El Espectador le explica en qué va el ciberataque que afectó a 69 organizaciones
IFX dijo que los datos están “totalmente intactos y no hay corrupción de los mismos”. Se espera que se restablezcan pronto los servicios digitales.
Edwin Bohórquez Aya
Es miércoles, día de El Espectador le explica. ¿Qué es eso del ciberataque y cómo es que pudo llegar a afectar a cada colombiano? ¿Por qué el ministro TIC, Mauricio Lizcano; y ahora desde Nueva York el presidente Gustavo Petro se refirieron a este ataque digital? ¿Por qué es necesario que cada una de las personas que usamos dispositivos electrónicos escuchemos y sigamos consejos de seguridad digital en tiempos en donde hay más teléfonos celulares que habitantes en Colombia? ¿Qué quiere decir la palabra ransomware o malware o, tal vez una más cercana, hacker? Pues con la ayuda de varias secciones de El Espectador, en especial la de Tecnología, resumiremos este caso en el que se han visto afectadas varias docenas de páginas web del Estado y otras tantas privadas. Recuerden entrar a todos los enlaces. Comencemos.
Gracias por ser nuestro usuario. Apreciado lector, te invitamos a suscribirte a uno de nuestros planes para continuar disfrutando de este contenido exclusivo.El Espectador, el valor de la información.
Es miércoles, día de El Espectador le explica. ¿Qué es eso del ciberataque y cómo es que pudo llegar a afectar a cada colombiano? ¿Por qué el ministro TIC, Mauricio Lizcano; y ahora desde Nueva York el presidente Gustavo Petro se refirieron a este ataque digital? ¿Por qué es necesario que cada una de las personas que usamos dispositivos electrónicos escuchemos y sigamos consejos de seguridad digital en tiempos en donde hay más teléfonos celulares que habitantes en Colombia? ¿Qué quiere decir la palabra ransomware o malware o, tal vez una más cercana, hacker? Pues con la ayuda de varias secciones de El Espectador, en especial la de Tecnología, resumiremos este caso en el que se han visto afectadas varias docenas de páginas web del Estado y otras tantas privadas. Recuerden entrar a todos los enlaces. Comencemos.
El 12 de septiembre, en redes sociales, empezaron a circular preguntas de personas que indagaban si otros usuarios tenían problemas cuando intentaban hacer trámites digitales en distintas páginas web. Asuntos que tenían que ver con los portales de la rama judicial, o con los que se hacen a diario en la Superintendencia de Industria y Comercio o en el ministerio de Salud y Protección Social. Fue creciendo la conversación sobre afectados y entonces, según dio a conocer la empresa IFX Networks, la encargada de alojar los datos de esas entidades, se trataba “de un ataque crítico”. En un comunicado de prensa, apuntaron: “Esperamos que los servicios se recuperen progresivamente, pero aún no se cuenta con un tiempo de solución”. Se decía que eran 20 entidades las afectadas. Luego el número creció a 30. El Gobierno mismo dijo que se trataban de más de 50, sumando a las empresas privadas. Pero, antes de seguir con la noticia, vamos con un poco de contexto. Vamos un poco atrás.
Basta con buscar la palabra “ciberataque” en Google para encontrar 18′700.000 resultados en tan solo 0,31 segundos. Y cuando la búsqueda se acota a “Ciberataque en Colombia”, aparecen 12′500.000 resultados en 0,42 segundos. Pero, ¿qué es el ciberataque? Sin tanto rodeo, se trata del acceso a un sistema informático sin el consentimiento del propietario. En otras palabras, es como si un delincuente accede a, por ejemplo, sus redes sociales, toma control de la información que allí existe abriendo dos caminos: pedirle dinero a usted a cambio para regresárselas o usarlas para cometer delitos a su nombre. Las dos muy delicadas. Ahora, si lo escalamos, imagine que un delincuente informático toma control de la información privada de una empresa, de una entidad pública, de una institución de salud. Imaginen entonces que, si usted no paga, está ante el riesgo de que queden expuestas sus bases de datos, la información de tarjetas de crédito, las direcciones de su casa y de su trabajo; los números de cuentas bancarias, su historia clínica, su número celular, las de su círculo más cercano y así, más y más, porque hoy ya lo tenemos todo, o casi todo, en línea.
¿Qué problemas enfrento cuando crean perfiles falsos con mis fotos?
El asunto es tan delicado que los avanzados en la materia, por allá en marzo de 2005, dejaron claro que los ciberataques entraban a ser catalogados como un riesgo de seguridad nacional para los Estados Unidos. La advertencia la hicieron, en ese instante, los analistas internacionales del FBI. Un año después, el Citigroup, uno de los conglomerados financieros más grandes del mundo, confirmaba que había sufrido un ataque de este tipo con el robo de la información del 1% de sus clientes en EE. UU. y Canadá. En marzo de 2013 era Correa del Sur la víctima del que llamaron el “Gran ciberataque”: los sistemas de varios medios de comunicación y de los tres mayores bancos surcoreanos “quedaron paralizados”.
Para agosto de 2013 la víctima fue The Washington Post, y en ese caso se sumó una variable: cuando las personas intentaban leer varios de sus artículos, eran redireccionados a la página del Ejército Electrónico Sirio. En junio de 2014 ya se empezaban a sentir, más cerca, este tipo de acciones delictivas. Ese año las autoridades desarticularon una banda que había robado más de $10.000 millones por medios electrónicos. “Obtenían las claves de las cuentas bancarias mediante programas espía y después realizaban transferencias virtuales”. En esa ocasión, 326 personas fueron afectadas. Les enviaban mensajes a “correos electrónicos con un vínculo que conducía a un programa espía. Cuando la persona abría el enlace, dicho programa infectaba al computador y copiaba archivos personales, cuentas y claves bancarias que eran almacenadas en una base de datos de los piratas informáticos”.
Y desde ahí hemos venido reportando, con mayor frecuencia, ataques globales a compañías de todo tipo con millonarias consecuencias de fondo, pero también a organizaciones colombianas, como la del banco al que un grupo de delincuentes informáticos puso en la mira, “logró traspasar $160.000 millones a unas 360 cuentas de Bancolombia, pero debido a los controles internos de la entidad, los ladrones solo tuvieron acceso al 4% de lo que se planeaban apropiar”. También registramos las pujas de poder entre gobiernos atravesadas por estos ataques digitales:
Tecnología
A Sony puede costarle hasta US$ 500 millones el ciberataque: expertos
Judicial
El robo del siglo que no alcanzó a ser en el caso Bancolombia
Internacional
EE.UU. impone nuevas sanciones a Corea del Norte debido al ciberataque a Sony
Internacional
Ciberataque perturba acceso a portales de Internet del gobierno holandés
En el 2015 la agencia EFE, con su corresponsal en Palo Alto, California, (la zona en donde están las sedes de las compañías tecnológicas más importantes de esta parte del mundo), confirmó lo que ya se estaba sintiendo: “La asesora de seguridad nacional y lucha antiterrorista de la Casa Blanca, Lisa Monaco, advirtió que las víctimas de ciberataques aumentan a un ritmo sin precedentes y los daños son cada vez “mayores y más significativos””. Al frente de centenares de representantes del Gobierno estadounidense y el sector privado en la Universidad de Stanford (en la sede California), advirtió: “La cifra de víctimas (de ciberataques) aumentan a un ritmo sin precedentes”. En ese instante dijo que se vivía un momento “crítico”, que se deberían tomar acciones porque de lo contrario el ciberespacio se convertiría en una “debilidad estratégica”.
Nos decían expertos, por todo el mundo, qué deberíamos hacer si la empresa en la que trabajamos sufría un ataque informático. Nos enseñaron, haciendo una analogía con el sistema de salud, que era importante “determinar el alcance de la infección”, “asegurar la continuidad del negocio”, “contener la infección”, “mitigar la infección y eliminar el vector del ataque”, pero, sobre todo: “aprender de los errores”. En ese instante, la compañía ESET recomendó: identificar “otros potenciales puntos de acceso al sistema que antes no habían sido considerados dentro del abanico de vectores de ataque”.
La discusión venía tomando más y más forma. Ese mismo año, en La Haya, Holanda, se reunieron 1.800 líderes globales, entre políticos y expertos en seguridad informática. Allí Bert Koenders, el ministro de Exteriores, soltó un planteamiento de esos que debería convertirse en un máxima para toda la comunidad internacional: Internet libre, abierto y seguro. Lo explicaba Cecilia Ballesteros, corresponsal de El País: “Libre, para que todo el mundo tenga acceso a Internet y las oportunidades sin precedentes que ofrece. Abierto, para que la información pueda fluir sin obstáculos entre los usuarios en un único ciberespacio, y seguro, porque los datos personales estén protegidos y la privacidad, salvaguardada”. Ballesteros, en su análisis, nos dejó una lectura directa: “Según coinciden los expertos reunidos en La Haya, los ciberdelincuentes han ido ampliando sus objetivos y apuntando cada vez más alto. Desde los números de las tarjetas de crédito a los historiales médicos, pasando por la petición de un jugoso rescate a cambio de desbloquear los archivos de un ordenador, el llamado ransomware, un tipo de delito que no ha dejado de subir en los últimos dos años. El cibercrimen evoluciona más deprisa que las medidas de seguridad que tratan de contrarrestarlo”. El reporte de las grandes empresas decía, para ese instante, que los ataques a sus sistemas de información habían crecido un 40%.
Y en Colombia, de acuerdo con la Policía, la cosa no era distinta. Durante todo el 2015 aumentaron esos ataques cibernéticos un 40%. Sí, en eso coincidía la realidad interna también. “Desde virus que congelan los sistemas operativos de un computador hasta la agresión programada de un hacker para eliminar toda la información almacenada en un disco duro son las capacidades que tienen los ataques cibernéticos que, año tras año, se han convertido más comunes y cada vez son más graves”.
Tres grandes noticias hicieron quedar el 2016 en los registros, no solo por el tamaño sino por los objetivos: Rusia reportó la violación de los sistemas de seguridad de cinco de los diez bancos más importantes de ese país, Corea del Sur sufrió un ataque de denegación de servicios, más conocido como DDoS, durante las elecciones legislativas; y Yahoo, unas de las plataformas de correo electrónico y de búsqueda de información, pioneras del mundo digital, reconocía que el ciberataque que había sufrido en 2014 no había sido solo contra 500 millones de usuarios sino contra mil millones más, es decir: 1.500 millones de sus usuarios quedaron expuestos. Eso era, para entender la dimensión, como si toda la población de Europa y América Latina, sumada en una sola bolsa, fuera afectada.
Y luego vino el 2017 y en él lo que llamaron un ataque cibernético de un “nivel sin precedentes”, pues más de 150 países fueron afectados, de acuerdo con Europol. La falta de alfabetización digital se hizo evidente tanto para los empleados de las empresas como en las casas con usuarios conectados. Incluso las autoridades de seguridad holandesas hablaron de “sabotaje digital grave”. ¿Cómo se llamaba el virus del momento? WannaCry, o en palabras nuestras: “Quiero llorar”.
Tecnología
El virus WannaCry ya afecta a unos 150 países
Tecnología
Interrogantes sobre quién es culpable por el ciberataque mundial de ransomware
Tecnología
Corea del Norte, ¿detrás de los ciberataques globales?
Tecnología
El mundo podría sufrir un “sabotaje digital grave”: seguridad holandesa
Nos enteramos de que unos 1.000 computadores del ministerio de Interior ruso fueron afectados. La planta de Nissan, del Reino Unido, también. Telefónica habló de dispositivos móviles de sus ejecutivos con virus. La naviera Maersk, el grupo británico de publicidad WPP, el francés Saint-Gobain y la farmacéutica Merck, igual. Aparecía un pedido de 300 dólares como “rescate” en cada una de las pantallas de computadores. Se decía que ahora el virus era “Petrwrap”. El Banco Central de Ucrania también fue impactado en ese momento. El metro de Kiev no podía recibir pagos digitales en su taquilla.
El asunto de los ataques sí debería ser un tema de discusión de todos y con todos. Es preciso recordar cuando en ese 2017 el responsable de los servicios secretos holandeses, Rob Bertholee, dijo: Las amenazas de ciberataques “no son imaginarias, están en todas partes”. Acto seguido, recalcó: “Imagínense lo que podría pasar si todo el sistema bancario sufriera un sabotaje durante uno o dos días, o incluso una semana. O si se produjera una avería en nuestra red de transportes. O si los controladores aéreos fueran víctimas de ciberataques mientras dan instrucciones de vuelo. Las consecuencias serían catastróficas”.
Los errores que pueden convertir su “smartphone” en una amenaza
Y poco a poco se van sumando más y más ataques: siete millones de venezolanos se quedaron sin servicio de telefonía celular en agosto de ese 2017, en octubre otro virus afectó a 200 entidades en Rusia y Ucrania, ese mismo mes el mundo se enteró de que Yahoo volvió a reconocer que las víctimas de aquel ataque de 2013 no fueron 1.500 millones de cuentas sino 3.000 millones de cuentas; y en noviembre el Gobierno de Malasia informó que 42,6 millones de celulares en su país fueron víctimas de robo de datos por medio de un ataque digital.
El 2018 se movió al ritmo de más ataques, acusaciones y negaciones. En marzo de ese año Alemania reconoció uno y aunque rápidamente dijo que lo tenía controlado, se supo, de acuerdo con las revelaciones de los medios de comunicación, que “el grupo ruso ‘APT28′, conocido igualmente como ‘Fancy Bears’ o ‘Tsar Team’, pirateó datos de los sistemas de los ministerios de Defensa y de Relaciones Exteriores durante un largo periodo, al menos un año”. Meses más tarde fue Holanda la que expulsó de su país a cuatro rusos por supuesto intento de ciberataque a la Organización para la Prohibición de Armas Químicas. Estados Unidos y Reino Unido criticaron esas acciones rusas. Entonces el pronunciamiento de ese país no se hizo esperar y rechazó todas las acusaciones. Dijo que se trataba de propaganda “antirrusa”. Ese año cerró con una nueva acción de los delincuentes informáticos: a la cadena hotelera Marriot, una de las más grandes del mundo, le robaron datos de unos 500 millones de huéspedes. Allí había información personal de números de tarjetas de crédito, pasaportes, direcciones de correos electrónicos. Después de la de Yahoo, esta era la filtración de datos más grande de la historia, decía los expertos en la materia. Y, por supuesto, los anuncios de demandas no se hicieron esperar.
Las acciones delictivas no se detenían. En el 2019 delincuentes informáticos difundieron correos personales de la entonces lideresa más importante de Alemania, Ángela Merkel. En Venezuela se conocía la estrategia que estaría usando el Gobierno de ese país y con la que usarían páginas web para robar datos de la oposición. Aparecía un virus exclusivamente diseñado para atacar los dispositivos de Apple y a mediado de año el Gobierno de Estados Unidos informaba que la base de datos de la oficina de aduanas había quedado expuesta tras un ataque.
La pandemia hizo que todos nos volcáramos a intensificar el uso de medios digitales. Y con ello también crecieron los riesgos. A mediados de 2020 fue Australia la que levantó la mano para reportar un ciberataque. Incluso el Gobierno acusó a un “país extranjero” de estar detrás. El primer ministro de ese país dijo que el ataque afectaba a “organizaciones australianas de toda una gama de sectores, a todos los niveles del Gobierno, de la economía, de organizaciones políticas, de los servicios de salud y de otros operadores de infraestructuras estratégicas”. La agencia AFP escribió: “Según los medios australianos, la lista de sospechosos es muy reducida, entre los Estados con experiencia en este ámbito (a parte de los países occidentales, China, Corea del Norte, Irán, Israel o Rusia), miraban de reojo hacia China, que en mayo impuso aranceles punitivos a ciertas exportaciones australianas”.
¿Cómo comprobar si han hackeado la webcam y qué hacer para prevenirlo?
Entonces, en medio del contexto de la pandemia, el Reino Unido acusó a Rusia de lanzar un ataque cibernético para robar los datos de su vacuna contra el coronavirus. En ese momento explicamos que “la agencia de seguridad nacional de Estados Unidos y la autoridad canadiense de ciberseguridad -el Canadian Communication Security Establishment-, el NCSC” dijeron que “los ataques contra científicos nacionales forman parte de una campaña global del grupo APT29, que busca usurpar los secretos de la búsqueda de la vacuna”. Y resulta que “APT29, también conocido como ‘The Dukes’ o ‘Cozy Bear’, es un grupo de piratas informáticos que ha sido vinculado con la inteligencia rusa”.
Poco a poco vamos viendo cómo van tocando al ciudadano de a pie todas estas acciones delictivas. Ya no es solo un asunto de grandes empresas y sus ejecutivos, o de gobiernos de países del primer mundo con sus políticos. Golpean al distribuidor de la gasolina que compramos para los carros, de los hospitales con problemas en los sistemas para agendar las citas de los pacientes, de la carne que consumimos a diario:
Internacional
Ciberataque a oleoducto genera pánico en estaciones de servicio de EE. UU.
Internacional
El sistema sanitario de Irlanda es blanco de un ciberataque
Tecnología
Ciberataque golpea al mayor proveedor de carne del mundo
Tecnología
FBI confirma que hackers de REvil perpetraron ciberataque a JBS
¿Cómo funcionan los ataques y qué debe saber sobre ellos?
¿Quién es un hacker?
Se suele equiparar comúnmente a un criminal cibernético, pero lo cierto es que los hackers son personas que, motivadas por la curiosidad, desarrollan habilidades para analizar y resolver problemas relacionados con el universo informático.
¿Qué es malware?
Es un software malicioso que casi siempre se utiliza para robar información. Algunos tipos son los virus informáticos, el spyware, los troyanos y el ransomware. Suelen propagarse por medio de correos electrónicos falsos, páginas de software pirata o mediante la descarga de archivos sospechosos.
¿Qué significa ransomware?
Impide el acceso a información privilegiada o amenaza con destruirla a cambio de dinero. Su nombre proviene de la palabra inglesa “ransom”, que significa “rescate”, pues los usuarios, empresas y demás víctimas se ven obligadas a pagar para recuperar su información.
¿Qué es un troyano?
Es todo el software malicioso que aparenta ser legítimo con el fin de que la víctima lo descargue y ejecute. Los troyanos pueden acceder a datos personales y a menudo incluyen un componente de “puerta trasera” que les permite a terceros acceder al sistema.
¿Qué es Spyware?
Software espía. Se instala sin el consentimiento del usuario, lo sigue, tiene acceso a sus movimientos en internet y luego envía información personal o confidencial a terceros, como contraseñas o números de tarjetas de crédito, por ejemplo. Puede tener forma de troyano, adware o cookies de rastreo.
Sobre el ataque:
- El método más común es el ‘phishing’ o suplantación de identidad por medio de correos electrónicos fraudulentos. Le envían un mensaje y usted, pensando que es real y viene, por ejemplo, del banco o de una marca de confianza, lo abre. En ese momento el delincuente accede a su computador y, por la misma vía, a la empresa. O a la red de su casa.
- Los atacantes ingresan a la conexión en línea, se mueven entre equipos, pasan desapercibidos, entienden cómo funciona la compañía y sus sistemas de información. En esto pueden tardar meses.
- Encuentran el servidor. El cerebro de información. Logran poner capas controladas por ellos y es el momento en el que, al secuestrar la información y tomar control, exigen el pago. Encriptan y luego piden el rescate.
- Cuando no logran su cometido de recibir un pago, pueden ofertar todas estas bases de datos en comunidades delictivas digitales de la llamada “dark web”, donde otros delincuentes informáticos la usan para actividades criminales.
- Muchos de los datos robados son de tarjetas de crédito. Los delincuentes las han usado para hacer compras en línea. También transacciones en monedas virtuales difíciles de triangular.
El acceso a su computador también se puede dar cuando usted tiene contraseñas débiles y se conecta, por ejemplo, desde redes wifi públicas en espacios como cafés, centros comerciales o aeropuertos.
Para el 2021, cuando el mundo venía de décadas de reuniones entre los presidentes de Estados Unidos y Rusia atravesadas por el poder de las armas nucleares analizado desde la cantidad, David E. Sanger, reportero de The New York Times, nos llevó hacia una reflexión que, aunque parecía evidente, pocos habían documentado en un reportaje: “La nueva era de la guerra ahora está en el mundo digital. Las armas cibernéticas, por ejemplo, serán la máxima prioridad de la reunión entre Joe Biden y Vladimir Putin”, escribió. Allí nos recordaba que “existen demasiados actores —naciones, grupos criminales, organizaciones terroristas— y no hay manera de realizar algo equivalente a contar ojivas y misiles”. Putin siempre ha negado las acusaciones de los supuestos ataques rusos usando la tecnología. La inteligencia de Estados Unidos siempre ha puesto el dedo acusar en contra de sus pares rusos.
La tendencia creciente de ataques se empezó a sentir con más frecuencia en Colombia. El 28 de junio la universidad El Bosque fue atacada. El asunto fue delicado y llegó hasta la Fiscalía, pues según los mismos que levantaron la alarma, “llegó un correo electrónico, enviado desde la cuenta de la rectoría, en el que informaban del ciberataque y se daban datos alarmantes, como que las bases de datos de calificaciones, estudiantes, finanzas, entre otras, habían sido borradas. Sin embargo, el mensaje no había sido enviado por parte de los directivos de la institución, sino de quienes estuvieron a cargo del ciberataque, aparentemente”.
Ucranianos convocados a defender su ciberespacio ante ataques rusos con malware
Tres meses después el objetivo de los ciberdelincuentes fue la Aerocivil, quien dijo que se trató de insertar un virus en los servidores internos, pero que no estuvo en riesgo la seguridad aérea. En noviembre de ese año la DANE reconoció un ataque en contra de la entidad, sin embargo, fue claro en que no hubo extracción de información. Entretanto en Ucrania se libraba una batalla de ciberataques. Acusaban a Rusia. Ya había vientos de guerra. En febrero de 2022 era el Invima el que informaba de los delincuentes informáticos. Se perdió el acceso al portal. Hubo afectaciones en procesos de importación y exportación de productos cosméticos, medicamentos y alimentos. Una circular hablaba de acciones con el otorgamiento de licencias, solicitud de Autorización Sanitaria de Uso de Emergencia, trámites asociados a productos en investigación para el covid-19 tales como protocolos nuevos, enmiendas, centros de investigación adicionales, modificaciones a consentimientos informados, cambios de investigador principal e importación de suministros, entre otros.
Lo del Invima fue lo más delicado: el represamiento de los proceso en los puertos, de acuerdo con los gremios de producción, se sentiría en los precios de la carne, porque los sobrecostos se trasladarían a los consumidores. En octubre de ese 2022 se supo que precisamente el Invima suspendía los trámites hasta el final de ese mes. Y no pasaban dos meses cuando el grupo Keralty, es decir, Sanitas y Colsanitas, confirmaron un ciberataque en contra de su plataforma. La Policía y la Fiscalía entraron a investigar.
Biden llama a las empresas de EE. UU. a protegerse de un posible ciberataque ruso
Y lo que vino después, con el ataque al Grupo Keralty, ha sido uno de los registros más recientes de cómo estos actos delictivos sí nos tocas a millones de personas, de manera directa y con consecuencias muy graves, tanto que datos de los usuarios quedaron expuestos hasta en las redes sociales. También sucedió un ataque cibernético en contra de Empresas Públicas de Medellín:
Salud
Nuevo capítulo Sanitas: los datos de un millón de usuarios, expuestos en internet
Economía
EPM sufrió ataque de seguridad informática
Tecnología
Las lecciones de ciberseguridad que nos dejan los ataques contra Colsanitas y EPM
Tecnología
Guía para entender el mundo de la ciberseguridad y cómo protegerse en él
Y así fuimos llegando a este 2023. El 26 de enero la agencia AFP soltó una noticia gigante: “Autoridades de Estados Unidos y Alemania anunciaron el desmantelamiento de una de las principales redes de ataque de ransomware del mundo, denominada ‘Hive’. La red extorsionó entidades en 80 países”. Allí reportaron: “Detectado por primera vez en junio de 2021, ‘Hive’ está acusado de cobrar más de 100 millones de dólares en rescates. Si las víctimas se negaban a pagar, ‘Hive’ amenazaba con publicar archivos y documentos internos confidenciales en internet. Según firmas especializadas en ciberseguridad, entre las víctimas de ‘Hive’ se encontraban el servicio de salud pública de Costa Rica, Tata Power de India, el gigante minorista alemán Media Markt, la compañía estatal de gas de Indonesia y varios grupos de hospitales de Estados Unidos. El sitio de ‘Hive’ en la ‘dark web’, estaba congelado y una pantalla que alternaba en inglés y ruso decía que había sido tomado por el FBI”.
A finales de mayo Estados Unidos señaló a China como el cerebro detrás de la infiltración a las redes de una infraestructura crítica estadounidense. “EE. UU. y las autoridades internacionales de ciberseguridad emiten este Aviso Conjunto de Ciberseguridad (CSA) para poner de relieve el reciente descubrimiento de un conjunto de actividades de interés asociadas a un ciberagente patrocinado por el Estado de la República Popular China (RPC), también conocido como Volt Typhoon”, se leía en un comunicado publicado por Estados Unidos, Australia, Canadá, Nueva Zelanda y Reino Unido.
Entonces con este preámbulo y reconociendo que son cada vez más cercanos estos movimientos delictivos, el 12 de septiembre Colombia se enteró de un ataque digital que, hasta ese momento, afectaba a unas 20 entidades estatales. “Desde la tarde del martes se vienen presentando los problemas para acceder a los portales de la Rama Judicial, la Superintendencia de Industria y Comercio, la Superintendencia de Salud, el Ministerio de Salud y Protección Social, entre otras. Según dio a conocer la empresa IFX Networks, que aloja los datos de las entidades, se trata de un ataque crítico”. En la lista de afectados se sumaban las páginas del Museo Nacional, la Biblioteca Nacional, del Museo Nacional de Memoria Histórica.
Ciberataques: consejos de seguridad digital para evitar daños y robo de datos
La presidencia de la República tuvo que convocar un Puesto de Mando Unificado porque era necesario evaluar la “severidad” de los daños. Se informó que se trataba de un ataque de ransomware, sí, la misma con la que “secuestran datos a cambio de un rescate, una suma de dinero que, en estos casos, suele ser requerida en criptomonedas”. Según IFX, para ese instante no se había “evidenciado vulnerabilidades en la información, privacidad y seguridad de los datos alojados en la nube, dado que estos están protegidos con protocolos de seguridad de la información”.
Por el lado de la Rama Judicial, el 14 de septiembre se informó sobre la suspensión de términos judiciales por fallas en el sistema. “La decisión que tomó la Rama Judicial aplica para todo el país, pero deja por fuera las tutelas, habeas corpus y función de control de garantías”, nos contaron los colegas de Judicial. Por el lado de la Corte Suprema también tuvieron que suspender términos, aunque dejaba fuera los procesos que involucraba a una persona detenida o expedientes que estén próximos a prescribir. Para el día siguiente ya íbamos en retrasos en la entrega de cadáveres en Barrancabermeja, cuando el secuestro de la información ya completaba 48 horas.
Lo que sucede tras un ataque informático como el de IFX Networks
Desde el ministerio de Salud, también afectado, se puso en marcha un plan de contingencia: “Para que los usuarios puedan seguir accediendo al servicio, el Minsalud indicó que las EPS, Entidades Obligadas a Compensar (EOC), IPS y proveedores deberán continuar realizando la operación de forma manual a través del formulario de contingencia. Sobre el reporte de afiliaciones y novedades en salud por parte de las Entidades Territoriales, las Instituciones Prestadoras de Servicios de Salud (IPS) y Entidades Promotoras de Salud (EPS), el ministerio explicó que estas continuarán realizándose a través del formulario único de afiliación, a través de la respectiva EPS en cada territorio”, nos contaron los colegas de la sección Salud.
El ministro TIC, Mauricio Lizcano, advirtió que toda la responsabilidad estaba en manos de IFX, mientras el presidente Gustavo Petro, desde Nueva York, fue al grano: “Son guerras entre empresas privadas. La nueva libertad del mercado a escala mundial. Por destruir esa empresa, otra que todavía está por investigarse, logra afectar tres países, entidades públicas y privadas”, dijo. Petro agregó sobre la necesidad de crear una Agencia de Ciberseguridad, la cual estaba consignada en el artículo 307 del Plan Nacional de Desarrollo (PND) y que no fue aprobada por el Legislativo, como nos contaban los colegas de Política. “Un muy inteligente congresista dijo que eso era para chuzar personas y dañó la aprobación en el Congreso”, dijo Petro, haciendo referencia a la gestión del senador del Centro Democrático Miguel Uribe, quien cuestionó que la entidad se creara a través del PND.
Se completan más de 24 horas bajo ciberataque: 34 organizaciones afectadas
Las medidas después del ciberataque
Como parte de la respuesta después del ataque contra IFX Networks, el Colcert (órgano de respuesta colombiano ante incidentes digitales), aseguró que Colombia Compra Eficiente va a desplegar acciones de responsabilidad legal y contractual contra esta empresa y le solicitaron a IFX las siguientes acciones:
- Estado de avance de la información que está recuperando de las entidades.
- Estado de avance de los compromisos adquiridos en las mesas técnicas con las entidades.
- Protocolo de Gestión de Incidentes, utilizado para mitigar este ataque cibernético.
- Protocolo de manejo de crisis utilizado para responder ante este incidente.
- De la información que está en proceso de recuperación, indicar si hay exfiltración de datos de las entidades afectadas.
- Indicar el porcentaje de información, datos y servicios que han sido migrados al entorno seguro.
Como en todos estos ataques, las primeras horas son determinantes para entender el nivel de afectación, y aunque ya en el segundo día se hablaba de más de 30 organizaciones afectadas, el asunto también era con la empresa privada, pues un buen número también se vio involucrada. En total, de acuerdo con cifras del mismo Gobierno, son 69, entre privadas y públicas: “60 afectadas pertenecen al sector privado, mientras que 9 son del Estado, entre las que se cuentan a las superintendencias de Salud e Industria y Comercio, así como a la Rama Judicial y el ICA, entre otras”, contó la sección Economía. Gobierno anunciaba medidas legales:
Economía
IFX anuncia restablecimiento paulatino de algunos servicios tras ciberataque
Economía
Lo que se sabe de la recuperación de datos tras el ciberataque en Colombia
Economía
Ciberataque en Colombia: Gobierno asegura que faltó seguridad, IFX responde
Política
Ciberataque: así se gestó el contrato de IFX Networks con Colombia
Pero, ¿qué se puede hacer? De acuerdo con Pilar Sáenz, coordinadora del laboratorio de seguridad digital de la Fundación Karisma, entrevistada por Santiago la Rotta, desde 2012 hay un Conpes de ciberseguridad que recibe actualizaciones cada cuatro años. La primera política nació con un énfasis militarista y de capacidades de inteligencia, pero en 2016 giró hacia un escenario de garantizar confianza económica y social (en línea con el ingreso de Colombia a la OCDE). Esto permitió que, desde el marco normativo, se entendiera la ciberseguridad como un asunto de corresponsabilidades, lo que permitió que sociedad civil, academia y empresas entraran en esta discusión y no fuera solo un tema manejado por uniformados.
Sin embargo, en opinión de Sáenz, explicaba La Rotta, hay cosas que no se han hecho y que, en parte, explican un poco el escenario actual con el ciberataque. Esto incluye, principalmente, la publicación oficial de un listado de infraestructura crítica en Colombia, el cual no solo sirve para enumerar, sino que debe incluir los protocolos de respuesta ante un incidente de este tipo: qué se hace si X o Y sistema queda fuera de línea, por ejemplo. De cierta forma, es lo que sí está sucediendo en el sector de la salud, pero que pareciera no terminar de cristalizarse en la rama Judicial, en donde se debió decretar la suspensión de términos en procesos por los problemas para atender los expedientes.
Ransomware, malware, hacker: glosario para entender el mundo de la ciberseguridad
La buena noticia, en medio de todo este embrollo digital, es que IFX anunció este miércoles 20 de septiembre que los datos están “totalmente intactos y no hay corrupción de los mismos”. Por eso, restablecerán pronto los servicios judiciales y de salud. En un comunicado de prensa informaron, aclararon: “Podemos confirmar que, dentro del sistema de recuperación, aquellos sistemas y clientes que volvimos a poner en línea funcionan con normalidad y a la fecha sus datos están totalmente intactos y no hay corrupción de los mismos”. Y que todos los sistemas recuperados están siendo sometidos a un proceso de validación y garantía antes de volver a ponerlos en línea.
Ahora, lo que se viene, es la investigación detallada de por dónde quedó abierta la puerta para que el ataque se pudiera consolidar y obligara a las entidades del Estado y otras 60 empresas privadas a cambiar su diario vivir digital en medio de la era digital. Y, por el mismo camino, a los colombianos que no pudimos tampoco hacer los trámites de la manera acostumbrada. También vendrá la investigación en contra de IFX, que opera en 17 mercados y quien ha firmado contratos estatales con el Gobierno de Colombia desde la administración de Juan Manuel Santos, pasando por Iván Duque y ahora en la administración Petro. Sobre esos avances, estaremos atentos contando todos los detalles.
Por ahora es prudente y necesario volver sobre las recomendaciones de los expertos en seguridad: no caiga en la tentación de abrir enlaces de correos sospechosos que prometen regalos, loterías o beneficios por los que, seguramente, no ha concursado. Use una contraseña de alta seguridad para todos sus accesos y no use la misma en las distintas plataformas digitales que frecuenta. Active la doble verificación, tan solo usted, en su teléfono celular, recibirá el código único de seguridad para acceder a su correo, por ejemplo. Actualice los sistemas operativos cada vez que su computador o celular se lo pida. Es bueno tener un respaldo de su información en un correo alterno si es que no lo puede hacer en un disco duro externo. Y no usar equipos corporativos para fines personales y viceversa. Y sui usted hace parte de una empresa, siga todas las indicaciones del equipo de tecnología. Como quedo en la línea del tiempo de este boletín, ni este será el último ataque ni tampoco estamos exentos de que nos pase a cada uno de nosotros. La seguridad, al final, la construimos entre todos.
Me despido con nuestro acostumbrado mensaje: si les gustó este newsletter y el contenido que desarrollamos en El Espectador, invitados a disfrutar del contenido exclusivo que tenemos en nuestra página web. En esta labor de todos los días necesitamos compañía no solo para las críticas, que las recibimos con humildad, sino para que nos ayuden a construir un mejor país, denunciando, indagando, investigando, informando. Y no olviden dejar aquí abajo los temas que ustedes quisieran que investiguemos en la redacción de El Espectador. Nos vemos el próximo miércoles. Hasta pronto.
¿Qué tema le gustaría que tratáramos la próxima semana? Escríbanos a ebohorquez@elespectador.com