📣 Comunicado de CAB Group SRL: Potenciando la Conectividad y la Educación en el Complejo Educativo Gurruchaga
21 agosto, 2023Qué se sabe sobre el hackeo a Payoneer, la plataforma de pagos utilizada por argentinos que perdieron sus ahorros en dólares
20 enero, 2024La semana pasada comenzó una larga pesadilla para IFX Networks. Personal de soporte técnico en Bogotá trató de acceder a la consola de administración con la que gestionan la conectividad y servicios en la nube de más de 4.200 empresas de todos los tamaños en América Latina –1.800 de ellas en Colombia–, tras las quejas de clientes en Chile, atendidos desde Colombia, al quedar fuera del aire.
Y no pudieron ingresar. En cambio, les apareció en la pantalla un Mario Bros haciendo la ‘V’ de la victoria y debajo un mensaje en inglés: “Bienvenido a RansomHouse, usted está bloqueado por Mario. Si usted está leyendo este mensaje, significa que su infraestructura de red está comprometida, los datos críticos de sus clientes han sido filtrados, los respaldos de todo han sido destruidos y la información se ha encriptado”.
El horror: la temida RansomHouse tenía secuestrada la plataforma de gestión de IFX y la información de sus clientes. “Nos indican que son más de 700 máquinas afectadas (entre servidores físicos y virtuales). Son muchísimas empresas y entidades comprometidas”, le explicó a EL TIEMPO Julio César Mancipe, asesor en ciberseguridad de la Presidencia.
Tan solo en las entidades estatales se habla que la afectación se dio en 46 de ellas; de las cuales 25 tienen servicios de conectividad contratados con IFX Networks, mientras que otras 21 tienen servicios y/o aplicativos en la nube de esa empresa y, por ende, son las más comprometidas.
La ‘puerta’ por donde entraron los criminales fue a través de un producto marca VMWare con el que se crean y operan servidores virtuales, al parecer sin actualizar. Error infantil.
Además, semejante golpe no ocurrió la semana pasada. “Para analizar, identificar y encriptar la cantidad de datos que secuestraron se tuvieron que demorar meses adentro”, señaló Andrés Cajamarca, gerente de ingeniería de Fortinet.
Los bandidos se ‘engüacaron’, pues su objetivo es uno y único: cobrar un jugoso rescate por la llave virtual que quita el candado digital que les pusieron a los sistemas de información de IFX Networks y a los datos y aplicativos de sus clientes.
Vidas humanas en juego
Uno de esos, el Ministerio de Salud: le secuestraron la plataforma misional del Sistema Integrado de Información de la Protección Social (Sispro) y su aplicativo Mipres, donde los médicos ordenan medicamentos, tratamientos, cirugías, todo.
Por ello, el plan de contingencia ordenado por el ministro de Salud fue pedir a todas las EPS, hospitales, IPS y demás instituciones que volvieran al papel y lápiz para funcionar.
De ese modo, por ejemplo, están registrando a las personas nacidas y fallecidas; tratando de seguir adelante con cirugías y consultas de alta complejidad, así como citas, tratamientos y terapias, entre otros servicios. Hospital o EPS que tenga su sistema activo puede funcionar, pero al momento de requerir datos del Minsalud, quedan bloqueados.
“Están tratando de recuperar la información pidiendo a instituciones médicas que si tienen bases de datos del ministerio, por favor, las reporten y devuelvan”, explicó una persona familiarizada con el PMU, labor que está lejos de ser una solución.
Hay riesgo de colapso en atención a la ciudadanía en salud. EL TIEMPO conoció que IFX tiene como meta activar los servicios de sus clientes el 22 de septiembre, aunque técnicamente no hay certeza de si lo van a lograr.
En el caso de la Judicatura, al menos dos millones de procesos quedaron afectados por el ataque, informó Saúl Kattan, alto consejero presidencial para la Transformación Digital, al tiempo que se afectaron las plataformas de servicios judiciales.
Acá la respuesta de la Judicatura fue suspender los términos judiciales hasta el 20 de septiembre y también invocaron el trabajo presencial, con papel y lápiz, para seguir atendiendo en juzgados y en audiencias.
La Superintendencia de Industria y Comercio “se salvó porque era cliente solo de conectividad” en IFX, no de sus aplicativos en la nube, por lo que pudo reactivarse rápidamente, reveló una fuente del PMU a EL TIEMPO.
Los errores de IFX
Porque ese fue otro grave error: IFX sí contaba con sistemas de respaldo (backup), pero en el mismo ambiente tecnológico donde se hizo el ataque, no en otros centros de datos distintos, como manda la teoría.
“En el Ministerio de Salud están molestos porque consideran que el servicio de respaldo por el que pagaban no fue eficiente ni en verdad un backup profesional”, comentó un ingeniero que labora en dicha entidad.
Otra fuerte crítica que ha recibido la empresa tiene que ver con su extremo hermetismo. Si bien lo recomendable es mantener en sigilo los procesos requeridos en un caso de estos, en el Gobierno y las entidades afectadas hay una profunda preocupación ante la poca o nula información que han compartido para dimensionar y tasar el alcance preciso del ataque.
Al cierre de esta edición, IFX no había informado al Gobierno la cantidad exacta de empresas afectadas; tampoco el tipo de ransomware que lo afectó.
“Esta falta de claridad ha generado un profundo desconcierto y ha dejado a los afectados en un estado de incertidumbre innecesario. Esto socava la capacidad de planificación y respuesta de estas empresas”, dicen expertos de Ciberseguridad Latam.
La situación es grave. El único avance que se ha tenido son las mesas de trabajo entre IFX y las principales entidades afectadas: Ministerio de Salud, Supersalud, Minagricultura e ICA, que comenzaron ayer, y la Presidencia logró acordar entre las partes.
El ‘Informe sobre ransomware 2023’ de Zscaler arroja un crecimiento en los ataques de este tipo a nivel mundial de casi el 40 por ciento en el último año con una notable tendencia al secuestro de datos ya no por cifrado de los mismos, sino por vía de la extracción de los datos. Y diversos expertos y entidades han advertido que América Latina es una de las regiones menos preparadas para enfrentar esta modalidad de ciberdelincuencia.
Fiscalía inició las investigaciones
El ente judicial visitó la sede de IFX Networks en Bogotá para acoger la denuncia formal de la empresa. En la diligencia se tomaron las pruebas, los datos hasta el momento identificados de la modalidad, tipo de código de ransomware utilizado y las empresas afectadas. Aunque en comunicado del PMU se dice que 50 organizaciones públicas y privadas han pedido ayuda, se sabe que son muchas más, decenas de compañías y entidades las que están afectadas en todo el país. Se calcula que solo en Colombia IFX atiende a unos 15.000 clientes de todos los tamaños.
También se supo que varios de ellos se organizan para instaurar demandas contra la empresa por los daños ocasionados a sus negocios.
¿Quiénes son los de RansomHouse?
En 2021 se tienen las primeras referencias de este grupo.
Se les achacan ataques a empresas de tecnología como AMD y Adata, también de salud como Keralty en Colombia, a la que le habrían exigido US$ 3 millones por devolverles el acceso a su plataforma, pago extorsivo que nunca se hizo.
Según Carlos Contreras, director de Ciberseguridad en Minsait, “estas organizaciones operan de manera estructurada y con roles especializados”: tienen desarrolladores de los virus, negociadores de los rescates y blanqueadores de los recursos que captan.
Andrés Roldán, de Fluid Attacks, señaló que “este grupo usa el modelo de ‘ransomware as a service’, donde alquilan a otros los códigos para sus ataques” por una ‘comisión de éxito’.
Se calcula que en este caso de IFX podrían estar exigiendo entre US$ 5 y US$ 6 millones por la devolución de los sistemas secuestrados. Pagar no está recomendado, pero algunos expertos consideran que es una opción.
“Es su negocio y lo que se dice es que cumplen si se les paga, lo cual es algo malo porque se sigue alimentando el ransomware”, explica Andrés Cajamarca, de Fortinet.
Lo ideal es contar con las herramientas para prevenir y recuperase ante un ataque.
Los aprendizajes que nos deja el ciberataque
- Ojo con las puertas abiertas. Se dice que por donde entraron los ciberdelincuentes a los sistemas de IFX habría sido por una ‘puerta’ que se sabía abierta. Mantener los sistemas actualizados, los parches recientes y revisar constantemente que no haya puertas traseras abiertas es fundamental para el cuidado.
- El respaldo. Otro error técnico, según ha trascendido, es que el servicio de backup, de respaldo, de IFX, habitaba en la misma plataforma atacada. Es decir, no existía el tal backup. Un respaldo debe estar ubicado físicamente en otros servidores, con redundancia y comunicación de doble canal, para garantizar su actualidad e integridad.
- Permitir la ayuda. Cerrarse y bloquear cualquier intento de ayuda externo no es lo mejor. Si bien debe existir un manejo sigiloso y cuidadoso, al parecer IFX ha optado por aislarse del apoyo de empresas expertas para aportar en la recuperación de todo. Mal.
- No volver esto un tema político. En nada ayudan aquellas voces que desde una orilla política intentan sacar rédito criticando, señalando, opinando de tecnología (¡bendito!), sin la menor idea, ampliando el efecto que más le sirve al atacante: asustar y genera pánico para presionar el pago de su extorsión.
- La ausencia de capacidad institucional. Quedó en evidencia la necesidad de contar con una entidad del Estado sólida, con poder, con capacidad de traccionar acciones interinstitucionales y de conminar a quien sea, público o privado, para que se avance y se solucione. A punta de recomendaciones y sugerencias amables no se contiene un ataque de este volumen.