Lo que sucede tras un ataque informático como el de IFX Networks

Se cumple una semana desde que la empresa que provee internet y servicios en la nube a varias entidades del Gobierno, IFX Networks, sufrió un ataque informático del tipo ransomware, afectando así la operación y los trámites de sectores tan importantes como el judicial, salud y financiero en Colombia.

Se cumple una semana desde que la empresa que provee internet y servicios en la nube a varias entidades del Gobierno, IFX Networks, sufrió un ataque informático del tipo ransomware, afectando así la operación y los trámites de sectores tan importantes como el judicial, salud y financiero en Colombia.

Para quienes no están familiarizados con este término, se trata de una amenaza mediante la cual el atacante logra poner llave (encriptar) a la información o sistemas informáticos de la víctima, pidiendo por lo general el pago de dinero en criptomonedas a cambio de la liberación.

Según lo informado, en Colombia el ataque logró afectar a 60 organizaciones privadas, así como a nueve del sector público. IFX Networks asegura que continúa en la investigación del caso, además del restablecimiento paulatino de los servicios que se vieron comprometidos. Aparte de esto, no se conoce mucho más de lo que pasó o pueda estar pasando con el incidente que prácticamente obligó a muchas entidades a volver al lápiz y el papel.

Con la intención de ahondar en esto, El Espectador consultó a varios expertos en seguridad informática, quienes describieron lo que sucede en las horas y días después de que una empresa como estas sufre un ataque de tal magnitud.

Las primeras 72 horas

Diversos especialistas coinciden en que las primeras 72 horas son claves para mitigar al máximo los estragos adicionales que pueda generar un ataque de este tipo. Como lo explica Andrés Carvajal, gerente de soluciones digitales en Pearl Solutions, esta es la ventana de tiempo que comúnmente emplean las compañías para ejecutar su plan de contingencia del riesgo (si es que cuentan con el mismo).

Básicamente consiste en aislar el sistema infectado para evitar que el virus informático afecte otros nodos (algo similar a cuando una persona contagiada se le pone en cuarentena), además de notificar a las autoridades, identificar la fuente de origen de la amenaza, las pérdidas de información que se registraron y comenzar a diseñar una estrategia que permita la recuperación o restauración de la información que se vio comprometida.

Como detalla Félix Rodríguez, director de práctica de ciberseguridad para las Américas en Control Risks, es normal que en estos primeros días las empresas víctimas no tengan claro lo que está ocurriendo, por lo que es normal que se presenten más preguntas que respuestas. De allí la importancia de iniciar un proceso de investigación forense.

Hay que resaltar que bajo ninguna condición se recomienda pagar por los rescates económicos que pudieran pretender los atacantes, pues eso se convertiría en una forma de patrocinar un malestar que hoy se configura como uno de los más comunes del mundo.

Cifras manejadas por la firma de seguridad informática Kaspersky, denotan que el ransomware hoy les está costando casi US$3 billones a las empresas alrededor del mundo, consolidándose como una tendencia en crecimiento en América Latina. Solo esta compañía logró bloquear 1,5 millones de intentos de ataque de ransomware en la región, lo que equivale a dos bloqueos por minutos, o 3.158 por día. “Hay que seguir remarcando que los ataques de ransomware son los más dañinos tanto para una sociedad como para una empresa hoy en día”, detalla la empresa.

La primera semana

Tras una semana del incidente, y una vez superados los focos más urgentes, lo que sigue es aplicar los mecanismos de restablecimiento del servicio y de recuperación de la información.

Según lo explicado por José Castro, gerente general de Noventiq Colombia, en este punto se deben aplicar los parches en las brechas identificadas, es decir, cerrar las puertas de acceso que pudieran seguir permitiendo que estos u otros atacantes sigan vulnerando la seguridad de la compañía.

Lo que sigue es habilitar servidores independientes que permitan restablecer los servicios afectados de forma segura, así como desgravar las copias de seguridad de la información que se haya visto comprometida. Sobre esto último hay que hacer la salvedad de que no todas las compañías son juiciosas en el ejercicio de hacer una copia periódica de la información; sin esta, la reparación del daño causado será más complejo.

Este experto también señala que hay herramientas de desencriptación de datos que permiten generar la clave o claves por las que precisamente cobran los secuestradores de la información. El éxito de estas depende de qué tan sofisticado haya sido el ataque y la guarda que los cibercriminales le hayan puesto a lo comprometido.

Sin embargo, aun cuando se paga por el rescate de la información no hay garantías de que los atacantes la devuelvan.

Sobre los datos que se pudieron haber visto comprometidos, el presidente de LinkTIC, Fernán Ocampo González, asegura que no solo desde lo legal, sino desde la ética la empresa afectada está en el deber de informar a sus usuarios sobre los datos que pudieron fugarse.

Esto es algo que, afirma, no siempre lo hacen por temores reputacionales, sin embargo, es de vital importancia, pues los mismos pueden ser usados para comercializarse en el mercado negro o convertirse en insumo para campañas de fraude y extorsión.

Que los usuarios sepan si sus datos se vieron comprometidos también ayuda a que se tomen medidas que permitan mitigar daños colaterales, como cambiar las contraseñas, bloquear cuentas o estar al pendiente de movimientos anómalos que puedan derivar de un uso malintencionado de dicha información.

💰📈💱 ¿Ya te enteraste de las últimas noticias económicas? Te invitamos a verlas en El Espectador.