Las lecciones de ciberseguridad que nos dejan los ataques contra Colsanitas y EPM

“Fui a una cita y me dijeron que tenía que llevar mi historia clínica en físico, pero ¿cómo la descargaba si no había sistema?”.

“Fui a una cita y me dijeron que tenía que llevar mi historia clínica en físico, pero ¿cómo la descargaba si no había sistema?”.

“En una cita, el médico no sabía qué estaba pasando. Me dijo que llevaba días y nadie les había dicho nada. Y pues hacían lo que podían con papel y lápiz porque qué más”.

A finales de noviembre, dos servidores corporativos de Keralty (empresa detrás de los proveedores de salud Colsanitas y Sanitas) fueron vulnerados en un incidente de ciberseguridad, del cual fueron extraídos 700 GB (0,7 terabytes) en documentos de la compañía. Hasta el momento, lo que se sabe es que hay información financiera que cayó en manos de los atacantes, así como datos personales de algunos de los miles de usuarios que tiene la empresa en Colombia, según confirmó la compañía en un comunicado el 31 de diciembre.

El ataque fue perpetrado por un grupo conocido como RansomHouse, dedicado al secuestro de información de forma digital, una modalidad de crimen conocida popularmente como ransomware: una porción de datos es accedida sin permiso, robada y se solicita un pago para devolverla.

Hasta el momento, Keralty no ha dicho cuál fue el monto exigido por RansomHouse, pero Sergio Martínez, CEO de la empresa, aseguró que no han tenido contacto alguno con los atacantes.

Lea también: EPM sufrió ataque de seguridad informática

Casi en paralelo al ataque contra Keralty, EPM reportó un incidente de seguridad digital que dejó fuera de línea varios servicios de la empresa, como el prepago del suministro de agua. En medio de su respuesta a este ataque, la empresa suspendió varios otros servicios de atención al público, como forma de cerrarles el paso a más vulnerabilidades mientras restablecía sus canales de comunicación y trámites con los usuarios.

Un mes antes del incidente en Keralty, en octubre, la víctima fue el Invima, entidad a la que le robaron información que impidió el normal funcionamiento de varias de sus plataformas. Los ladrones pidieron, en su momento, US$5 millones por el restablecimiento de los datos robados. Esta fue la segunda vez en 2022 que los atacantes lograron vulnerar la seguridad de esta institución (la primera fue en febrero).

La ocurrencia y escala de estos ataques bien pueden llevar a preguntarse, con algo de esperada alarma: ¿qué está pasando con la seguridad digital en Colombia? Y la respuesta rápida es todo y, a la vez, nada.

Le puede interesar: Ciberataque plataforma Keralty: ¿Qué pueden hacer usuarios de Sanitas y Colsanitas?

¿Pasó lo que tenía que pasar?

Entre enero y agosto de este año, la firma de seguridad Kaspersky registró un promedio de 4.000 ataques de ransomware por día en Latinoamérica; en agosto, hubo 50.000 incidentes en Colombia.

De acuerdo con el Mintic, entre noviembre y mediados de diciembre de 2022, fueron reportados 36 incidentes de ciberseguridad ante el Equipo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert), casi uno por día: la suplantación de sitios web y la de dominios de correo electrónico fueron las prácticas más comunes (19 y ocho casos, respectivamente).

La cierta ubicuidad de estos ataques ha llevado a que incluso haya un nuevo segmento en el mercado de seguros, específico para necesidades de seguridad digital. Aunque esta cobertura aún está evolucionando, como reconoce Fasecolda (gremio de las aseguradoras), solo entre enero y junio de este año se han emitido más de $34.500 millones en pólizas de riesgo cibernético.

Este cúmulo de cifras sirve para entender un poco la magnitud del fenómeno. Eso que llamamos la nueva normalidad incluye cosas como el trabajo remoto, el uso (ocasional u obligatorio) de tapabocas y la ocurrencia constante de ataques digitales. Hay dos puntos acá: el primero es que los incidentes de ciberseguridad ahora están afectando a grandes empresas y entidades en Colombia y el segundo es que, por otro lado, el público se está enterando.

“Esto ya venía pasando y globalmente va en aumento. No es algo atípico. Y, de cierta forma, es un escenario que se podía prever porque hay estructuras criminales especializándose en ciertos tipos de infraestructuras y porque hay debilidades”, dice Pilar Sáenz, coordinadora del laboratorio de seguridad digital y privacidad de la Fundación Karisma.

Le puede interesar: Sitios web de aeropuertos de EE. UU. sufren ciberataque de hackers prorrusos

Y en esto también concuerda Nicolás Urrutia, director asociado de la firma Control Risks y experto en seguridad digital: “No tiene nada de nuevo que esto pase a finales de 2022. La verdad, podríamos estar hablando de hace un tiempo incluso. Acá ha habido ataques de diferente tipo y grado de sofisticación a compañías grandes desde hace años. Lo que ha cambiado, hasta cierto punto, es la disposición de las empresas de comunicar qué está pasando”.

Más allá de una cierta normalización de los ataques, otra de las razones por las que ahora estamos hablando de este tema es que la pandemia trajo consigo un impulso nada despreciable en digitalización, que se puede entender en varias vías.

Una de ellas es el crecimiento en canales de acceso para cientos de servicios como consecuencia de las restricciones en presencialidad de los días más duros del covid-19. A la vez que son nuevas vías de comunicación e interacción para los usuarios con empresas y entidades estatales, también abre potenciales puertas y vulnerabilidades para nuevos ataques.

Y la otra dirección de crecimiento en digitalización tiene que ver con el trabajo remoto o los modelos híbridos de trabajar, que también emergieron (o al menos se popularizaron) con la llegada de la pandemia. Esto, de fondo, significa que millones de personas a escala global se llevaron la oficina a sus casas y, en este movimiento, parte de la infraestructura de tecnología de sus empresas.

La cosa acá es que este trasteo del lugar de trabajo no siempre se hizo siguiendo las mejores prácticas en seguridad digital. Y es por este lado que podemos comenzar a hablar de las cosas que han salido mal en términos de ciberseguridad y que, de fondo, propician el aumento de ataques contra empresas y personas.

Pero primero una aclaración. Como en muchos otros escenarios, es ciertamente más fácil juzgar desde el espejo retrovisor: con las cartas jugadas la sabiduría, de repente, se masifica. No se trata de excusar los errores cometidos (que ha habido, y hablaremos de algunos de ellos), sino de intentar lanzar luces de cara al futuro sobre cómo puede mejorar la preparación y la respuesta ante este tipo de ataques. La nueva normalidad, como ya dijimos, llegó con lecciones urgentes de bioseguridad, pero también de seguridad digital (que, honestamente, debieron ser masivas mucho antes de la pandemia).

La parte humana de la ecuación digital

“La hipótesis de que la gente trabaja por fuera de las oficinas es buena”, dice Sáenz al hablar de por qué estamos viendo estos ataques de alto nivel en el país. “Tiene que ver con los manejos de la información. Por ejemplo, en organizaciones de la sociedad civil hemos visto que hay mucha utilización de cuentas personales para asuntos institucionales, con poco criterio de contraseñas, sin cosas básicas como autenticación de dos pasos”, añade.

Si bien los esquemas de trabajo remoto fueron casi que una imposición de emergencia, prontamente comenzaron a reportar algunos beneficios operativos para trabajadores y compañías: menos horas perdidas en el tráfico, más disponibilidad de tiempo para asuntos personales y, en muchos casos, menores gastos para algunas empresas (con ahorros en cosas que van desde café y papel higiénico hasta arriendo de espacios de trabajo).

Pero en ese impulso de recortar presupuestos también hay peligros, pues “en las empresas grandes hay una cierta tendencia a implementar esquemas de trabajo híbrido a bajo costo: personas que trabajan utilizando sus equipos personales, por ejemplo. Y esto hace mucho más difícil establecer controles sobre acceso y uso de la información corporativa. Puede ser una buena práctica financiera en el corto plazo, pero a la larga sale mucho más costoso cuando llega un ataque digital”, asegura Urrutia.

“La seguridad dejó de ser responsabilidad de la empresa y se volvió de la casa”. La frase, de Eduardo Chavarro, especialista en respuesta a incidentes de seguridad digital de la firma Kaspersky, resuena fuerte porque resume este escenario, en el que cargas y pesos terminaron en manos de trabajadores, quienes no necesariamente tienen los conocimientos y herramientas para asegurar información que potencialmente puede resultar útil a la hora de un ataque digital.

Por supuesto, este no es el caso de todas las empresas, ya que “algunas sí habilitaron controles y protocolos propios de cara al trabajo remoto o híbrido”, como dice Chavarro. Pero lo cierto es que nuevas puertas fueron abiertas para, potencialmente, ser explotadas en incidentes de ciberseguridad.

Educación y entrenamiento

Por lo general, tendemos a pensar en las empresas de forma algo monolítica: una suerte de bloques que toman decisiones y se mueven dentro de la sociedad. Lo obvio acá es que las compañías terminan siendo la suma de cientos o miles de personas. Entonces, la ciberseguridad también hay que verla un poco más desde esta óptica más individual.

Esto implica que “hay que formar a las personas en este tema, no solo a los equipos de tecnología de la información (TI, como se les conoce popularmente): todos deben saber que sus acciones tienen consecuencias en términos de seguridad digital de las organizaciones y para los usuarios”, dice Chavarro.

En esto concuerda Sáenz, de Karisma: “La seguridad hay que pensarla en varias capas y una de estas es capacitar a las personas, por ejemplo, para que detecten mejor los ataques de ‘phishing’ y reporten más eficientemente los incidentes de ciberseguridad. Esto ayuda mucho a que, en el momento que toque responder a un ataque, quienes estén a cargo puedan hacerlo más rápidamente”.

Como ya se dijo, en cuestiones de seguridad digital la ocurrencia de un ataque no es tanto una cuestión de si va a pasar, sino cuándo. Y este elemento casi de inexorabilidad lleva a pensar en planeación de qué viene después de un incidente, como señala Urrutia, de Control Risks: “La respuesta a esos incidentes no puede ser netamente tecnológica. También implica tener planes de contingencia para mantener la operación y los sitios alternos de almacenamiento de la información más sensible, entre otras medidas. Las personas que conforman el corazón operativo de la compañía deben saber esto, cómo implementar un respaldo, por ejemplo. Eso hay que practicarlo una y otra vez, como las simulaciones de evacuación”.

Comunicar, comunicar, comunicar

Una porción de entender y asumir el escenario actual (y futuro, de paso) de la seguridad digital es comprender que uno de los elementos de la respuesta ante un incidente es comunicar clara y oportunamente que algo sucedió, qué se está haciendo y si hay información de usuarios finales en juego (en el caso de servicios públicos, por ejemplo).

Urrutia lo dice con claridad: “Las compañías tienen que comunicar muy bien qué está pasando, eso implica a los reguladores, medios, usuarios, proveedores... Sin individualizar un caso específico, sí hemos visto que con varias de esas empresas ha quedado la sensación de que no me están diciendo qué está pasando”.

La información técnica más completa sobre el ataque contra Keralty, con la cual abrimos este texto, se conoció hace apenas un par de semanas. O sea, cerca de un mes después de que sus sistemas fueran penetrados por RansomHouse. “En general, las respuestas al público han sido muy malas, salvo en el caso de EPM quizá, que sí salió a dar información. Y es que comunicar limita el camino a la especulación. La opacidad permite suponer el peor de los escenarios, incluso cuando no sea así”, asegura Sáenz.

Más allá del tren de decisiones que lleva a una empresa a ser abierta con este tema, Urrutia plantea un par de ideas que resultan interesantes para mejorar la respuesta ante estos incidentes: “Más allá de reconocer el riesgo, la responsabilidad de ese riesgo debe ser plenamente entendida como algo colectivo en el nivel más alto de una compañía, pues involucra a las áreas legales, operativas, la gerencia general y las comunicaciones. No funciona la idea de que este escenario se puede gestionar asignando más presupuesto a TI y que ellos son los únicos dueños y responsables cuando algo pasa”.

El otro aspecto de comunicación que puede resultar clave es pasar información entre organizaciones. “Nos falta tener protocolos para compartir datos sobre incidentes y así saber cómo protegerse. Hoy en día esa búsqueda de información por parte de algunas organizaciones no se maneja correctamente”, indica Chavarro.

Aunque el país ha mejorado de forma notable su marco legal en términos de ciberseguridad, aún queda camino por recorrer y para evolucionar. Por ejemplo, los expertos consultados coinciden en afirmar que hace falta más información pública disponible sobre los incidentes que se presentan en el país.

Y este vacío implica también tener órganos que articulen la experiencia de las empresas en la materia: grupos de ayuda y respuesta que no sean solo técnicos, sino que operen como foros de discusión para hablar sobre qué salió mal con miras a mejorar y prevenir. En estos casos, la experiencia de unos puede significar la salvación para otros.

Al final del día, quizá la parte más débil del eslabón son los usuarios finales: el paciente de los servicios de salud o quien necesita prepagar su suministro de agua. Y es en esta vía hacia donde deberían orbitar no solo la protección, sino las políticas de transparencia y comunicación. Más allá de los asuntos corporativos, en este terreno se juega la identidad digital de las personas, que desde hace años comenzó a ser más que un mero complemento de la experiencia diaria de cada uno.