Tecnología

Hackeo a Hacienda: ¿qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?

Hay que tener antivirus y otras herramientas, implementar estrategias de seguridad y conocer cómo actúan los ciberdelincuentes

La advertencia de un ataque tipo ransomware sobre los sistemas informáticos del Ministerio de Hacienda habría activado los protocolos protección, que incluían la suspensión de los servicios en línea del sistema de la Autoridad Virtual Tributaria (ATV) y de TICA (Tecnología de Información para el Control Aduanero). Según los expertos en ciberseguridad también es posible que, si hubo un ataque, el ransomware del grupo conocido como Conti pudo inutilizar ambos servicios.

El ransomware es un software maligno (malware) que secuestra datos de empresas o entidades con fines extorsivos.

En cualquier caso, empresarios saben qué efecto tendría una situación similar en su negocio, con la caída de los sistemas de cajas, tienda en línea, inventarios, contabilidad, recursos humanos o gestión de clientes. Saque calculadora y estime las ventas pérdidas, los costos del daño y los gastos de recuperación, reparación y protección, y la pérdida de la reputación de la empresa ante proveedores, clientes, accionistas, personal, bancos y en el mercado.

“A cualquiera le puede pasar”, advirtió Juan Bustos, gerente país de sistemas aplicativos de Sisap. “A cualquier institución importante o empresa, grande o pequeña”.

Las firmas de seguridad informática coincidieron en que los sitios que brindan reportes sobre ciberataques hicieron eco del anuncio de Conti sobre el ataque a los sistemas de Hacienda, incluyendo una probable extorsión por $10 millones.

El Ministerio de Hacienda comunicó que la información expuesta no afecta las actuaciones operativas o de fiscalización del Servicio Nacional de Aduanas y que lo divulgado mediante redes sociales no corresponde a información actual y ni a la nueva metodologías de riesgo de esa entidad.

A nivel global los ataques de ransomware se multiplicaron por seis en 2021, en relación al 2020. Los ransomware aparecieron en la década de 1980, pero no eran tan efectivos por la menor conectividad y digitalización. Volvieron a surgir en la década de 2010 para extorsión de bajo monto a usuarios. A partir de 2017 se enfocaron, con ataques sofisticados y más dirigidos, a las empresas y entidades. Son uno de los tantos malware con que se ataca diariamente a las organizaciones.

Conti es un Rasomware as a Service (RaaS) desarrollado en 2019 para que otros grupos ejecuten ataques extorsivos. Pertenece a las nuevas y más sofisticadas formas de ciberdelincuencia. Según Sisap, Conti ha permitido extorsiones por más de $2.000 millones a nivel global. El ransomware realiza ataques tipo phishing, con correos electrónicos o mensajes fraudulentos que, una vez abiertos por los usuarios, ingresan a los sistemas corporativos. También, explora vulnerabilidades de sistemas.

Soluciones Seguras, distribuidor de la marca Check Point, reportó que durante los últimos seis meses aumentaron los ataques locales de 944 a 1.468 por semana, en particular en el sector público. El troyano Emotet —un malware que se instala en un dispositivo para eliminar información o enviar datos confidenciales a una dirección externa— impactó al 8% de las empresas y entidades.

—Ponga atención a las advertencias

Cuando se presenta un aviso extorsivo, tómelo en serio. Si bien hay casos donde no se hizo efectiva la amenaza (extorsión informativa), la mayoría de los casos fueron reales (publican información confidencial).

“De acuerdo a los antecedentes en distintos ataques de ransomware por lo general las amenazas son ciertas”, advirtió Miguel Ángel Mendoza, investigador de Eset Latinoamérica.

En cualquier caso, deberá evitar que los ciberdelincuentes —que ya habrían ingresado a sus sistemas— afecten a otros sistemas informáticos mediante la suspensión de servicios afectados. “Es un procedimiento usual para evitar la propagación”, explicó Luis Carlos Guevara, gerente de servicios forenses financieros y en respuesta a incidentes cibernéticos de EY.

La suspensión de los servicios debe ir seguida por la implementación de protocolos de restablecimiento de los servicios si se cuenta con respaldos de información. En el caso del supuesto ataque a los sistemas de Hacienda, la advertencia indica que se obtuvo 1 TB de datos que se podrían publicar el 23 de abril próximo.

—Tenga sistemas de respaldo

La información de su empresa debe tener un respaldo actualizado. Los respaldos deben estar fuera de su empresa y fuera del alcance de cualquier atacante.

Con los respaldos le será posible reanudar los servicios y sistemas de la empresa o institución con rapidez.

—Tenga un escudo

Adopte protocolos y herramientas de protección de la información que cumplan con los estándares mínimos de la industria y establezcan qué hacer en materia de prevención y atención de incidentes. Aplique el principio de “confianza cero”. Soluciones Seguras insiste en utilizar herramientas que incorporen inteligencia artificial para aumentar la eficiencia, velocidad de detección y mitigación de ataques.

Los ciberdelincuentes pueden actuar mediante campañas, buscando de forma aleatoria algún sistema no actualizado o una mala práctica informática de la empresa y de sus usuarios. También, pueden actuar de forma dirigida, donde eligen incluso un momento clave para la empresa. Prepárese para identificar los riesgos, protegerse y proteger los sistemas y los datos de forma proactiva. Lo ideal, dijo Bustos, es no tener que llegar a tener que responder.

Implemente programas de doble autenticación y verifique que los sistemas operativos y los software, aplicaciones web y apps estén actualizados y cuenten con los últimos parches de seguridad.

—Responda

En caso de un incidente debe contar con un equipo multidisciplinario. Incluya un experto en gestión de crisis: para la comunicación a sus diferentes audiencias (proveedores, clientes, accionistas, personal, bancos y en el mercado). En algunos mercados se exige, por legislación, indicar el grado de afectación y las implicaciones para cada audiencia, de forma que también puedan protegerse ante cualquier extorsión.

También recurra a un experto en respuesta a incidentes de ciberseguridad, con conocimiento y experiencia para reaccionar, contener el ataque, erradicar los malware, ayudar a recuperar los sistemas y limitar los daños a nivel tecnológico, financiero, comercial y de reputación de marca.

—No pague

Los especialistas recomiendan no pagar a los ciberdelincuentes. Enfóquese en restablecer la información y reanudar los servicios, comunicar a sus públicos para que estén preparados y reducir los daños.

No es seguro que, pagando, se recupere toda la información y muy probablemente ya han comercializado partes o todos los datos a terceros, quienes podrían utilizarlos para venta de secretos comerciales o industriales y cobro extorsivo a usuarios. Al pagar, advirtió Mendoza, estará financiando las actividades de la industria de ciberdelincuencia.

—Tenga en cuenta el impacto legal

La información de proveedores, clientes, accionistas, personal y bancos es entregada a su empresa o entidad por la confianza que ellos le tienen. Si se comprueba que hay negligencia en la custodia de esos datos, la empresa o entidad podría enfrentar litigios, demandas y pagos de multas y hasta indemnizaciones.

—No pierda la calma

Los ciberdelincuentes realizan varios intentos para ver a cuáles empresas o instituciones logran extorsionar y muchas veces abandonan los proyectos, en particular cuando se inicia la investigación del ataque. Se puede recurrir a ejercicios de ingeniería inversa para identificar las claves o métodos de encriptación de los datos cuando fueron cifrados.

—Eduque a su gente

La capacitación y el impulso de una cultura de protección y prevención cibernética es clave. Según EY, el 40% de los ataques son a través de los usuarios que deberían saber identificar un correo electrónico o un sitio web peligroso. Realice campañas de ciberseguridad con los clientes, proveedores, accionistas y colaboradores que ingresan con sus claves a sus sistemas y servicios.

“Se debe apuntar a la prevención”, insistió Mendoza, de Eset. “Ahora, hay que tener antivirus y otras herramientas, implementar estrategias de seguridad y conocer cómo actúan los ciberdelincuentes”.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".

LE RECOMENDAMOS

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores para comentar sobre el contenido de los artículos, no sobre los autores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.