Ciberataque en Colombia: ¿cuál es el camino para tratar de volver a la normalidad?

La vida después de un ciberataque de gran calado es un poco como caminar en medio de la niebla: no se ve mucho hacia dónde se va, pero hay que seguir hacia delante.

La vida después de un ciberataque de gran calado es un poco como caminar en medio de la niebla: no se ve mucho hacia dónde se va, pero hay que seguir hacia delante.

Lo que pasó esta semana es, hasta la fecha, uno de los peores incidentes de ciberseguridad en el continente.

Lea también: Ciberataques: consejos de seguridad digital para evitar daños y robo de datos

Hasta el cierre de esta edición, no resultaba claro el número exacto de entidades y servicios afectados por el ataque contra la empresa IFX Networks, que presta servicios de tecnología en más de una docena de mercados, incluyendo Colombia y Chile, en donde se registraron las peores afectaciones (con especial énfasis en nuestro país).

Los dos renglones más afectados hasta el momento han sido la rama Judicial y el sector de la salud, aunque también hubo problemas en la Superintendencia de Industria y Comercio y el ICA.

En la rama Judicial, el ataque afectó el sistema que se usa para alojar, de manera digital, todos los procesos judiciales, menos los que tienen que ver con tierras. Esto significa que, desde el pasado 13 de septiembre, nadie ha podido acceder a ellos, ni los ciudadanos para revisar su avance, ni los funcionarios judiciales para actualizar los expedientes. Además, en varios juzgados y tribunales, los trabajadores han reportado que no hay conexión a internet, lo que ha complicado todavía más su trabajo, pues todo el sistema judicial funciona de manera virtual desde el primer confinamiento por el covid-19.

Tal es la crisis en la rama que la Judicatura convocó a una reunión de emergencia para entender el alcance del hackeo y tomar decisiones frente a la crisis. Por esa razón, a primera hora del jueves 14 de septiembre, la presidencia de la entidad decidió suspender todos los términos de los procesos.

En otras palabras, cualquier expediente queda congelado hasta el próximo 20 de septiembre, aunque todavía no es claro si esta pausa puede durar más días. Eso sí, la rama aclaró que cualquier entidad judicial puede recibir tutelas, habeas corpus o trámites de control de garantías de manera presencial o por correo electrónico institucional.

Lea también: Crisis en el Canal de Panamá: la falta de agua lo tiene en apuros

En el sector de la salud, según informó el Ministerio, se vieron afectados dos sistemas: uno para prescripción de medicamentos y otro en el que se registran los nacimientos y defunciones. Sin embargo, en ambos casos hay planes de contingencia con respaldos físicos que ya se pusieron en marcha para continuar prescribiendo medicamentos y generando el conteo y los debidos registros y certificados de los colombianos que nacen y mueren.

Esta información es bienvenida, por supuesto. Pero, de fondo, el ataque ha generado la duda de hasta dónde llega el hueco creado por el incidente. El vacío de información es, de cierta forma, una de las consecuencias esperadas en este tipo de escenarios, pues los involucrados no suelen revelar datos de penetración y sistemas comprometidos por varias razones, según explica Adalberto José García, consultor de ciberseguridad en Control Risks.

La primera razón tiene es por el tema reputacional: la vulneración de los sistemas para un proveedor del tamaño de IFX Networks es, sin mayor grandilocuencia, una de las peores cosas que le puede pasar a una empresa de este tipo.

La segunda está más atada a la seguridad de los procesos de recuperación: hasta no establecer, con exactitud, qué datos faltan, qué sistemas han sido cifrados por los atacantes, el alcance y la seguridad de los respaldos hechos, entregar información de más puede comprometer los esfuerzos por volver a la normalidad.

Normalidad puede ser un término exagerado en este punto, pues las soluciones para un ciberataque de este tipo toman tiempo. No hay una bala de plata ni un botón que restaure todo de forma inmediata.

“Dependiendo del impacto, una recuperación 100 % puede tomar meses. En estos casos, cuando los respaldos son muy juiciosos y la salud de esta información es buena podemos estar hablando de una semana, como mínimo, para volver a funcionar. En el peor de los escenarios hablamos de meses”, asegura García.

Saúl Kattan, alto consejero para la Transformación Digital de la Presidencia, ha sido uno de los principales encargados en comunicarle al público qué está pasando. En términos de restablecimiento de servicios, el funcionario no se ha comprometido con plazos, pero sí ha dado a entender que será un proceso lento y largo e invitó hace unos días a tener paciencia.

Un mundo de riesgos

No es para generar pánico, pero la ocurrencia de ataques digitales es un aspecto normal en un mundo interconectado. Su sofisticación y alcance han ido al alza, como lo demuestra el escenario actual, además de los incidentes con Colsanitas y EPM, que dominaron los titulares a finales de 2022 y principios de este año.

Al igual que en el caso de Colsanitas, el ataque contra IFX Networks fue uno de ransomware. Es decir, un secuestro de información. Hasta el momento, nadie ha confirmado si hubo una captura de datos por parte de los atacantes. El Ministerio de Salud informó que, hasta ahora, no se ha evidenciado una fuga de datos de este sector.

Lea también: Las claves para entender lo que pasa con Tigo

El ransomware es una de las modalidades de cibercrimen que más ha crecido en tiempos recientes, según lo confirma García. Estas cifras sirven para entender un poco la magnitud del crimen. Se calcula que, en 2025, el ransomware dejará unos US$10,5 billones anuales en daños a escala global. Esto representa un crecimiento del 300 % frente a cifras de 2015, según la firma de análisis y consultoría McKinsey. Así mismo, para 2022, solo entre enero y agosto, la firma de seguridad Kaspersky registró unos 4.000 ataques de ransomware diarios en Latinoamérica.

Acciones para el futuro

De nuevo, no se trata de morirse del susto, sino de tomar acciones para asegurar respuestas frente a un incidente de seguridad digital. Esta es una discusión que no está sujeta a la posibilidad de ocurrencia, sino más bien a cuándo sucederá.

En Colombia hay un marco normativo razonablemente bueno para lidiar con este tema, afirma Pilar Sáenz, coordinadora del laboratorio de seguridad digital de la Fundación Karisma.

Desde 2012 hay un Conpes de ciberseguridad, que recibe actualizaciones cada cuatro años. La primera política nació con un énfasis demasiado militarista y de capacidades de inteligencia, pero en 2016 viró hacia un escenario de garantizar confianza económica y social (muy en línea con el ingreso de Colombia a la OCDE).

Esto permitió que, desde el marco normativo, se entendiera la ciberseguridad como un asunto de corresponsabilidades, lo que permitió que sociedad civil, academia y empresas entraran en esta discusión y no fuera solo un tema manejado por uniformados.

Lea también: Así lo afecta el ciberataque masivo a entidades del Estado

En esta misma línea, el Colcert (centro que canaliza la respuesta a los incidentes digitales) se mudara del Ministerio de Defensa al de las TIC. Esto, según Sáenz, buscaba generar más confianza en empresas, pues resulta más natural revelarle a la cartera de tecnología cuando hay un ataque (y la información sensible al respecto), dado que esta no tiene capacidades ofensivas entre su portafolio de servicios (y tampoco es un ministerio salpicado por asuntos como las “chuzadas”).

Sin embargo, en opinión de Sáenz, hay cosas que no se han hecho y que, en parte, explican un poco el escenario actual con el ciberataque. Esto incluye, principalmente, la publicación oficial de un listado de infraestructura crítica en Colombia, el cual no solo sirve para enumerar, sino que debe incluir los protocolos de respuesta ante un incidente de este tipo: qué se hace si X o Y sistema queda fuera de línea, por ejemplo. De cierta forma, es lo que sí está sucediendo en el sector de la salud, pero que pareciera no terminar de cristalizarse en la rama Judicial, en donde se debió decretar la suspensión de términos en procesos por los problemas para atender los expedientes.

Es cierto que resulta fácil juzgar el juego cuando las cartas están en la mesa, pero otra de las lecciones que deja este ataque es la necesidad de no depender de un proveedor, por grande que sea. “También hay una responsabilidad de no confiarse totalmente en un tercero”, indica Sáenz.

Esto no es para decir que el Estado debe poner en marcha su propio servicio de tecnología, pero sí que desde el lado de la regulación, o lo contractual, debe haber más salvaguardas para un escenario como este que, como ya se vio, no es el primero ni será el último en el país.