon 400 mil ataques en busca de vulnerabilidades en las redes.
"Al público general la recomendación es que denuncie todo ataque e infección de ransomware , aunque sea difícil encontrar a los ciberdelincuentes, ya que nos sirve para conocer el tipo de amenazas, cómo operan y cuánta gente está siendo afectada. Y si tienen dudas pueden llamar al número 1510 que es el habilitado para responder a las dudas y denuncias de la población", dice Espinoza.