En las últimas semanas, se originaron en Córdoba dos ciberataques que salieron a la luz por la magnitud de las instituciones y empresas involucradas. El que mayor repercusión tomó fue el sufrido por el Poder Judicial, el cual ocasionó un verdadero caos que una semana después no se ha logrado solucionar completamente.
El otro hecho tuvo como protagonista a la emblemática Aceitera General Deheza. La firma informó mediante un comunicado que fue víctima de un ataque del mismo tipo. “Nuestra empresa ha detectado una intromisión en sus sistemas informáticos. Es por este motivo que se activaron protocolos de seguridad, a fin de realizar un análisis exhaustivo de la situación y se efectuaron las denuncias correspondientes”, señalaron. En tanto que el presidente de AGD, Roberto Urquía, contó a medios locales que no pagarían absolutamente nada y reconoció que les pidieron “una cifra importante en criptomonedas”.
Matías Koller, experto en ciberseguridad, brindó su mirada sobre los hechos ocurridos en Córdoba y aportó precisiones sobre un delito que se vuelve cada vez más recurrente: “En las últimas reuniones del G7 y el G20 se plantearon seriamente acciones para luchar contra el Ransomware –secuestro de datos– y enfrentar a organismos cibercriminales. Estos ataques ya no son protagonizados por una persona en un garaje, tienen una logística tremendamente grande y organizada a nivel mundial. Se debe entender que el enemigo está en otro nivel”, describió el profesional.
Frente a la consulta si se debe pagar rescate por los datos, Koller fue contundente: “No. Porque no te garantiza que te devuelvan los datos. Y si te los devuelven, ¿quién te garantiza que no van a usar los datos que robaron? Hay que trabajar de antemano en prepararse para un ataque de la misma magnitud y trabajar en un plan de respuesta. Las empresas deberían planteárselo”, agregó.
Respecto a lo ocurrido en el Poder Judicial de Córdoba, Koller dijo que circulan muchas versiones: “Pueden haber ingresado con el usuario o contraseña de algún empleado o a través de phishing –link maliciosos que llegan por mail y logran suplantar identidad–. Ellos tienen buenos profesionales trabajando en el tema. No sé si tenían planes de respuesta para incidentes de este tipo o si tenían un software específico de respuesta. No se dijo mucho al respecto. Lo que sí puedo decir es que les va a costar recuperarse de este golpe si no tienen un buen backup o si los backups eran viejos. Hay muchas variables que los van a llevar a ver si esto pasa rápido o de manera lenta. Dependerá de la cantidad de datos que haya en juego”.
Antecedentes similares. Un ataque muy parecido al vivido hace una semana en Córdoba se originó el 7 de enero en Chaco. El Poder Judicial de esa provincia sufrió un duro golpe informático. El comunicado emitido por las autoridades dio cuenta que sufrió un ataque en algunos servidores por un malware del tipo ransomware.
Según informaron, el hecho fue perpetrado por un grupo denominado ‘Hive Ransomware’, mediante una versión de un virus sumamente virulento y novedoso, el cual pudo vulnerar las medidas de seguridad del Poder Judicial, eliminando registros de firewall, desinstalando o desactivando los antivirus y afectando toda la infraestructura tecnológica, backups y servidores. Los atacantes, con antecedentes de hechos similares en Estados Unidos y Europa pidieron rescate para devolver la información.
Unos días después el propio Senado de la Nación sufrió un ataque menor, a través del cual fueron publicados 30 mil archivos de índole confidencial.
¿Qué significa encriptar?
La mayoría de los ataques tienen en común la modalidad delictiva: encriptar archivos y luego pedir rescates por esto. Koller explica cómo lo hacen: “De pronto tus archivos no pueden ser legibles por cualquier persona o archivo. Cuando a vos te encriptan, lo que perdés automáticamente es la posibilidad de leer tus archivos, de parte del usuario o de las aplicaciones que lo están intentando leer. La encriptación es una técnica de cifrado de datos. No es una acción de por sí maliciosa, pero se transforma en un ataque cuando lo hacen sin tu consentimiento. Una vez que entran y te encriptan no solo piden rescate, te amenazan con exponer o hacer públicos los datos confidenciales como una segunda medida de extorsión”, detalló. PlayCrypt es la plataforma que se habría utilizado para encriptar los archivos en el poder judicial: “Es un tipo de ransomware que encripta los archivos y les cambia la extensión. En vez de ser .doc o .xls, los deja como .play. Cuando uno los quiere abrir no tiene nada visible. Los deja ilegibles por parte de las aplicaciones. El grupo que lo opera se llama Play, que es el grupo que lo desarrolló y son bastante novedosos”, completó