Ataques informáticos, entre Colonial y El Bosque

Durante una semana de mayo la costa este de Estados Unidos sufrió desabastecimiento de gasolina después de que una de las distribuidoras, Colonial Oil, tuviera que cerrar sus oleoductos por un ataque informático que consistió en un secuestro de su información. Esta semana algo similar sucedió en la Universidad del Bosque aunque con otra escala, el ataque fue mucho más allá. Hablemos de seguridad digital.

Colonial pagó más de cinco millones de dólares en bitcoins para recuperar la información secuestrada de sus sistemas informáticos, fue víctima de un ransomware. El ransomware es un software extorsivo que se introduce en un dispositivo, cifra la información almacenada allí y así la secuestra. La extorsión consiste en que se cobra un rescate por las llaves para recuperar la información, la mayoría de las veces también cobran por no divulgar la información que copiaron y tienen en su poder.

En este caso el grupo DarkSide, que son crackers (hackers que usan sus habilidades para el mal), fue responsabilizado de que la gasolina para viajes largos en avión escaseara, de que subieran los precios de la misma y se dieran largas colas para tanquear.

Como sucede con las acciones de secuestro físicas, la posición de las autoridades es no pagar los rescates. Pero esto solo es efectivo si las autoridades pueden evitar la acción o aclararla y sancionarla. Debido a la impunidad en estos casos, en Estados Unidos se dice que no solo las empresas pagan para recuperar información crítica, también la propia policía. Lo hacen porque es más barato pagar que recuperar la información o arriesgarse al costo reputacional de que sea divulgada en internet.

El ransomware tiene motivación económica por naturaleza. Sin embargo, el ataque a Colonial tuvo un importante impacto político, porque se percibió como un retroceso en los esfuerzos y la inversión de la administración Biden para evitar los ciberataques. Además, se usó como munición de los republicanos contra el presidente en ese momento. Quizás por eso en este caso el gobierno se metió de lleno y consiguió recuperar 64 de los 75 bitcoins que Colonial pagó.

El FBI siguió el dinero, como explicó Vox, a pesar de que es difícil rastrear bitcoins, y cuando llegaron a la dirección de la billetera de DarkSide pidieron una orden judicial para incautar sus fondos. Además, todo indica que el FBI tenía la llave para abrir la billetera —si bien no se sabe cómo la consiguió—. Como la recuperación del rescate no es normal, este caso será un importante precedente para la administración Biden y para futuros incidentes.

En cuanto a los responsables, varias páginas web asociadas con DarkSide fueron cerradas, pero no se ha identificado a las personas detrás del ataque. DarkSide anunció su retiro después de este ataque, ellos eran realmente una especie de contratistas: los crackers que atacaban eran unos, pero DarkSide cobraba y distribuía el rescate.

La amenaza del ransomware creció con la pandemia. Alrededor del mundo durante el último año las víctimas han sido incluso hospitales y sistemas de salud pública. Es decir, a la urgencia sanitaria se suma la presión por recuperar la información de la organización que está atendiendo a pacientes que se debaten entre la vida y la muerte. Perseguir y evitar estas acciones es cada vez más una prioridad de la política de seguridad digital y de la criminal en varios países.

También en Colombia la pandemia aumentó esa amenaza. Las organizaciones de cualquier naturaleza y tamaño deben acompañar la sistematización de sus procesos con acciones de seguridad digital y planes de mitigación de riesgos. No basta el entusiasmo por digitalizar. A diferencia de los procesos manuales, la digitalización facilita las actividades, pero también hace que los efectos de ataques informáticos tengan un impacto mayor.

Ahora, el caso de la Universidad El Bosque esta semana fue más allá. La Universidad perdió el control de sus sistemas informáticos internos y externos, tampoco tenían acceso a los servicios informáticos de su comunidad (como el correo o el ambiente de aprendizaje Moodle y todo su Google Drive), y los atacantes se hicieron al control de la cuenta de Twitter y del sistema de matrículas. La Universidad interpuso la denuncia y al tercer día pudo dar un parte de tranquilidad, informó que había recuperado el control.

Sin una confirmación oficial, todo indica que esto no fue un ransomware. No solo no se ha hablado de una recompensa, sino que además fue un ataque masivo, una toma de control de los sistemas informáticos y, por tanto, una acción más compleja que seguramente dejó mucha información personal de la comunidad universitaria circulando por internet. Por eso, hay que decir que el caso de El Bosque es extremo, no es el caso típico de ransomware como sí lo fue Colonial.

Las particularidades del ataque a El Bosque son muchas, no es normal que suceda una toma tan completa, de toda la infraestructura, y además en la que se ensañaron con la cuenta de Twitter de la víctima. Fue un ataque delictivo muy sofisticado reprobable del que al menos deberíamos aprender.

Ojalá en este caso no prevalezca la idea de la seguridad por oscuridad (cuando se confía en el secreto para garantizar la seguridad) y los responsables entiendan que una forma de fortalecer la seguridad digital es con información. Es comprensible que cuando algo sucede no se entregue toda la información —hay datos que hacen más vulnerables a las empresas o personas— o que incluso por un tiempo ni siquiera tengan información, pero una cultura de dar a conocer y explicar lo que sucedió permitiría mejorar la capacidad de reacción en el futuro.

La cultura de hablar sobre estos casos también nos permitiría apoyar a las personas cuyos datos pudieron ser filtrados, decirles que deben cambiar sus contraseñas, desvincular de todas las cuentas con información personal (banco, redes sociales, etcétera) los correos electrónicos que habían sido comprometidos. Además, hay que reconocer que, según el tipo de información filtrada, estas personas pueden ser más vulnerables a estafas en el futuro y deben adoptar los dos factores de autenticación como regla. Este incidente puede ser el origen del que se deriven otros.

Durante una semana de mayo la costa este de Estados Unidos sufrió desabastecimiento de gasolina después de que una de las distribuidoras, Colonial Oil, tuviera que cerrar sus oleoductos por un ataque informático que consistió en un secuestro de su información. Esta semana algo similar sucedió en la Universidad del Bosque aunque con otra escala, el ataque fue mucho más allá. Hablemos de seguridad digital.

Colonial pagó más de cinco millones de dólares en bitcoins para recuperar la información secuestrada de sus sistemas informáticos, fue víctima de un ransomware. El ransomware es un software extorsivo que se introduce en un dispositivo, cifra la información almacenada allí y así la secuestra. La extorsión consiste en que se cobra un rescate por las llaves para recuperar la información, la mayoría de las veces también cobran por no divulgar la información que copiaron y tienen en su poder.

En este caso el grupo DarkSide, que son crackers (hackers que usan sus habilidades para el mal), fue responsabilizado de que la gasolina para viajes largos en avión escaseara, de que subieran los precios de la misma y se dieran largas colas para tanquear.

Como sucede con las acciones de secuestro físicas, la posición de las autoridades es no pagar los rescates. Pero esto solo es efectivo si las autoridades pueden evitar la acción o aclararla y sancionarla. Debido a la impunidad en estos casos, en Estados Unidos se dice que no solo las empresas pagan para recuperar información crítica, también la propia policía. Lo hacen porque es más barato pagar que recuperar la información o arriesgarse al costo reputacional de que sea divulgada en internet.

El ransomware tiene motivación económica por naturaleza. Sin embargo, el ataque a Colonial tuvo un importante impacto político, porque se percibió como un retroceso en los esfuerzos y la inversión de la administración Biden para evitar los ciberataques. Además, se usó como munición de los republicanos contra el presidente en ese momento. Quizás por eso en este caso el gobierno se metió de lleno y consiguió recuperar 64 de los 75 bitcoins que Colonial pagó.

El FBI siguió el dinero, como explicó Vox, a pesar de que es difícil rastrear bitcoins, y cuando llegaron a la dirección de la billetera de DarkSide pidieron una orden judicial para incautar sus fondos. Además, todo indica que el FBI tenía la llave para abrir la billetera —si bien no se sabe cómo la consiguió—. Como la recuperación del rescate no es normal, este caso será un importante precedente para la administración Biden y para futuros incidentes.

En cuanto a los responsables, varias páginas web asociadas con DarkSide fueron cerradas, pero no se ha identificado a las personas detrás del ataque. DarkSide anunció su retiro después de este ataque, ellos eran realmente una especie de contratistas: los crackers que atacaban eran unos, pero DarkSide cobraba y distribuía el rescate.

La amenaza del ransomware creció con la pandemia. Alrededor del mundo durante el último año las víctimas han sido incluso hospitales y sistemas de salud pública. Es decir, a la urgencia sanitaria se suma la presión por recuperar la información de la organización que está atendiendo a pacientes que se debaten entre la vida y la muerte. Perseguir y evitar estas acciones es cada vez más una prioridad de la política de seguridad digital y de la criminal en varios países.

También en Colombia la pandemia aumentó esa amenaza. Las organizaciones de cualquier naturaleza y tamaño deben acompañar la sistematización de sus procesos con acciones de seguridad digital y planes de mitigación de riesgos. No basta el entusiasmo por digitalizar. A diferencia de los procesos manuales, la digitalización facilita las actividades, pero también hace que los efectos de ataques informáticos tengan un impacto mayor.

Ahora, el caso de la Universidad El Bosque esta semana fue más allá. La Universidad perdió el control de sus sistemas informáticos internos y externos, tampoco tenían acceso a los servicios informáticos de su comunidad (como el correo o el ambiente de aprendizaje Moodle y todo su Google Drive), y los atacantes se hicieron al control de la cuenta de Twitter y del sistema de matrículas. La Universidad interpuso la denuncia y al tercer día pudo dar un parte de tranquilidad, informó que había recuperado el control.

Sin una confirmación oficial, todo indica que esto no fue un ransomware. No solo no se ha hablado de una recompensa, sino que además fue un ataque masivo, una toma de control de los sistemas informáticos y, por tanto, una acción más compleja que seguramente dejó mucha información personal de la comunidad universitaria circulando por internet. Por eso, hay que decir que el caso de El Bosque es extremo, no es el caso típico de ransomware como sí lo fue Colonial.

Las particularidades del ataque a El Bosque son muchas, no es normal que suceda una toma tan completa, de toda la infraestructura, y además en la que se ensañaron con la cuenta de Twitter de la víctima. Fue un ataque delictivo muy sofisticado reprobable del que al menos deberíamos aprender.

Ojalá en este caso no prevalezca la idea de la seguridad por oscuridad (cuando se confía en el secreto para garantizar la seguridad) y los responsables entiendan que una forma de fortalecer la seguridad digital es con información. Es comprensible que cuando algo sucede no se entregue toda la información —hay datos que hacen más vulnerables a las empresas o personas— o que incluso por un tiempo ni siquiera tengan información, pero una cultura de dar a conocer y explicar lo que sucedió permitiría mejorar la capacidad de reacción en el futuro.

La cultura de hablar sobre estos casos también nos permitiría apoyar a las personas cuyos datos pudieron ser filtrados, decirles que deben cambiar sus contraseñas, desvincular de todas las cuentas con información personal (banco, redes sociales, etcétera) los correos electrónicos que habían sido comprometidos. Además, hay que reconocer que, según el tipo de información filtrada, estas personas pueden ser más vulnerables a estafas en el futuro y deben adoptar los dos factores de autenticación como regla. Este incidente puede ser el origen del que se deriven otros.