| Por Lcdo. Alberto Gutiérrez |
Era el año 1989 y los disquetes de 5,25 pulgadas vivían sus años de popularidad, en ese entonces representaban la manera más fácil y rápida de compartir información. Con la etiqueta “Disquete de información introductoria sobre el SIDA” (enfermedad viral identificada casi una década antes) 20000 copias fueron distribuidas en unos 90 países por correo postal. Al ejecutar el disquete el usuario se encontraba con un cuestionario que le permitiría conocer si pertenecía a algún grupo con mayor riesgo de contraer VIH.
Al siguiente día todos aquellos usuarios que realizaron el cuestionario, al encender sus computadoras se encontraron con una ventana de color rojo y un mensaje en blanco en el que se solicitaba “renovar la licencia” mientras tanto la máquina permanecería bloqueada e inutilizable. El programa había cifrado el disco duro y solo pagando la cantidad de 189 USD a una tal PC Cyborg Corporation se le enviaría la clave para poder recuperar el control de sus archivos. Empezaba así, el primer ataque Ransomware de la historia.
Con el acelerado desarrollo de las tecnologías de la información y la comunicación en las décadas siguientes evolucionaron también los medios de propagación con técnicas de ataque más sofisticadas, incrementando el nivel de daños ocasionados y obviamente los rescates solicitados se volvieron millonarios. En el año 2017, un Ransomware atacó los sistemas informáticos de la empresa española Telefónica, paralizando casi la totalidad de sus operaciones, presumiblemente mediante una campaña de spam, es decir, correos electrónicos masivos con archivos o enlaces adjuntos infectados enviados a varios empleados de la empresa que al hacer un simple click abrieron la puerta de los sistemas a los atacantes, pero lo peor aún estaba por venir ya que los ciberdelincuentes convirtieron el virus en un gusano que se propagaba solo y de forma automática por la red, convirtiéndose así en un ciberataque masivo que afectó a cientos de empresas y organismos en más de 100 países, desde 40 hospitales en Reino Unido a corporaciones en EEUU, Portugal, Rusia, China, Italia, Japón o Alemania.
La paralización de CNT, la pesadilla de toda empresa
El ataque informático sufrido por la Corporación Nacional de Telecomunicaciones del Ecuador ha paralizado casi la totalidad de sus operaciones, con sus sistemas informáticos inutilizables los empleados ni siquiera han podido acceder con sus credenciales para realizar sus actividades diarias. Compras y pagos a proveedores, procesos de incorporación de nuevos empleados y salidas, recaudación de servicios particulares y corporativos, reconexión de servicios, incluso la interrupción de servicios en otras instituciones como la Superintendencia de Compañías, lo que ha provocado millonarias pérdidas y ha puesto en riesgo la información de todos sus clientes, aunque la entidad, en un comunicado, aseguró que los datos de sus usuarios “se encuentran debidamente resguardados” y que su equipo técnico ha implementado las soluciones informáticas necesarias y ha tomado las debidas medidas de protección, además, reconoció que el ataque “afectó los procesos de atención” en sus Centros Integrados de Servicio y Contact Center, en resumen, la pesadilla de toda organización con características similares a las de CNT.
La ministra responsable de telecomunicaciones, confirmó que se trata del ataque de un virus informático de la familia RansomEXX. “Este tipo de amenazas atacan diversas instancias: el lugar físico, la red o las bases de datos”, indicó la Ministra y aclaró que, en el caso de CNT, “afectó únicamente a los sistemas informáticos”, por lo que el funcionamiento de áreas como facturación, activaciones y recargas se alteró. El gobierno nacional ha decretado estado de emergencia institucional y anunció medidas tras los ataques, a pesar de esto, la mayoría de los servicios afectados aún no se han reactivado a la fecha de escrito este artículo. La institución ya realizó las denuncias pertinentes ante la Fiscalía para que proceda a realizar las investigaciones periciales y forenses con el fin de ubicar a los responsables del masivo ataque que sigue generando problemas sobre todo en los usuarios.
¿Qué es el Ransomware?
Para entender lo sucedido, es necesario hablar sobre RANSOMWARE, una de las formas de ataque más comunes y que puede llegar a costar millones a las víctimas. Se trata de un software malicioso que “secuestra” un dispositivo con toda la información y datos que contiene, bloqueando el acceso a sus usuarios legítimos. Una vez se hace con el control de una PC, automáticamente se pide una recompensa para liberar la información y los datos comprometidos.
El Ransomware es un tipo de virus perteneciente a una familia más amplia conocidos como MALWARE, nombre con el que se conoce a este tipo de software malicioso, que afecta los equipos casi siempre con el objetivo de obtener un beneficio económico por parte de las víctimas, ninguna empresa o incluso nosotros, los usuarios individuales estamos libres de ser atacados por uno de estos virus, por lo que es importante la sensibilización en temas de ciberseguridad.
En el caso específico del RansomEXX, que fue el que afectó a la CNT, son virus que se sirven de un troyano el cual se esconde en archivos con suficiente espacio como videos o software ilegal. En el caso del PC Cyborg que vimos al inicio el virus se propagó, por así decirlo, de una forma manual enviando los disquetes a través de correo postal ya que estos representaban el medio de almacenamiento externo más eficiente en aquella época, actualmente uno de los métodos más eficaces usados por los cibercriminales es el envío masivo de correos electrónicos, ataque conocido como Phishing, si un empleado de la empresa hace clic en el enlace o archivo adjunto inconscientemente (y en muchos casos de forma voluntaria como cómplices de los atacantes) concede el acceso al software malicioso y comienza el secuestro de la información. Una vez el sistema ha sido infectado, los hackers buscan obtener permisos de administrador del sistema y se propaga la infección a través de una librería de software cifrando todos los contenidos.
¿Son inevitables este tipo de ataques?
El caso de la CNT pone de manifiesto un problema que se ha agravado a nivel mundial desde el inicio de la pandemia, este mismo virus ya había atacado previamente a otras instituciones como el ayuntamiento de Castelló en España, la firma japonesa Konika Minolta, empresas petroleras en Indonesia y Brasil, así como al Departamento de Transporte de Texas en los Estados Unidos.
Si hablamos de ciberseguridad es fundamental entender los tres pilares sobre los que se asienta la seguridad informática de una organización: la confidencialidad, la integridad y la disponibilidad conocida como la tríada CID.
La confidencialidad garantiza la privacidad de los datos, las políticas de una empresa deben incluir la restricción del acceso a la información únicamente al personal autorizado y garantizar que solo ese personal pueda manipular dicha información.
La integridad, por otro lado, garantiza que la información sea precisa y confiable, los datos deben permanecer inalterados durante la transferencia y no deben ser modificados por entidades no autorizadas.
Por último, la disponibilidad garantiza que la información esté disponible únicamente para las personas autorizadas, con conocimiento y formación adecuada en temas de ciberseguridad. Mantener los equipos, realizar reparaciones de hardware, mantener los sistemas operativos y el software actualizado, así como crear respaldos, garantiza la disponibilidad de la red y los datos a los usuarios autorizados.
Los ciberdelincuentes son expertos en aprovecharse de las debilidades técnicas y organizacionales de las compañías, por ejemplo, en el caso de que un empleado haga clic en enlaces infectados podemos hablar de una vulnerabilidad en la organización porque estamos hablando de una persona con escaso o nulo conocimiento y formación en temas de ciberseguridad. Lamentablemente este tipo de comportamientos son comunes en empleados de todos los rangos, con la diferencia de que el acceso y los permisos son distintos, por lo que es usual que aquellos empleados con cargos gerenciales o directivos sean el target predeterminado a la hora de enviar estos ataques, mientras que los empleados que no están en puestos estratégicos solo tienen permisos de usuarios, no de administradores. De todas maneras la capacitación constante y la implementación de protocolos de actuación son fundamentales para reducir las vulnerabilidades en la organización de cualquier institución.
Proteger de forma absoluta a las organizaciones contra cualquier ciberataque no es factible por varios motivos, la experiencia necesaria para configurar y mantener la red segura puede llegar a ser muy costosa y de todas formas los criminales siempre seguirán encontrando nuevas formas de atacar. Con el tiempo, un ciberataque sofisticado y dirigido tendrá éxito. La prioridad y lo verdaderamente importante será con qué rapidez el equipo de seguridad de la organización puede responder al ataque para minimizar la pérdida de datos, el tiempo de inactividad y la pérdida de ingresos.
Ecuador pierde el año en Ciberseguridad
Lo acontecido el pasado 14 de julio en la Corporación Nacional de Telecomunicaciones no es nada nuevo, de hecho como hemos visto incluso grandes empresas como Telefónica han sido víctimas de ataques similares, lo verdaderamente preocupante es que no se hayan tomado las medidas necesarias para minimizar los riesgos y peor aún, que no se trate de un caso aislado, en los últimos años Ecuador ha dado indicios de ser uno de los países más vulnerables a este tipo de ataques. En febrero del 2021 el Banco Pichincha, la institución financiera más grande del país, reconoció que “hubo un acceso no autorizado a los sistemas de un proveedor que presta servicios de mercadeo del programa Pichincha Miles” y aunque los representantes del banco aseguraron no encontrar evidencia de afectación a los sistemas del banco, en una entrevista con Bleeping Computer los hackers de Hotarus Corp le daban 13 días al Banco para pagar el rescate por unos 80 gigabytes de información secuestrada y aseguraron que producían estos ataques para conseguir dinero a través de la venta de tarjetas de crédito de los clientes del banco e indicaron haber vendido unas 37.000 tarjetas.
Según el Índice Global de Ciberseguridad GCI Ecuador ha sido calificado con una puntuación de 0.36 sobre 1 ubicándose en un nivel medio aunque muy cercano al nivel bajo (considerado en 0.33 sobre 1) ocupando de esta manera el puesto número 15 del ranking en la región y el puesto 98 a escala mundial. A nivel de Sudamérica se ubica en la 8va casilla solo por encima de Venezuela y Bolivia, mientras que en el otro lado el mejor punteado es Uruguay como el más comprometido en temas de ciberseguridad. El GCI es desarrollado por la Unión Internacional de Telecomunicaciones ITU y sirve para monitorear los niveles y el compromiso con la ciberseguridad de los 194 países miembros, este índice combina 25 indicadores agrupados en temas como: marco legal, entidades reguladoras, cooperación y programas de investigación y desarrollo.
Porque el ataque a CNT debe preocuparnos a todos
Si bien podríamos pensar que esta clase de ataques nos perjudica únicamente en la medida que usemos los servicios de la empresa atacada, la verdad es que no estamos exentos de sufrir un ataque directo. Los cibercriminales no solo intentan vulnerar los sistemas informáticos de grandes empresas, si bien este tipo de ataques tienen un rendimiento económico superior, existen varios tipos de ataques que se ejecutan contra usuarios particulares y que también comprometen sus recursos económicos, desde estafas a través de canales digitales hasta el propio ransomware utilizado contra los dispositivos electrónicos que utilizamos diariamente. El razonamiento más bien debería ir en el sentido de que, si una enorme institución como CNT o Banco Pichincha que cuentan con departamentos de Tics y expertos en ciberseguridad llegan a sufrir este tipo de ataques, cuál es el nivel de vulnerabilidad que puede esperar un usuario promedio de la red que en muchos de los casos ni siquiera tiene instalado un cortafuego o un antivirus en sus dispositivos personales.
Vivimos el siglo de la información, enormes cantidades de datos transitan y se comparten por la red. Nunca antes en la historia de la humanidad pudimos comunicarnos de una manera tan eficaz y rápida. La red de información digital interconectada se ha convertido en una parte integral de nuestra vida cotidiana y a medida que nos volvemos dependientes de esta red también crece nuestra vulnerabilidad.
La Ciberseguridad se convierte entonces en el método mediante el cual protegemos nuestros sistemas o dispositivos conectados a la red contra el uso indebido o no autorizado de nuestros datos, la concientización y sensibilización en estos temas a todos los usuarios de la internet debe ser una prioridad de instituciones, organismos y del propio Estado. En efecto, el caso de CNT debería preocuparnos a todos ya que el solo uso de la red mundial interconectada, ya sea utilizando redes sociales, WhatsApp, cuentas de email o servicios financieros nos convierte en usuarios vulnerables y potenciales víctimas de los ciberdelincuentes.
● Banco Interamericano de Desarrollo. (2020). Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y el Caribe. Reporte de Ciberseguridad 2020. BID, OEA: Observatorio de Ciberseguridad.
● CISCO Network Academy. (2020). Introducción a la Ciberseguridad. NETCAD
● Di Lorio, A. (2017). El rastro digital del delito, aspectos técnicos, legales y estratégicos de la informática forense. Mar del Plata: Universidad FASTA Ediciones
