En Colombia, donde cerca de 47 millones de personas tienen acceso a Internet, el riesgo de robos digitales es significativo. El informe de seguridad digital de TransUnion revela que el 39% de los ciudadanos ha sido víctima de robos y engaños en línea, con un incremento del 45% en estos eventos al cierre del segundo semestre de 2023.

Te puede interesar: Hipnosis, la nueva modalidad de ciberataques en chatbots ¿Cómo funciona?

A nivel global, el fraude digital también está en ascenso, con un crecimiento del 80% entre 2019 y 2022, lo que subraya la necesidad urgente de fortalecer las prácticas de seguridad para enfrentar estas amenazas crecientes.

“La seguridad en línea es una responsabilidad compartida. Cada usuario debe estar consciente de los riesgos y tomar medidas preventivas para proteger su información. La educación y la vigilancia constante son clave para reducir la vulnerabilidad ante los ciberataques”, asegura Mateo Díaz, gerente de ventas para Colombia y Latinoamérica de BeyondTrust.

¿Cómo identificarlos?

Teniendo en cuenta que protegerse de los riesgos digitales es una tarea para la cual los usuarios deben estar preparados, BeyondTrust ofrece algunos consejos clave que pueden ayudar construir un entorno digital más seguro:

1. Desconfíe de enlaces desconocidos: No haga clic en enlaces recibidos por correo electrónico, redes sociales o mensajes de texto si no está seguro de su origen. Los ciberdelincuentes a menudo utilizan enlaces engañosos para robar información personal o instalar malware.
2. Verifique la dirección web: Antes de ingresar información personal en un sitio web, asegúrese de que la dirección sea correcta y que comience con “https”. La “s” en “https” indica una conexión segura. Si no está seguro de que el mensaje proviene de una fuente confiable, comuníquese directamente con la organización que supuestamente le envió el mensaje y confirme la información enviada.
3. Utilice software de seguridad: Instale un antivirus y un firewall en sus dispositivos. Estos programas son esenciales para detectar y bloquear amenazas antes de que puedan causar daño.
4. Manténgase actualizado: Actualice regularmente su sistema operativo y los programas que utiliza. Las actualizaciones suelen incluir parches de seguridad importantes que protegen contra vulnerabilidades recién descubiertas.
5. Eduque a otros: Comparta la información con familiares y amigos para aumentar la conciencia sobre los riesgos digitales. La educación es una herramienta poderosa para prevenir ataques y proteger la información personal.

Imagen: Archivo ENTER.CO

Para empezar y entender más sobre qué es y  cómo funciona la “hipnosis” en este contexto, Taboada explica que es una forma de manipular el modelo de lenguaje grande (LLMs). “El que hipnotiza es el que engaña, o sea, el que hipnotiza es el ciberatacante que busca desviar a su conveniencia lo que el consumidor está yendo a buscar a ese modelo de lenguaje”. 

Según el ejecutivo, este tipo de ataque representa una evolución en la manera en que los ciberdelincuentes explotan las vulnerabilidades humanas y tecnológicas.

Taboada, señala que esta modalidad de ataque se centra en crear un estado de confianza y complacencia en las víctimas, aprovechando la capacidad de la IA para adaptar mensajes y comportamientos a las respuestas del usuario en los chatbots. 

“Es una forma de ingeniería social avanzada que utiliza algoritmos de aprendizaje automático para analizar las reacciones de las víctimas en tiempo real y adaptar la conversación para mantenerlas comprometidas”, explicó Taboada.

Te puede interesar: Eduardo Castaño, el colombiano que creó Simahealth, el modelo de IA para identificar enfermedades huérfanas

A diferencia de los métodos tradicionales de phishing, que dependen de enlaces o archivos maliciosos, la hipnosis digital se basa en interacciones prolongadas y personalizadas. Los atacantes utilizan chatbots impulsados por IA para simular conversaciones convincentes, imitando el comportamiento humano con una precisión inquietante.

Estos chatbots pueden mantenerse en conversaciones durante horas o incluso días, construyendo una relación de confianza antes de solicitar información confidencial o realizar acciones que comprometan la seguridad del usuario.

Los algoritmos de IA utilizados en estos ataques también pueden aprender de cada interacción, mejorando continuamente su capacidad para manipular a los usuarios. “Estamos viendo una tendencia preocupante donde los ataques se vuelven cada vez más sofisticados y difíciles de detectar”, dice Taboada. 

Los ataques de hipnosis  generalmente comienzan con un contacto inicial a través de una plataforma digital, como redes sociales, correos electrónicos o aplicaciones de mensajería. Una vez que el chatbot impulsado por IA establece contacto, inicia una conversación diseñada para ganar la confianza de la víctima. “La clave está en el tiempo y la personalización. Cuanto más tiempo logran mantener la interacción, más probable es que la víctima baje la guardia”, explica.

A medida que la conversación avanza, el chatbot utiliza técnicas de manipulación psicológica, como la repetición de ciertos mensajes, la creación de una falsa sensación de urgencia, o la generación de sentimientos de empatía. Estas tácticas están diseñadas para inducir a la víctima a proporcionar información sensible o realizar acciones perjudiciales, como transferencias de dinero o compartir contraseñas. 

¿Cómo se logró identificar ataques cibernéticos con hipnosis?

IBM realizó experimentos que consistieron en crear entornos controlados para simular ataques de hipnosis dirigidos a sistemas de inteligencia artificial. En estos experimentos, los investigadores de la compañía recrearon escenarios en los que los atacantes utilizaban técnicas de manipulación y engaño para influir en los algoritmos de inteligencia artificial, con el objetivo de extraer información confidencial o alterar el comportamiento de los sistemas.

IBM se centró en identificar cómo los atacantes podrían insertar comandos subliminales o modificar la lógica interna de los sistemas de IA para explotarlos. Mediante la simulación de estos ataques, IBM buscaba descubrir vulnerabilidades en los sistemas de inteligencia artificial que podrían ser explotadas a través de técnicas de hipnosis , y desarrollar contramedidas para prevenir y mitigar estos ciberataques emergentes.

¿Qué deben hacer las empresas para protegerse?

Rafael Taboada, asegura que las empresas deben adoptar una estrategia proactiva para protegerse contra ataques cibernéticos avanzados, primero, deben implementar tecnologías de inteligencia artificial y aprendizaje automático que permitan la detección de comportamientos anómalos y posibles intentos de manipulación en tiempo real. 

Estas herramientas pueden identificar patrones inusuales que podrían indicar un intento de ataque, brindando a las empresas una respuesta inmediata y precisa ante cualquier amenaza potencial.

Además, Taboada recomienda fortalecer las defensas internas mediante el uso de autenticación multifactor y la encriptación de datos sensibles. También, dice que es importante, mantener todos los sistemas y software actualizados con los últimos parches de seguridad, ya que las vulnerabilidades conocidas son a menudo los puntos de entrada para los atacantes.

Por último, explica que las empresas deben educar continuamente a los empleados sobre las amenazas cibernéticas emergentes, como la hipnosis., y crear una cultura de ciberseguridad sólida dentro de la organización, donde cada empleado entienda su papel en la protección de los activos digitales, es esencial para mitigar el riesgo de ciberataques.

Imagen: adventtr

Las agencias estadounidenses señalan que Irán ha aumentado significativamente su actividad cibernética contra objetivos políticos clave. Entre las tácticas empleadas se encuentran ataques de phishing y hackeos dirigidos a los correos electrónicos de figuras prominentes en ambas campañas. El objetivo principal de estos ataques sería manipular la opinión pública y sembrar dudas sobre la legitimidad del proceso electoral. 

El FBI ha resaltado que estos ciberataques no son un fenómeno nuevo, pero la frecuencia y agresividad han crecido notablemente en el último año. Se mencionan como ejemplos intentos de infiltración en las cuentas de correo electrónico de asesores cercanos a Trump, lo que podría poner en riesgo información sensible y estratégica para la campaña. Sin embargo, los ataques contra la campaña de Biden y Harris parecen haber sido menos efectivos.

Por su parte, Irán ha respondido a las acusaciones negando cualquier participación en estas actividades. En un comunicado emitido por su misión ante la ONU, el gobierno iraní tachó las acusaciones de infundadas y carentes de pruebas. Irán mantiene que no tiene interés en interferir en los procesos democráticos de otros países, señalando que estas denuncias forman parte de una campaña de desprestigio contra la República Islámica.

Te puede interesar: Los elementos más importantes de la entrevista entre Elon Musk y Donald Trump en X/Twitter

Impacto en las elecciones y el escenario geopolítico

La supuesta intervención de Irán en las elecciones estadounidenses añade un nuevo capítulo a la ya tensa relación entre ambos países. Los ciberataques son parte de un patrón más amplio de injerencia extranjera que ha marcado las elecciones en EE. UU. desde 2016, con Rusia siendo el actor más destacado en los ataques anteriores.

A medida que se acercan las elecciones de 2024, el temor a una influencia extranjera en los resultados es cada vez más palpable. Las agencias de seguridad estadounidenses están en alerta máxima para prevenir cualquier intento de sabotaje cibernético que pueda afectar la integridad del proceso electoral. 

El impacto de estas actividades no solo se limita al ámbito electoral, sino que también podría tener consecuencias más amplias en las relaciones diplomáticas entre EE. UU. e Irán. Las sanciones y presiones internacionales contra Irán podrían intensificarse, aumentando las tensiones en una región ya de por sí volátil. 

Imagen: Ernie Journeys

 El inicio del caos

El lunes 12, los primeros informes comenzaron a surgir. Servicios gubernamentales esenciales desde el sistema de salud hasta la rama judicial experimentaron interrupciones. Las investigaciones iniciales apuntaban a un posible fallo técnico, pero pronto se hizo evidente que estábamos ante algo mucho más grave. El tema preocupante para diversas personas que trabajamos en ciberseguridad era la poca comunicación del incidente del proveedor IFX Networks, el cual publicó un comunicado que no daba muchas pistas.  

El gobierno actuó de forma correcta convocando las capacidades de ciberseguridad entre ellas el apoyo del Grupo de Respuestas a Emergencias Cibernéticas de Colombia (COLCERT) y del Equipo de respuesta a emergencias informáticas (CSIRT, por sus siglas en inglés) asociado a la Presidencia, como la creación de un PMU (Puesto de Mando Unificado), con distintos actores entre ellos MINTIC. El boletín número 2 de este PMU, empezó a mostrar varios temas complejos entre ellos que IFX tiene 46 contratos con entidades públicas. 

La identificación del adversario

Tres días después, el 15 de septiembre, el COLCERT, y CSIRT Presidencia emitieron un comunicado oficial, denominado el contexto del incidente.  El diagnóstico: un ransomware conocido como MarioLocker. Esta amenaza no era desconocida en el mundo de la ciberseguridad. Con más de 459 incidentes a nivel global.  “El COLCERT, a través de su análisis de Cyber Threat Intelligence, identificó artefactos vinculados que indican posibles vulnerabilidades aprovechables por terceros. Estas vulnerabilidades pueden afectar dispositivos y activos relacionados con recursos en la nube, como señala Microsoft. La propagación de la amenaza puede impactar servicios vinculados a sistemas de información y herramientas de conexión remota en entornos virtualizados”, lee el reporte. 

Esto ya mostraba varios temas los ciberdelincuentes pudieron aprovechar las vulnerabilidades de entornos virtualizados, y la planeación del ciberataque de forma estratégica.  Como la falta de estrategia de continuidad de las entidades públicas y privadas y del proveedor de servicios.

 Las víctimas y el alcance global del ciberataque

 A medida que avanzaban los días, se reveló que el ciberataque no solo afectó a Colombia. Entidades en Chile, Panamá, también fueron víctimas. Se estableció la afectación de diversas entidades públicas y privadas. Así mismo, portales como muchohacker, publicaron la lista de algunas entidades afectadas, las cuales sobrepasan las 400. 

En diversas entrevistas Mauricio Lizcano, el Ministro TIC de Colombia, comentó como varias entidades privadas y públicas han solicitado el apoyo al CSIRT. Saúl Kattan Cohen, consejero Presidencial para la Transformación Digital mostró la necesidad de la agencia de seguridad digital debido al alto impacto del ciberataque a todos los procesos de distintas entidades. Así mismo, algunos senadores como David Luna, han expresado la necesidad de que el gobierno mejore las capacidades de seguridad.

El daño es incalculable por la falta de disponibilidad de la información. Esta viene a ser la mayor ‘cicatriz’ que deja la crisis de las últimas semanas. Todos estos datos vitales son algo que el gobierno tendrá que identificar, ya que muchas entidades no han podido acceder a la información por más de 8 días. Establecer el daño emergente y el lucro cesante se presenta como un desafío monumental, principalmente porque no contamos con un precedente de un ataque de esta magnitud y naturaleza.

Algunas entidades como el Ministerio de Cultura hoy 22 de septiembre de 2023, siguen afectadas y no tienen sus servicios activos es el caso de la biblioteca nacional, museo nacional, quinta de Bolívar, museos colombianos, entre otras. La Rama Judicial también se vio afectada y se ha visto en la obligación de suspender términos en distintos procesos.

Algunas causas detrás del ataque

Varios factores contribuyeron a la magnitud de este ciberataque. En primer lugar, es bueno resaltar algo que no se ha mencionado y es que Colombia tiene hace años un modelo MSPI que incluye documentación, estándares y procedimientos, en temas de ciberseguridad. Así mismo en el modelo del MSPI, se puede encontrar hasta los formatos de reporte de incidentes. 

Decir que no se tiene procesos y documentos es falso. El modelo colombiano es bueno en documentación, el problema es que fallaron los controles en varios procesos. 

Algunas de las causas del ataque pueden verse reflejadas en temas como:

1- Falta de copias de seguridad y de estrategia de continuidad

Se tenía de forma literal los recursos en el mismo lugar. Esto hace que algunas entidades no tengan acceso a las copias de seguridad de forma sencilla. El incidente con IFX Networks reveló una vulnerabilidad crítica en la estrategia de resguardo de datos de muchas entidades: todos sus datos, incluidas las copias de seguridad, estaban almacenados en la misma nube. Esta concentración de información en un único punto de fallo subraya la importancia de diversificar las estrategias de almacenamiento y backup para garantizar la continuidad del negocio ante ataques.  La ausencia de ejercicios de simulación se manifestó con fuerza: el ataque real se convirtió en el simulacro más crudo y revelador, evidenciando fallos en RPO (Punto de Recuperación Objetivo) y RTO (Tiempo de Recuperación Objetivo).

2- Priorización del precio sobre la seguridad

En algunos casos el marco de precios de Colombia Compra Eficiente se compró nubes a menor precio, pero no con mejor seguridad de la información. Vale la pena revisar el modelo en temas de ciberseguridad, en el catálogo que se tiene debe primar la seguridad más que el precio. 

3 – Gestión de vulnerabilidades

Todo indica que los ciberdelincuentes explotaron una vulnerabilidad específica relacionada con la virtualización en la infraestructura de IFX Networks. Esta brecha, aparentemente no gestionada adecuadamente, permitió un acceso sin precedentes a los sistemas, dejando en evidencia una falta de estrategia proactiva en la gestión de vulnerabilidades. Cada vez los controles a los proveedores en la nube deben ser más estrictos y se debe demostrar de forma constante pruebas de ethical hacking, análisis de vulnerabilidades y controles en todos los entornos. 

4 – La gestión de la comunicación

Durante el incidente, los procesos de comunicación de IFX Networks dejaron mucho que desear. A pesar de la magnitud del ataque y las implicaciones para numerosas entidades, la información proporcionada fue escasa y, en ocasiones, tardía. No fue sino hasta el 19 de septiembre cuando comenzaron a surgir comunicados más claros y detallados sobre la situación. La falta de transparencia y la intermitencia en la disponibilidad de su página web en los días previos solo intensificaron la incertidumbre y la preocupación entre las entidades afectadas y el público en general. Una comunicación oportuna y clara es esencial en momentos de crisis, y en este caso, se evidenció una notable deficiencia en ese aspecto. El 21 de septiembre de 2023, la empresa comunicó que ha logrado restablecer los servicios para el 90% de sus clientes, con la expectativa de una recuperación total de forma pronta. 

5 – La evolución del Ransomware

El cual ha venido evolucionando a través de los años, hace que cada vez su anatomía sea más especializada, los ciberdelincuentes tienen la facilidad de aprovechar vulnerabilidades y cumplir sus objetivos.  Según informes de empresas en ciberseguridad, como Sophos, los ataques de ransomware se están volviendo cada vez más especializados. De hecho, en el 76% de los casos, los ciberdelincuentes logran cifrar exitosamente los datos de sus víctimas, evidenciando una creciente sofisticación en sus métodos. En Cloud Seguro una empresa de seguridad informática en la investigación de distintos incidentes nos hemos dado cuenta de que el ciberdelincuente tiene todo el tiempo y paciencia para ejecutar los ataques y la planeación es detalle a detalle. Así mismo, existen ya técnicas como el “ransomware como servicio” (RaaS) es un modelo de negocio en el que los ciberdelincuentes ofrecen infraestructura de ransomware a otros criminales a cambio de una parte de los rescates obtenidos.

6 – La respuesta y las implicaciones a futuro

A pesar de que el proveedor ha anunciado la solución al reciente ciberataque, el panorama aún presenta incertidumbre. El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), ha expresado desde el 18 de septiembre en distintos medios de prensa su decisión de emprender acciones legales, lo que augura un periodo de análisis y posiblemente litigios. 

Paralelamente, las autoridades están incrementando la vigilancia en la dark web, buscando indicios de filtraciones que puedan estar vinculadas al incidente, pero esto apenas empieza. En ocasiones la información se filtra meses después y la paciencia de un ciberdelincuente es su mayor virtud. 

Se debe investigar con ciberinteligencia y OSINT. Esto es lo que viene en los próximos días para establecer si algún tipo de información pudo verse expuesta. Es bueno establecer si IFX realizó algún proceso de informática forense para establecer todo el contexto. Así mismo, no queda claro si la empresa tenía algún tipo de póliza de seguro o que está haciendo para el proceso de investigación. 

Solo IFX Networks y el grupo de crackers saben realmente la profundidad del acceso y qué información fue comprometida. El tiempo, sin duda, revelará la verdad.

Conclusiones

El reciente ciberataque ha evidenciado no solo las debilidades de nuestra infraestructura digital, sino también la urgente necesidad de adoptar una mentalidad centrada en la ciber resiliencia. A pesar de los avances de Colombia en documentación con el MSPI, herencia de gobiernos anteriores, aún enfrentamos retos significativos. Se ha discutido la posibilidad de una agencia de seguridad digital, pero es vital entender que esta agencia sería solo una herramienta entre muchas y no va a hacer que las cosas cambien dentro de un plazo mediano.  

Cada entidad del sector público y privado tiene su propia dinámica, con procesos de contratación, decisiones y gestión tecnológica únicos. Estas características, arraigadas en su cultura organizativa, influyen en su preparación y respuesta ante amenazas en ciberseguridad.  Sin embargo, la situación actual nos ofrece una oportunidad: es el momento de adaptarnos, fortalecer nuestras defensas y, sobre todo, cultivar una cultura de seguridad más sólida y coherente con mayores controles técnicos y de continuidad 

de los servicios en la nube exige una revisión exhaustiva de los controles de seguridad que los proveedores implementan. No basta con confiar; es vital verificar y validar constantemente. Al final del día, existen dos tipos de empresas: las que han sido hackeadas y las que aún no lo saben.

Pero a esta realidad, añadimos un tercer tipo: las hackeadas que demuestran capacidad y resiliencia en su respuesta. 

Imágenes: Foto de AltumCode en Unsplash 

Pese a que IFX Network aseguró en un comunicado el día de ayer que luego de una detección temprana del ataque y actuación de forma oportuna lograron limitar el potencial alcance del ataque y contener considerablemente el número de sistemas afectados, el Gobierno no está del todo seguro.

En entrevista con La W, Lizcano aseguró que el equipo de inteligencia que está al frente del ataque cibernético, pudo establecer que ya hay información en la Dark Web, “incluso una vez IFX dio este anuncio a las dos horas en la Dark Web ya estaban ofreciendo una parte de información de los hospitales”, explicó.

Te puede interesar: Colombia demandará a IFX Networks por ciberataque: esto dijo MinTIC

La afirmación del jefe de cartera, desmiente lo dicho por la compañía tecnológica quien aseguró que los datos no se filtraron, en un principio y que estaban seguros.

Ante este panorama recordemos que como informamos ayer, el Estado está considerando poner una demanda civil y posiblemente acciones penales contra IFX Networks.

Esto no solo por el ciberataque, sino porque según el Ministro, le han solicitado a IFX información puntual que no han suministrado de forma oportuna. “Hemos pedido tres datos fundamentales para poder resolver el problema. El primero es la anatomía del ataque, es decir, cómo se dio; en segundo lugar, el virus con el que se introdujo; y el tercero cuáles son los indicadores de compromiso, y esta empresa no ha cumplido con ninguno de los tres”.

¿Qué es la Dark Web?

La Dark Web es una parte oculta de Internet que no se puede acceder mediante motores de búsqueda convencionales como Google. En ella, se encuentran sitios web y servicios que suelen mantenerse en el anonimato y donde se realizan actividades ilegales, como la venta de drogas, armas y datos robados. Para acceder a la Dark Web, se necesita un software especial y a menudo se utiliza para mantener el anonimato en línea.

En este lugar también llamado internet oscura, se puede encontrar  información robada que se pone a la venta, como datos personales, números de tarjetas de crédito, contraseñas, información de identificación personal, números de seguridad social y otros datos sensibles.

Los ciberdelincuentes suelen vender esta información a compradores interesados en cometer fraudes financieros u otras actividades ilegales.

Imagenes: Ignatiev

Algunas de las razones que dio el jefe de cartera ante esta decisión tiene que ver, según él, con “la falta de compromiso de la empresa IFX Networks y los fallos en protocolos de seguridad con ocasión del ciberataque ocurrido, junto con la negativa de entregar la información pedida por el Puesto de Mando Unificado como indicadores de compromiso, el malware y la anatomía del ataque”.

Ante la falta de compromiso de la empresa IFX Networks y los fallos en protocolos de seguridad con ocasión del ciberataque ocurrido, junto con la negativa de entregar la información pedida por el PMU como indicadores de compromiso, el malware y la anatomía del ataque, he ordenado…

— Mauricio Lizcano (@MauricioLizcano) September 18, 2023

En una entrevista con Caracol Radio, aseguró que ahora están estudiando la posibilidad de que otras empresas entren a ayudar, sin embargo señaló que “el Gobierno tiene que demandar, no solo por los perjuicios morales, sino para reglamentar los estándares de calidad con los que contrata este tipo de servicio (…) No es un contrato grande, son entidades que han ido contratando a la misma empresa. Son exactamente 30 entidades con este problema”.

Te puede interesar: Gobierno convoca PMU para enfrentar ciberataque a Rama Judicial y otras páginas estatales

Así mismo, explicó que por ahora, no se sabe cuál es el impacto del ciberataque y cual es la información afectada. “Encriptaron los datos, pero no los sacaron de los servidores, ese movimiento de tantas teras de información hubiera sido perceptible por el Gobierno o por la misma empresa. Piden plata por esa información, pero obviamente no se les ha pagado”, explicó Lizcano a la cadena radial.

¿Qué ha dicho IFX Networks?

En un comunicado la compañía aseguró que luego de una detección temprana del ataque y actuación de forma oportuna lograron limitar el potencial alcance del ataque y contener considerablemente el número de sistemas afectados.

Además señalan que siguen trabajando en la investigación para responder a este incidente. Por ahora han podido “obtener información relevante para avanzar en el proceso de restablecimiento del servicio, con sistemas seguros y en funcionamiento”.

“Ya hemos comenzado a restablecer los primeros servicios y continuamos trabajando para que todos los sistemas vuelvan a estar en línea en los próximos días y en consecuencia, la prestación del servicio estará normalizada lo antes posible”.

Imagen: Archivo ENTER.CO

Así que en ENTER.CO hemos hecho un resumen de las entidades que al parecer fueron afectadas y que en estos momentos tienen algunos o varios de sus servicios suspendidos. El conteo previo hasta el momento indica que el número de páginas y servicios que no están funcionando son más de 20 plataformas afectadas.

La mayoría de portales de la Rama Judicial

Uno de los golpes más importantes del ciberataque fue a la Rama Judicial. Al momento de publicación de este artículo el sitio de la Dirección Ejecutiva de Administración Judicial no está disponible y la mayoría de plataformas o servicios vinculados tampoco están disponibles: Página de liquidador de sentencias, Pagina Demanda en línea, Página del sistema de información documental nacional, ETC.

La Unidad de Informática de Dirección Ejecutiva de Admón Judicial trabaja en el restablecimiento del portal web y algunos sistemas de la #RamaJudicial, los cuales han presentado fallas en los servicios que presta el sitio web. Estaremos informando cuando se normalice el servicio.

— Rama Judicial (@judicaturacsj) September 12, 2023

SIC

En estos momentos el sitio de Superintendencia de Industria y Comercio se encuentra caído. La entidad a través de Twitter X confirmó que los trámites se encuentran suspendidos hasta el 13 de septiembre.

La #SIC informa a la ciudadanía que debido a las fallas presentadas en su página web https://t.co/uVGC9EGksO, suspenderá los términos procesales de las actuaciones que se adelantan ante sus distintas dependencias.

Conoce los detalles aquí⬇️ pic.twitter.com/LB2m8u1cIF

— Superintendencia de Industria y Comercio 🇨🇴 (@sicsuper) September 13, 2023

Te puede interesar: Gobierno convoca PMU para enfrentar ciberataque a Rama Judicial y otras páginas estatales

Ministerio de Salud

El Ministerio de Salud a través de sus redes sociales también confirmó que debido al incidente de seguridad los servicios digitales no están disponibles. Por el momento no hay una fecha para su restablecimiento y el sitio web funciona sin problemas.

🚨¡Importante! Debido a un incidente de ciberseguridad, los servicios digitales del @MinSaludCol presentan fallas. Informamos a la ciudadanía que trabajamos para restablecerlos lo más rápido posible.

Los detalles👉https://t.co/xQzdImzszN pic.twitter.com/OnQGE10s7i

— MinSalud Colombia 🇨🇴 (@MinSaludCol) September 13, 2023

Super Salud

A través de Twitter X, LA Superintendencia Nacional de Salud anunció el fallo de sus servicios tecnológicos, el acceso a la plataforma donde se radican las quejas y la correspondencia, así como los sistemas de gestión de auditorias e inventarios.

#Noticia | La Superintendencia Nacional de Salud alerta por falla generalizada en sus servicios tecnológicos a los vigilados, usuarios y grupos de interés.

Seguiremos informando sobre los avances frente a la falla presentada. pic.twitter.com/GNEVuPMQVA

— Supersalud (@Supersalud) September 13, 2023

Noticia en desarrollo

Imágenes: montaje ENTER.CO

La compañía tuvo que activar su sistema de seguridad luego de identificar un ataque cibernético Ransomware en sus máquinas. De acuerdo con el comunicado sobre las 5:50 a.m. del 12 de septiembre, toda su infraestructura en la nube “recibió un ataque de ciberseguridad externo tipo Ransomware, afectando algunas de sus máquinas virtuales”.

La primera entidad en reportar la falla fue Supersalud, quien aseguró que “que el proveedor IFX de la entidad está presentando una falla masiva que afecta el acceso a nuestros sistemas NRVCC, Supercor y sitio web”.

Así mismo, la Rama Judicial confirmó que se han presentado fallas de sus páginas luego del ataque. En tanto, al Consejo Superior de la Judicatura señaló que la radicación de tutelas y la firma virtual de los jueces no está funcionando.

La Unidad de Informática de Dirección Ejecutiva de Admón Judicial trabaja en el restablecimiento del portal web y algunos sistemas de la #RamaJudicial, los cuales han presentado fallas en los servicios que presta el sitio web. Estaremos informando cuando se normalice el servicio.

— Rama Judicial (@judicaturacsj) September 12, 2023

“La Unidad de Informática de Dirección Ejecutiva de Admón Judicial trabaja en el restablecimiento del portal web y algunos sistemas de la Rama Judicial, los cuales han presentado fallas en los servicios que presta el sitio web. Estaremos informando cuando se normalice el servicio”, se lee en el comunicado.

Por su parte la Fiscalía, posteo en X (Twitter) que en “relación a los ataques cibernéticos reportados por varias entidades estatales en las últimas horas, la Fiscalía General de la Nación, a través de la Dirección Especializada Contra los Delitos Informáticos, destacó un fiscal y un equipo de policía judicial para que adelante la investigación correspondiente”.

Con relación a los ataques cibernéticos reportados por varias entidades estatales en las últimas horas, la #Fiscalía General de la Nación, a través de la Dirección Especializada Contra los Delitos Informáticos, destacó un fiscal y un equipo de policía judicial para que adelante…

— Fiscalía Colombia (@FiscaliaCol) September 13, 2023

Luego de que se convocara un Puesto de Mando Unificado (PMU) de carácter urgente para intentar restablecer rápidamente las páginas web y servicios de diferentes entidades de gobierno, MinTIC informó que IFX, de acuerdo a  sus acciones preliminares, reportó que la data no se ha visto afectada en ninguna plataforma y esperan conocer en las próximas horas el número de activos de información que se encuentran afectados en el país.

El ministro Mauricio Lizcano aseguró que el PMU Ciber seguirá abierto y estará informando el estado de restablecimiento de las operaciones en el país.

Giovanny Mesa, Gerente general de la entidad, informó que desde el domingo detectaron un ataque cibernético a su página web. En ese momento, señala Mesa, tomaron la decisión de deshabilitar los servicios físicos y virtuales. Desde entonces, los servicios que oferta la empresa de productos farmacéuticos, se han ralentizado, pues por el momento se están realizando todas las labores de manera manual.

“Tan pronto lo identificamos, activamos nuestros protocolos de  Tbel Abuseridze  dispuestos para este tipo de casos, y se procedió a deshabilitar los servidores físicos y virtuales para proteger la información de nuestra organización y la de nuestros usuarios”, dijo, comentó Mesa.

Audifarma también hace un llamado a sus usuarios para continuar solicitando sus medicamentos en los puntos físicos, pues la empresa cuenta con un plan de contingencia para seguir operando.

Te puede interesar: Sanitas y Colsanitas continúan sin servicios digitales tras ataque cibernético

Mientras tanto, el gerente de Audifarma aseguró que están en contacto con multinacionales expertas en ciberseguridad para afrontar el hackeo. ” Estamos analizando todos nuestros sistemas informáticos para buscar una pronta solución a la situación, y lograr restablecer el servicio con normalidad para todos los usuarios”, aseguró el gerente general.

La entidad no explicó qué datos se vieron afectados en el ciberataque, pero argumentaron que: “para la tranquilidad de todos contamos con todos los mecanismos de seguridad y respaldo que nos permiten salvaguardar la integridad de la información”.

Aún no se tiene una fecha clara para el restablecimiento de la página web y el aplicativo de Audifarma. Vale la pena recordar que en noviembre, Sanitas y Colsanitas también sufrieron un ataque cibernético. Sin embargo, no se ha confirmado si es el mismo delincuente tras los recientes ataques.

Imagen: Tbel Abuseridze vía Unsplash

A medida que surgen nuevos avances en la tecnología se multiplican los tipos de violencia digital y ciberdelitos. Uno de estos, es el conocido Doxing o Doxeo, que consiste en investigar y difundir información privada a través de las redes sociales. Este tipo de ciberdelincuencia, permite identificar, incluso, ubicar a una persona sin su consentimiento previo. Por supuesto, esto se hace con el fin de acosar, avergonzar, amenazar o extorsionarla, todo a cambio de beneficios económicos o datos relevantes.

Debes saber que cualquier persona que se encuentre en el mundo de las redes sociales puede estar expuesta a sufrir este tipo de ciberdelitos. Sin embargo, existen formas de evitarlo y controlar la información que se comparte para impedir que personas maliciosas puedan llegar a ella. Noventiq, compañía de ciberseguridad, compartió estos 6 consejos para no caer en un ataque doxing.

Te puede interesar:  Empresa de seguridad advierte sobre código malicioso creado con ChatGPT

“Entendemos que actualmente es prácticamente imposible permanecer desconectado de las redes sociales, pero sí nos preocupa nuestra seguridad, entonces debemos intentar facilitar a Internet la menor cantidad de información posible que después nos pueda causar daños y perjuicios sumamente graves en todo tipo de aspectos personales.”  finalizaron desde Noventiq.

1. Reforzar la atención y el cuidado de lo que se pública en las redes sociales, como ubicación en tiempo real, chats, correo electrónico, número telefónico y, si es posible, mantener el perfil privado.
2. Aplicar capas con el mayor número de medidas posibles para reforzar la seguridad de los datos, desde cambiar las contraseñas y reforzarlas.
3. Revisar la configuración, permisos y cambios de condiciones de cada red social, o aplicación.
4. Practicar el egosurfing, es decir, buscar información propia en la web para ver qué tipo de datos están vinculados a tu nombre.
5. Hemos visto que el comercio online a través de las redes sociales cada vez tiene más éxito al ser rápido y eficiente, además de lograr una comunicación con el vendedor, casi inmediata. En estos casos, no facilitar datos financieros a un perfil sin antes verificar que, efectivamente, es legítimo y seguro, es clave para no ser víctima del doxing.
6. Otro aspecto importante, aunque no solo relacionado con las redes sociales, es salvaguardar la información del dispositivo que se utiliza cuando se conecta a una red Wi-Fi. Es importante validar que esa red sea segura.

Imagen: Pexels

El Departamento Administrativo Nacional de Estadística (DANE), anunció que su página web ya está en funcionamiento y que aún siguen adelantando las investigaciones para corroborar que sus datos no fueron expuestos.

Te puede interesar: DANE sigue intentando restablecer su página luego de sufrir hackeo

Recordemos que el pasado miércoles 10 de noviembre, sobre las once de la noche, la página web de la entidad, sufrió un ataque cibernético en el que perdieron el control de ella.

“Gracias al trabajo del DANE y autoridades, la página web https://dane.gov.co/index.php está nuevamente al servicio de la ciudadanía. Continuamos adelantando actualizaciones en algunas de las secciones.” Aclaró la entidad por medio de un trino.

Gracias al trabajo del DANE y autoridades, la página web https://t.co/3FLqml5Fun está nuevamente al servicio de la ciudadanía. Continuamos adelantando actualizaciones en algunas de las secciones.
Agradecemos su comprensión. pic.twitter.com/hw5pLBprUe

— DANE Colombia (@DANE_Colombia) November 16, 2021

Cabe aclarar que el presunto atacante, que aún no se determina si es uno solo o un grupo de hackers, envió un correo a los funcionarios del DANE, comentando que robó 130 terabytes de datos de la entidad, aún cuando la institución había asegurado que en el ataque no habían salido comprometidos los datos, ni se registraba robo de información.

Sin embargo, según el medio de comunicación El Colombiano, el pasado 12 de noviembre Ricardo Valencia, subdirector de la entidad, comentó que sí se había evidenciado una pérdida de información importante y sensible de su base de datos.

Aunque el DANE aún no ha confirmado qué tipo de información salió comprometida, en la denuncia instaurada frente a la Fiscalía se menciona que los atacantes cibernéticos, borraron sistemas de procesamiento estadístico, lo que truncó la operación de la organización durante esta semana.

La filtración se hizo después de un ataque que hicieron cibercriminales a la Agencia de salud (EMA, por sus siglas en inglés). “La investigación hecha después del ataque mostró que los atacantes tuvieron acceso a información sobre la vacuna y medicinas de empresas como Pfizer y BioNTech y estas han sido publicadas en Internet”, le explicó un vocero al portal Zdnet.

Para leer más sobre COVID-19, visita este enlace.

La investigación, además, demostró que los cibercriminales tenían como objetivo acceder a la información sobre COVID-19; de acuerdo con el portal, distintas empresas farmacéuticas y relacionadas con este tema son objetivo en los últimos meses. Microsoft y la OMS también aseguran haber encontrado ataques similares a la industria por lo que piden a los colaboradores de empresas relacionadas ser muy cuidadosos con su información empresarial y seguir los protocolos de seguridad.

La información robada a EMA incluía pantallazos de correos, presentaciones Power Point, documentos de revisión internar y otros; aún no se identifica el origen de los atacantes.

Imagen: Chokniti (Vía Pexels).

De acuerdo con Kaspersky, cada año, el 46% de estos incidentes son ocasionados por los propios empleados, motivo por el cual esta vulnerabilidad en las empresas debe ser atendida en muchos niveles, no solo por el departamento de seguridad de TI.

Desinformación y descuido, principal causa

La desinformación y el descuido de los empleados son una de las causas más comunes en un incidente de ciberseguridad, superado sólo por el malware. Mientras que el malware se vuelve cada vez más sofisticado, la realidad es que el factor humano puede representar un peligro aún mayor.

En particular, el descuido de los empleados es uno de los mayores defectos en la defensa de la ciberseguridad corporativa cuando se trata de ataques específicos. A pesar de que los hackers avanzados siempre pueden usar malware a la medida y técnicas de alta tecnología para planear un ataque, es probable que comiencen con la explotación del punto de entrada más fácil: las personas.

Según la investigación, uno de cada tres (28%) ataques dirigidos contra empresas durante el año pasado tenía como origen el phishing o la ingeniería social. “Por ejemplo, un contador descuidado podría abrir fácilmente un archivo malicioso disfrazado de factura de uno de los numerosos contratistas de una empresa. Esto podría paralizar toda la infraestructura de la organización y haría del contador un cómplice involuntario de los atacantes”, comentaron expertos de Kaspersky.

Organizaciones no reciben ataques dirigidos todos los días, pero…

David Jacoby, investigador de seguridad en Kaspersky Lab, se refirió a la fragilidad que experimentan las empresas por la actuación de sus colaboradores. Para Jacoby, la capacitación del personal debe ser más rigurosa con el fin de evitar incidentes de seguridad.

“A menudo los cibercriminales usan a los empleados como un punto de acceso para entrar a la infraestructura corporativa. Correos electrónicos que contienen phishing, contraseñas débiles, llamadas falsas de asistencia técnica…lo hemos visto todo. Incluso una tarjeta flash común que se le ha caído a alguien en el estacionamiento de la oficina o cerca del escritorio de la secretaria puede poner en peligro a toda la red, lo único que se necesita es alguien que esté adentro, que no sepa nada o que no preste atención a la seguridad y ese dispositivo podría ser fácilmente conectado a la red donde podría causar estragos”, enfatizó el vocero.

Este también explicó que aunque las organizaciones no reciben ataques dirigidos avanzados todos los días, el malware convencional sí ataca en masa. La investigación muestra que incluso en el caso del malware, los empleados no conscientes y descuidados a menudo están involucrados en el ataque, causando así infecciones de malware en el 53% de los casos.

El departamento de recursos humanos y la gerencia deberían involucrarse

Kaspersky opina que ocultar los incidentes en los que se ha involucrado el personal puede traer serias consecuencias, pues aumenta el daño causado de manera general. Incluso un evento que no se informa a tiempo podría indicar que hay una brecha mucho mayor y los equipos de seguridad necesitan identificar rápidamente las amenazas que enfrentan para elegir las tácticas de mitigación adecuadas.

Sin embargo, en la actualidad el personal prefiere poner a las organizaciones en riesgo antes que denunciar un problema porque temen el castigo o se avergüenzan de ser responsables de un error. “Algunas empresas han introducido normas estrictas e imponen una mayor responsabilidad a los empleados, en lugar de alentarlos a que simplemente estén alertas y cooperen. Esto significa que la ciberprotección no se limita al ámbito tecnológico, sino también a la cultura y formación de una organización. Ahí es donde la alta dirección y recursos humanos necesitan participar”, explicaron los expertos.

De este modo, el problema de ocultar los incidentes debe comunicarse no sólo a los empleados, sino también a la dirección de la empresa y al departamento de recursos humanos. Si los empleados ocultan incidentes, debe haber una razón. “En algunos casos, las empresas introducen políticas estrictas pero poco claras, y ponen demasiada presión al personal al advertirles que no hagan esto o aquello, o serán responsables si algo sale mal. Tales políticas fomentan los temores y dejan a los empleados con una sola opción: evitar el castigo a como dé lugar. Si su cultura de ciberseguridad es positiva, basada en una estrategia educativa, en lugar de ser restrictiva, desde los puestos directivos hacia abajo, los resultados serán obvios”, agregó Slava Borilin, gerente del Programa de Educación de Seguridad de Kaspersky Lab.

Primeras recomendaciones

Borilin también recordó un modelo de seguridad industrial en el cual “un método de informar y aprender por error es el núcleo del negocio”. Por ejemplo, en una reciente declaración, Elon Musk de Tesla pidió que todos los incidentes que afectaban la seguridad de los trabajadores le fueran reportados directamente a él, de modo que pudiera desempeñar un papel central en el cambio.

El factor humano y el clima laboral

Kaspersky concluyó que las organizaciones de todo el mundo se están dando cuenta de que su propio personal puede hacer a sus empresas vulnerables: el 52% de las empresas encuestadas admite que el personal es la mayor debilidad de su seguridad informática. Y la necesidad de implementar medidas centradas en el personal es cada vez más evidente: el 35% de las empresas busca mejorar la seguridad a través de la capacitación del personal, lo que lo convierte en el segundo método entre los más populares de defensa cibernética, superada sólo por la instalación de software más avanzado (43%).

Así las cosas, la mejor manera de proteger a las organizaciones contra las amenazas cibernéticas relacionadas con el personal es combinar las herramientas adecuadas con las prácticas correctas. Esto debe involucrar los esfuerzos de recursos humanos y de la administración para motivar y alentar a los empleados a estar atentos, y a buscar ayuda en caso de algún incidente.

Como recomendaciones adicionales están: Entrenar al personal para su preparación respecto a la seguridad; proporcionarles directrices claras en lugar de documentos de muchas páginas; dotarlos de habilidades fuertes; y motivar y fomentar el ambiente de trabajo adecuado.

¿Y las tecnologías de seguridad?

En cuanto a las tecnologías de seguridad, la mayoría de las amenazas dirigidas a empleados no conscientes o descuidados (entre ellas el phishing) pueden ser tratadas con soluciones de seguridad en las terminales. Estas soluciones pueden abarcar las necesidades particulares tanto de pymes, como de grandes empresas, en términos de funcionalidad, protección preconfigurada o configuración de seguridad avanzada, para minimizar los riesgos.

Si desea leer el informe completo puede hacer clic aquí

Imagen: Pixabay

Un posible ciberataque es la preocupación que nos agobia a empresarios y usuarios en la red. En mayo, grandes empresas en todo el mundo fueron testigos de la fuerza del ransomware WannaCry, un software malicioso que secuestraba la información y pedía una recompensa en Bitcoins para regresarla a sus propietarios. El panorama en Colombia también muestra que las empresas están en riesgo de forma constante. Al respecto, la compañía de seguridad Eset reveló que en Colombia el 46,7 por ciento de las empresas fueron víctimas de un ciberataque en 2016.

El panorama de seguridad en la red para las empresas colombianas no es positivo. De acuerdo con el ‘Eset security report Latinoamérica 2017’, una de cada dos empresas en la región fueron objeto de malware en 2016. En el caso de Colombia, es el segundo país con mayor cantidad de registros con un 46,7 por ciento, siendo superada por Nicaragua con un 53 por ciento.

Los datos del reporte se obtuvieron a través de una encuesta realizada a más de cuatro mil profesionales de distintas empresas. Entre los datos obtenidos, uno de los más importantes es el incremento de los casos de ransomware en las organizaciones. Este malware se ubicó en la segunda posición con un 16 por ciento, seguido por el phishing (robo de datos personales de forma fraudulenta) con el 15 por ciento.

La compañía considera que ese incremento se debe a que los ciberdelincuentes encontraron en los códigos maliciosos y en el ransomware un negocio lucrativo que genera ganancias económicas más rápidas. Maximiliano Cantis, channel manager de Eset Latinoamérica, comentó que el ataque de WannaCry esperaba obtener 90 millones de dólares en pago de rescates. Sin embargo, debido a la respuesta rápida de las empresas, los responsables del ciberataque solo lograron recoger algo más de 193 mil dólares desde aquel 12 de mayo.

Al respecto, Camilo Gutiérrez, jefe de laboratorio de investigación de la compañía, señaló que “la principal solución que están encontrando las empresas para este tipo de amenazas es el pago, y cuando se paga, se promueve el éxito de este tipo de amenazas”. Por eso recomienda que se realicen los backups para recuperar la información sin pagar el rescate.

¿Qué controles aplican contra un ciberataque?

El primero y más popular con un 83 por ciento son los antivirus, cuyo uso registró un incremento del 23 por ciento en comparación con el estudio realizado en 2010. Luego está la implementación de las políticas de realizar backups con un 67 por ciento, 3 por ciento más que en 2015. Otra conducta con el mismo crecimiento es el cifrado de la información con un 21 por ciento. Y finalmente está el uso de soluciones de seguridad para móviles con un 12 por ciento, dos por ciento más que en 2015.

Pero no todas son noticias positivas. El uso de herramientas antispam se redujo en un tres por ciento. El uso de herramientas de detección y prevención de intrusos solo llegó al 31 por ciento, tres por ciento menos que en 2016. Además, la aplicación de controles de usuarios autenticados en red fue del 48 por ciento, dos por ciento menos que el año pasado.

Ataques en 2016

En el primer lugar están las infecciones con malware, que suman un 49 por ciento. Le siguen las empresas cuya información fue secuestrada por ransomware con el 16 por ciento. El tercer incidente fue el phishing, que afectó al 15 por ciento de las empresas, representando una reducción del uno por ciento. Y en los dos últimos puestos están los ataques por exploits (llaves para el acceso del software malicioso en los dispositivos) y DoS (denegación de servicio) con 10 y 19 por ciento respectivamente. Además, ambas modalidades de ataque tuvieron una reducción del 3 por ciento.

Este panorama deja dos aristas para analizar. La primera es que en total una de cada tres empresas no sufrió incidentes de seguridad durante 2016. Y la segunda es que el 31 por ciento de los encuestados aseguró no haberse infectado. Sin embargo, Maximiliano dijo que esta cifra es demasiado alta para ser real. Por lo tanto, planteó varias posibilidades para entender la cifra. La primera es que las empresas no cuenten con las herramientas para saber si lo sufrieron, y la segunda es que no quisieron revelar la realidad de la empresa en 2016.

Preocupaciones de las empresas

Actualmente existen seis problemas que preocupan a las organizaciones. Las vulnerabilidades de sus sistemas, el malware, robo de la información, ransomware, fraude y phishing.

“Podemos lograr grandes cambios en la gestión de seguridad con la implementación de medidas. Por ejemplo, la educación a todos los empleados de la empresa. La respuesta para mejorar nuestros niveles de seguridad está en ver la gestión como un sistema que abarca a los empleados y todas las jerarquías. A estas le sigue la implementación de la tecnología y los procesos de gestión”, resaltó Gutiérrez.

Imagen: iStock.

Registros de datos por sector

En 2016, el robo de identidad fue el principal tipo de filtración. El sector de la tecnología fue el más afectado, seguido por el de la salud, gobierno y sistemas financieros. En cuanto a Colombia, es el país que menor cantidad de filtraciones sufrió en el continente suramericano. Solamente sufrió 2.800 ataques cibernéticos, lo cual es una cifra muy baja a comparación de Brasil con 285.373.

El sector de las tecnologías superó los 2 mil millones de ataques. A este le sigue otros con casi 1.100 millones, al por menor con 838 millones, gobierno con 812 millones. Y entre los menos atacados están el sector financiero (312 millones), salud (246 millones) y educación (79 millones).

“Los delincuentes están cambiando los ataques dirigidos a organizaciones financieras por la infiltración en sitios de entretenimiento y medios. Y los infractores ahora utilizan con mayor frecuencia el cifrado para hacer ilegibles los datos robados y pedir rescate por ellos”, asegura Daniel Cuellar, vicepresidente de Gemalto para Latinoamérica.

Una cifra superior a los 7 mil millones de registros de datos se han perdido desde 2013. Esto significa 3.8 millones de registros por día y 44 por segundo. Sin embargo, en datos más recientes estas cifran siguen en crecimiento. Al día se presentan más de 4 millones de pérdidas de registros, 188.414 por hora, 3.140 por minuto y 52 por segundo.

Octubre fue el mes de más registros perjudicados. Un total de 558 millones hacen que sea el pico más alto de las cifras en 2016. A este le sigue junio con 209 millones y febrero con 139 millones. En 2015, diciembre fue el de mayor número de ataques con 227 millones, seguido por enero con 185 millones y julio con 117 millones.

Imágenes: iStock, captura de pantalla.

El Cibercomando estadounidense, el ala militar de la NSA, confirmó este lunes que está llevando a cabo ciberataques contra la organización Estado Islámico o ISIS, según informó The New York Times. Según el diario, la operación busca primero, hacer inteligencia sobre los hábitos de los comandantes, para luego imitarlos y lanzar ataques de suplantación de identidad, o hackeos a los movimientos bancarios y los pagos a los miembros de la organización.

Parte del objetivo de Estados Unidos es interrumpir las comunicaciones entre los miembros de ISIS para que no se puedan mover ágilmente ni reclutar a nuevos miembros con la misma eficiencia. También se pretende que se ubiquen en posiciones en las que sean más vulnerables para los ataques estadounidenses. Los ataques digitales son parte de la estrategia de ese país contra el grupo islamista, y están pensados como complementos de las acciones de fuerza.

Es raro que Estados Unidos confirme que está llevando a cabo un ciberataque militar. Normalmente las acciones del Cibercomando no son discutidas fuera de las altas esferas del gobierno de ese país, pero esta vez, divulgar la información tiene también un objetivo táctico. Según el diario, “un poco de divulgación podría degradar la confianza del enemigo en sus comunicaciones, y entorpecer e incluso impedir algunas acciones“. En otras palabras: si los comandantes saben que están siendo hackeados, no tendrán la misma confianza de antes para hacer lo que normalmente hacen.

Es raro que Estados Unidos confirme un ciberataque en marcha

Además, el Cibercomando normalmente orienta sus ataques a países como China, Irán o Corea del Norte, y es la primera vez que se orienta en un enemigo que no sea otro estado. Normalmente, la NSA obtiene información e inteligencia de toda clase de blancos, incluido ISIS, pero es la primera vez que Estados Unidos pasa a la ciberofensiva contra ese grupo.

Las acciones son llevadas a cabo por pequeños grupos élite llamados “equipos nacionales de misión”, que funcionan dentro del Cibercomando. Los militares estadounidenses no entregaron otros detalles sobre las tecnologías usadas, las labores concretas o los tiempos y logros de la operación: “Queremos que [ISIS] se sorprenda cuando llevamos a cabo ciberoperativos. Y, francamente, algunos de los problemas que van a tener se deberán al curso normal de los eventos en esta era de la información“, dijo el general Joseph F. Dunford Jr, jefe del Estado Mayor Conjunto de Estados Unidos.

Imagen: montaje ENTER.CO

En términos de geopolítica, las redes sociales se están convirtiendo en el blanco de todo tipo de ‘actores’. Con esto en mente, Facebook anunció en octubre que alertará a sus usuarios cuando se sospeche que sus cuentas puedan ser atacadas por un tercero patrocinado por algún gobierno. Y, al parecer, los tuiteros también corren este mismo riesgo.

The Guardian informa que Twitter se comunicó con más de 20 de sus usuarios –a quienes puedes ver aquí– para comunicarles que su información podría ser vulnerada por hackers, posiblemente patrocinados por gobiernos extranjeros. De momento, el servicio de microblogging está ejecutando una investigación al respecto y aún no tiene evidencia de que los ataques hayan conseguido su objetivo.

We received a warning from @twitter today stating we may be “targeted by state-sponsored actors” pic.twitter.com/oZm83eVFC5

— coldhak (@coldhakca) diciembre 11, 2015

El mensaje de Twitter que, entre otros, recibió la organización sin ánimo de lucro Coldhak expone que los mencionados actores “pueden haber estado tratando de obtener información como direcciones de correo electrónico, direcciones IP y/o números de teléfono”. Evidentemente, este mensaje ha generado descontento y críticas por parte de los usuarios que lo recibieron.

Vale la pena recordar que esta no es la primera vez que Twitter advierte a sus usuarios sobre posibles violaciones de seguridad. Sin embargo, como reporta Wired, esta sería la primera vez que la red social avisa del posible involucramiento de gobiernos extranjeros en este tipo de ataques.

Imagen: montaje ENTER.CO.

El apagón fue el desenlace de un fin de semana en el que los enlaces a la red en Corea del Norte sufrieron inestabilidad, según reportó el New York Times. Luego del ataque, el servicio aun no se recupera, según Dyn Research.

Una de las hipótesis que se baraja es que se trataría de una retaliación luego de que el FBI culpó al país del ataque a Sony Pictures, aunque esto no ha sido confirmado ni desmentido por el gobierno estadounidense o por empresas de monitoreo y seguridad. China negó el martes estar envuelto en el apagón, informó Reuters.

Los patrones de actividad sugieren que se trata de un ataque DDoS, que aunque no fue muy fuerte, habría logrado tumbar los accesos. Pero, como explica ZDNet, tampoco se descarta que haya sido causado por un daño en los servidores o los equipos.

De todos modos, el acceso a la red en Corea del Norte es muy minoritario y restringido a las universidades, Gobierno y algunos extranjeros que residen en el país. El único operador norcoreano se llama Star-KP, solo tiene unas 1.024 direcciones de IP (básicamente, suscripciones) y opera 18 dominios. Las conexiones con el resto del mundo se hacen a través de cuatro redes que vienen de China y están a cargo del operador Unicom.

Imagen: yeowhatzup (vía Flickr)

Tal como les contamos hace unos días, en la última semana de noviembre, Sony sufrió un ciberataque en el que medios de comunicación como Reuters señalaban que Corea del Norte estaría detrás de esta violación, accediendo a documentos financieros y películas que todavía no se han estrenado, como por ejemplo la próxima cinta de James Bond. 

¿Por qué Corea del Norte estaría detrás de esta violación? Fuentes indican que la responsable sería la comedia de Sony Pictures ‘The Interview’, en la que dos periodistas logran una entrevista con Kim Jong-un y el gobierno de Estados Unidos los recluta para asesinar al mandatario. El episodio que obligó a Sony a cancelar la transmisión de la cinta, luego de que los delincuentes del ‘hack’ amenazaran con atacar a las salas de cine en las que se presentara la película.

En la mañana de este viernes, el FBI responsabilizó en un comunicado oficial a Corea del Norte de este ciberataque, como reportó The Verge. En la publicación, el FBI identificó formalmente al gobierno de Corea del Norte como el culpable de este ataque, tras informes anónimos de funcionarios de Estados Unidos en la noche del miércoles y una minuciosa investigación.

“Estamos profundamente preocupados por la naturaleza destructiva de este ataque a una entidad del sector privado y los ciudadanos que trabajaban allí,” señala el FBI, poniendo énfasis en el hecho de que esta violación de seguridad demuestra por qué los ataques cibernéticos son una de las mayores amenazas a la seguridad nacional.

“Las acciones de Corea del Norte tenían la intención de infligir un daño significativo en un negocio de Estados Unidos y suprimir el derecho de los ciudadanos estadounidenses para expresarse. Ese tipo de acciones de intimidación están fuera de los límites del comportamiento aceptable”, agrega.

Según el FBI, el malware utilizado para atacar a Sony está relacionado con el que ha utilizado anteriormente el país oriental: “Hubo similitudes en líneas específicas de código, los algoritmos de cifrado, métodos de borrado de datos y redes involucradas“, explica. Además, como resalta Mashable, también hubo una “coincidencia significativa” en la infraestructura utilizada en este ataque y la infraestructura utilizada en ataques del pasado vinculados a Corea del Norte, como es el caso del ataque a bancos de Corea del Sur en marzo de 2013

Por ahora, más allá de la declaración, el FBI no dijo en el comunicado cuáles son las medidas que va a tomar en respuesta a este ataque. Sin embargo, como informa The New York Times, hace unos minutos el presidente Barack Obama se pronunció al respecto en una conferencia de prensa: “No podemos vivir en una sociedad en la que dictadores de algunas partes impongan censura dentro de los Estados Unidos”.

Y enfatizó “Si están dispuestos a censurar a alguien que hace una película satírica, imaginen lo que estarían dispuestos a hacer con alguien que haga un documental con algo que a ellos no les gusta”. También, en tono burlesco dijo: “Creo que dice mucho de Corea del Norte que haya decidido hacer todo este ataque sobre una película protagonizada por Seth Rogen”. 

Obama dijo que Estados Unidos respondería al ciberataque contra Sony Pictures, pero se negó a decir cuáles serían las repercusiones en concreto, acotando que sería una respuesta ‘proporcional’. Además, dijo que el número de opciones que han estado evaluando serán apropiadas para la naturaleza de este crimen.

Acá les compartimos el video de la Casa Blanca en el que se puede ver la declaración completa de Obama:

Imagen: Montaje ENTER.CO.

Aunque en Oriente Corea del Norte llena titulares cada semana, solo las noticias curiosas son las que resuenan en Occidente. En esta ocasión la nueva discusión ronda a Sony, una película de humor y un ataque cibernético. En Reuters informan que, a inicio de la ultima semana de noviembre, el país oriental habría realizado un ataque contra Sony, en el que accedió a todo tipo de información sensible de la empresa, incluidos documentos financieros y filmes que aún no han sido estrenados.

No es claro cómo el gobierno oriental habría podido ingresar a los servidores de la empresa, pero sitios como The Verge señalan que probablemente fue con ‘phishing’, o con un método relacionado con los problemas que PlayStation Network presentó hace un tiempo.

¿Por qué el enigmático país querría atacar a Sony? La razón de mayor peso es la película de comedia ‘The Interview’. El filme protagonizado por James Franco y Seth Rogen cuenta la historia de un periodista y su productor, quienes logran concretar una entrevista con Kim Jong-Un, actual líder de Corea del Norte. Pero las cosas dan un giro cuando el gobierno de los Estados Unidos los recluta para asesinar al mandatario.

En el pasado los norcoreanos han reaccionado de forma fuerte a la idea del filme, que en su último trailer muestra a Kim como un amante de la cultura occidental, algo ofensivo para las ideologías de ese gobierno. Inclusive han llegado a declarar que la película sería un acto de guerra en publicaciones en los diarios oficiales de ese país, donde afirmaciones de ese calibre no son tan extrañas. Considerar que Corea del Norte preste sus fuerzas militares para tratar de dañar a una empresa no es descabellado. La familia Kim tiene un estatus que fácilmente podría considerarse al nivel de deidades para ese país, por lo que una representación negativa y masiva –como pretende ser la película– podría ser razón suficiente para los ataques.

En Re/Code afirman que Sony considera a Corea del Norte como la responsable del ataque, y según las fuentes del sitio, podría hacer un anuncio oficial a lo largo de la semana.

Por otro lado, Pyongyang niega su relación con las supuestas acusaciones. The Guardian señala que un diplomático de ese país en Nueva York dijo que “relacionarnos con el ataque a Sony es solo otro invento para dañar a nuestro país […] Corea del Norte ha declarado públicamente que seguirá las normas internacionales sobre la piratería y ataques cibernéticos”.

Lo que habría sucedido

Los ataques podrían rastrearse hasta la última semana de noviembre, cuando el sistema corporativo de Sony quedó bloqueado. Varios discos duros habrían sido limpiados, las cuentas de correo de los empleados quedaron inutilizables por un tiempo y Sony les habría prohibido sus empleados se conectaran al Wi-Fi de las oficinas para evitar mayores conflictos de seguridad.

La mayor muestra del ciberataque está en la información filtrada en internet, la cual incluye cinco filmes del estudio que ya están dando vueltas por sitios de torrents. Entre ellos está la reinvención de ‘Annie’, que no ha llegado a cines, y la reciente película de guerra ‘Fury’.

Aparte de la pérdida financiera que ello puede significar, los documentos sensibles a los que tuvieron acceso los atacantes también rondan por internet, e inclusive han sido enviados a periodistas. Esto incluiría todo tipo de información secreta de la empresa, incluidos salarios y guiones en desarrollo.

Realmente no es descabellado pensar que el país oriental tenga la capacidad de realizar estos ataques. En un reciente análisis sobre el estado actual de su fuerza militar realizado por varios expertos para NK News, se concluyó que los avances tecnológicos de ese país en el campo de los ciberataques eran destacables, por encima de mejoras en su cuerpo de soldados y la tecnología de misiles de largo alcance que tantos problemas y rencillas internacionales ha causado.

Imágenes: Clay Gilliland y yeowatzup (vía Flickr). 

Algunos computadores de la Casa Blanca fueron víctimas de un nuevo ciberataque, como reporta el Washington Post. Según el medio, se cree que los hackers que violaron las redes informáticas del gobierno, están trabajando para el gobierno ruso. El ataque dio como resultado la interrupción temporal de algunos servicios.

El equipo de seguridad cibernética estuvo trabajando para detener la intrusión. Varios funcionarios de la Casa Blanca, que hablaron en condición de anonimato, dijeron que no hay un daño real a los sistemas, pero que sí se causó la interrupción de los mismos.

De acuerdo con el New York Times, todo indica que los hackers violaron una red informática no clasificada utilizada por personal de alto nivel del presidente Barack Obama. También, funcionarios de la administración dijeron que el ataque no parece estar dirigido a la destrucción de los datos en el sistema, del hardware o para tomar posesión de otros sistemas en la Casa Blanca. Lo que sugiere que la intención de los ciberdelincuentes era investigar y rastrear de cerca el sistema del centro gubernamental, así como realizar espionaje directo.

El FBI, el Servicio Secreto y la NSA están involucrados directamente con la investigación.  Según las fuentes, los funcionarios estadounidenses fueron alertados de la violación por un aliado. Algunas investigaciones recientes de firmas de seguridad identificaron operaciones de ciberespionaje por parte de hacker rusos que están trabajando para el gobierno. Algunos de los objetivos han sido la OTAN, el gobierno de Ucrania y los contratistas de defensa estadounidenses.

El ciberataque fue descubierto hace dos o tres semanas, señalan las fuentes. Se pidió a algunos empleados cambiar contraseñas. Se desconectó el acceso a internet por un tiempo, pero el sistema de correo electrónico nunca fue dado de baja.

Para un funcionario de la residencia presidencial: “Esta es una batalla constante para nuestros sistemas informáticos gubernamentales. Siempre es una preocupación para nosotros las personas que están tratando de poner en peligro los sistemas y obtener acceso a nuestras redes”.

Imagen: Matt Churchill (vía Flickr).

Según informó la BBC, la Agencia Nacional del Crimen (NCA por sus siglas en inglés) del Reino Unido advirtió que los internautas tienen dos semanas para proteger sus computadoras contra previstos ataques de delincuentes cibernéticos.

La advertencia llega después de que el FBI, junto con las autoridades similares en varios países alrededor del mundo, capturaran a una red de criminales cibernéticos que se encargaban de robar información sensible de los computadores de sus víctimas.

Esta red utiliza el virus GameoverZeus (conocido también como GOZeus y P2PZeus), que roba información bancaria y otros datos confidenciales así como Cryptolocker, un malware que bloquea el computador.

“El Cryptolocker es un troyano orientado a Windows que, por lo general, se manda por mensajes de correo electrónico. Una vez que infecta el computador de la víctima, lo que hace es cifrar los archivos almacenados de manera local con un tipo de cifrado conocido como RSA. Para poder acceder a ellos, se necesita una llave de acceso que se guarda en el servidor del atacante. Para que tengas acceso a esa llave y puedas desbloquear tus datos, te sale un mensaje en la pantalla que indica la cantidad de dinero que debes pagar y en donde debes hacerlo”, explica Emanuel Abraham, Ethical Hacker de la empresa Security Solutions & Education (SSE), representantes para Colombia de EC Council (Consejo Internacional de Comercio Electrónico).

Según informa la NCA, la banda exige a sus víctimas un pago mínimo de 700 dólares a cambio de la contraseña para acceder a la máquina.

“Por su parte, el Gameover Zeus es un virus que analiza el computador en busca de archivos que puedan contener información bancaria, financiera o información sensible similar con el fin de robarla”, explica el hacker ético.

El FBI dijo que los criminales usaron el ‘phishing’ para escoger a las víctimas. “Este tipo de correos dan la impresión de que vienen de algún lugar oficial, como el banco, pero no es así. Te redirigen a una página externa en la que terminas instalando el malware”, sostuvo Abraham.

La NCA ha estimado que hay alrededor de 15.000 máquinas infectadas tan solo en el Reino Unido. A nivel mundial, no se sabe exactamente cuántos podrían estar comprometidos. Sin embrago,la BBC agrega que es posible que la cantidad real sobrepase el millón.

A pesar de que todavía no se han hecho capturas, el FBI sí logró bajar los servidores desde donde se generaba el ataque. Sin embargo, no han podido dar con los criminales, lo que abre la posibilidad que el ataque retome su curso de acción en las próximas semanas. Los expertos informáticos recomiendan que los usuarios aproveches estas dos semanas -en las cuales los servidores están identificados y desarmados- para actualizar sus sistemas operativos así como actualizar el antivirus.

“Es importante aprovechar estas dos semanas para protegerse, ya que la red fue desmantelada. Es el momento indicado para tomar medidas en el caso de que su equipo esté infectado, pues cuando vuelvan a entrar en operación, lo más probable es que quieran sacar provecho de los computadores que ya tenían bajo su poder”, advirtió Emanuel.

Imagen: lamoix (vía Flickr).

Según el comunicado oficial de la empresa, ningún tipo de información financiera se vio comprometida y hasta el momento no han descubierto que los datos robados hayan sido usados para realizar acciones no autorizadas por los usuarios. Junto a las contraseñas, la base de datos también incluía nombres, correos electrónicos, números de teléfono, direcciones y fechas de nacimiento, pero eBay asegura que solo las contraseñas estuvieron expuestas.

Las cuentas de PayPal no estuvieron comprometidas, dado que esa información se mantiene en una red separada. La respuesta de eBay al incidente es el cambio masivo de contraseñas, advirtiendo a sus usuarios que también realicen la misma acción en otros sitios donde usaran la misma clave.

Imagen: Liewcf (vía Flickr).

Llegó ese momento del año en que la tensión entre Estados Unidos y China se eleva. En esta ocasión, según reporta The New York Times, el Departamento de Justicia estadounidense ha presentado cargos por ciberespionaje contra cinco ciudadanos chinos.

Estados Unidos afirma que estos individuos estarían relacionados con el Ejército de Liberación Popular de China. Estos ataques habrían tenido como objetivo robar secretos comerciales de importantes compañías estadounidenses como SolarWorld, creadores de tecnología para el desarrollo de la energía solar; Westinghouse, desarrolladores de tecnología para el aprovechamiento de la energía nuclear; y las empresas United States Steel y Alcoa, ambos productores de acero y otros metales.

Durante una conferencia de prensa, Eric H. Holder Jr, representante del Departamento de Justicia, afirmó que los cinco hombres señalados son Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu y Gu Chunhui, y están acusados de “atacar el sector privado de los Estados Unidos para lograr ventaja comercial”.

Holder dio ejemplos claros de la forma en que los ciberataques habían afectado a las empresas. En primer lugar afirmó que SolarWorld había perdido ganancias en el mercado contra competidores chinos, dado que los hackers habían robado información concerniente a estrategias de costos y precio. En cuanto a Westinghouse, a la empresa le habrían sido robados planos de plantas de energía nuclear.

The Washington Post señala que Holder concluyó que “los secretos y la información de negocios robada exigen una respuesta agresiva, el éxito en el mercado global debería estar basado únicamente en la capacidad de una u otra compañía en innovar, no en la habilidad de un gobierno por realizar espionaje”.

Según Jin Canrong, vice director de estudios internacionales en la Universidad de Renmin en Pekín, en su país hay una imagen de hipocresía sobre el gobierno de los Estados Unidos: “con las filtraciones de la NSA, sabemos que Estados Unidos ha estado haciendo lo mismo por un buen tiempo”.

Esta es la primera ocasión en la que Estados Unidos ha puesto ese tipo de cargos criminales sobre otro país.

Imagen: Mark Veraart (vía Flickr).

La tensión diplomática que ha desatado la crisis en Ucrania y el envío de tropas rusas a Crimea toma nuevos ángulos. El martes, fuerzas de seguridad ucranianas acusaron a Rusia de realizar varios ataques cibernéticos, como lo señala la BBC.

Ucrania acusa al gobierno ruso de interferir señales de comunicación en Crimea, alterar sitios web y expandir material propagandístico en internet.

El martes, las autoridades de Ucrania confirmaron que su red de comunicaciones había sufrido ataques. El jefe de seguridad ucraniano, Valentyn Nalivaichenko, dijo que “el ataque continua afectando los celulares de miembros del parlamento ucraniano por segundo día consecutivo”.

Las autoridades ucranianas le dijeron a Reuters que cerca de las instalaciones de la empresa de telecomunicaciones, conocida como Ukrtelecom, se habían instalado equipos que bloquean los celulares de altos mandos del gobierno. Representantes de Ukrtelecom afirmaron que hombres armados habían causado las alteraciones que afectan las comunicaciones.

Rusia ya había realizado ciberataques a naciones vecinas

En 2007, Estonia y Rusia tuvieron un altercado por no acordar el lugar donde sería reubicado el monumento conmemorativo a la guerra soviética. Durante esa fecha se registraron ataques en los servicios de internet en Estonia, causando daños en el sistema financiero.

Durante la crisis entre Rusia y Georgia, en 2008, los rusos también fueron acusados de realizar ciberataques, pero en su momento negaron tener cualquier relación en la saturación de servidores y páginas web.

Los Hackers Patrióticos

Muchos de los ciberataques serían obra de bandas criminales que se autodenominan ‘Hackers Patrióticos’. Cada uno trabaja en favor de los intereses de su propia nación. El experto en seguridad Paul Rosenzweig afirma que “cuando los rusos sean capaces de integrar a los ‘Hackers Patrióticos’ a su causa, los resultados serán destacables”, y señala que el responsable es aun incierto. “Los grupos ucranianos y rusos usan direcciones IP similares” afirmó.

Imágenes: Pavel Kazachkov (vía Flickr) y LLlyxep (vía Flickr)

El internet en todo el mundo está siendo desacelerado por lo que especialistas llaman el ciberataque más grande que ha ocurrido hasta hoy. Spamhouse, un grupo antispam sin ánimo de lucro, lleva librando una batalla una semana con un sitio que se llama Cyberbunker que dice servir de host para lo que sea que no sea pornografía infantil y actos terroristas. Cinco ciberpolicias de cinco países diferentes están investigando el caso.

Según lo que reportó la BBC, el grupo de ingenieros de la organizacion contra spam bajó a Cyberbunker  bajo la razón de que estaba siendo utilizado para malos propósitos. Alguien que se hace llamar vocero del afecto dijo que Spamhouse estaba abusando de su autoridad y que ellos se creían dueños de internet. Esa parece la motivación del ciberataque.

Los atacantes usaron una táctica conocida como DDoS (Distributed Denial of Service), que carga al objetivo con grandes cantidades de tráfico con el objetivo de volverlo obsoleto. En este caso el dominio de Spamhouse fue atacado. Según un vocero de la organización, el ataque es tan fuerte que sería capaz de bajar la estructura de internet de un gobierno. Los ataques están llegandoa un nivel de 300gb/s (Gigabytes por segundo). Notmalmente, un ataque fuerte varía entre los 50 gb/s.

Esto está afectando el servicio de internet gobalmente, según el profesor Alan Woodward de la Universidad de Surrey. “Si lo imaginamos como una autopista los ataques intentan sumar suficiente tráfico para llenar la vías. Con este ataque están logrando bloquear toda la autopista.”

Spamhouse asegura que ellos son capaces de lidiar con la situación, según dicen, porque tienen mucha infraestructura alrededor regada por varios países. Este grupo además, es apoyado por varias de las empresas más importantes de internet, que necesitan filtrar el material no deseado de la web.

El tema de la ciberseguridad está en uno de los momentos más críticos, No es vano algunos gobiernos, como el estadounidense, se están a empezando a preocupar de más por este tema (qué las políticas que piensan implementar sean buenas o malas es otro tema). Hay hackers que han hecho ‘ochas y panochas’ con instituciones, y hay mucho más de cuatro ciberataques que podrían entrar en el top de los más delicados. Pero estos que trajimos están entre los más violentos que han ocurrido.

Esta nota puede no ser apta para paranoicos. Si quiere seguir leyendo hágalo bajo su responsabilidad.

4. Titan Rain

La serie de ataques conocidos como Titan Rain daría para una película completa. Fueron de los primeros en prender la alerta, pues consistían en el robo de información delicada al gobierno estadounidense por parte de hackers que provenían de China.

Uno de los protagonistas de esta historia se llama Shawn Carpenter. Cuando empezó todo en 2003, era uno de los encargados de vigilar la ciberseguridad del gobierno estadounidense. Ejercía sus labores bajo el alias de ‘Spiderman’ que le otorgó el gobierno gringo en su momento, y como dijo en un reportaje que la revista Time hizo sobre todo el ataque en el 2005, “nunca había visto tanta eficiencia de un intruso en toda la historia”. Normalmente, cuando alguien logra entrar en una red del Gobierno comete algún error, se pone nervioso. Pero estos hackers eran diferentes, sabían bien a dónde iban.

Se sabía que este tipo de ataque no era algo de aficionados. Tanta organización y planificación hacía sospechar que las intrusiones estaban siendo dirigidas por el gobierno chino. Por eso, Titan Rain hoy es un nombre clave que retumba en las oficinas de seguridad de Estados Unidos, porque representa una amenaza.

Con la persecución en la que se embarcó Carpenter se descubrió que la amenaza era mucho más grande de lo que parecía. Titan Rain no solo era capaz de robar información militar, sino también de hacer que los computadores afectados se convirtieran en una especie de zombi muy fácil de vulnerar.

Los detalles sobre este ataque son muy borrosos. Se sabe que Carpenter perdió su trabajo como ‘Spiderman’ después de que reveló el ataque.

3. Agent.btz

Este parece sacado de un videojuego. En algún lugar de Afganistán, alguien logró inventarse un archivo llamado Agent.btz. Según The Washington Post, con solo insertar un dispositivo con el archivo, este lograba colarse por sí mismo adentro del computador y así robar información y abrir puertas de acceso para los hackers.

Lo más terrorífico de este es que era capaz de modificar su código para hacerse más evasivo. Además, Agent.btz, borraba las versiones antiguas de si mismo para evitar que lo rastrearan. De la misma manera que Titan Rain, los detalles sobre este archivo son muy pocos, pero se sabe logró ser derrotado. Eso sí, luego de que hizo de todo con muchos computadores del gobierno estadounidense.

2. Secuestraron historias clínicas por dinero

Este es bastante feo. Unos hackers en Estados Unidos se metieron en la base de datos de una clínica llamada Surgeons of Lake Country, se robaron las historias clínicas de los pacientes, las cifraron y dijeron que las devolverían descifradas  por una cantidad determinada de dinero.

La clínica llamó a la policía inmediatamente y cerró los servidores, perdiendo las historias en el proceso. Se negó a pagar. No se sabe qué pasó después con los responsables del crímen, no hay reportes al respecto. Pero se sabe que esta no es la primera institución médica en recibir un ataque de este tipo.

1. Stuxnet

Quizás el ataque más famoso de la historia. De un momento para otro, en una planta nuclear en Irán, comenzó a aparecer un archivo silencioso llamado Stuxnet en los computadores de control de la planta. No era un código malicioso que dañara todo, ni  archivo que parecía peligroso. Lo único que estaba haciendo era esperar al momento preciso para activarse.

El plan era hacer que las centrífugas de la planta que enfrían el uranio de la planta comenzaran a girar como locas. Así se volverían pedazos. Entre lo poco que se sabe, se conoce que la mitad de las centrífugas fueron apagadas sin previo aviso por las fecha en las que Stuxnet entró a la planta.

El ataque cibernético del año pasado contra una planta de agua en Illinois, Estados Unidos, no tuvo repercusiones muy graves. El servicio de agua tuvo una interrupción corta, y a la larga no hubo daños mayores que el necesario remplazo de una bomba de agua.

Sin embargo, impacta que el ataque haya originado supuestamente desde una dirección IP en Rusia, y más aún si se tiene en cuenta un ataque anterior a ese que sí recibió mucha atención mundial, ya que se trataba del troyano Stuxnet, que infiltró el programa nuclear iraní y logró causar tanto daño que supuso un atraso de años sobre el programa.

Lo que ilustran ambos casos es que no solo vivimos en un mundo donde hay cada vez más dispositivos conectados a Internet, sino que servicios básicos como los que proveen plantas de agua y plantas eléctricas también han abierto las compuertas de sus sistemas al océano informático.

Ya sea para lograr una mejor eficiencia o niveles de comunicación entre el personal que dirige estos mecanismos, la realidad es que sus sistemas de control, y específicamente los sistemas que usan plataformas SCADA (Supervisory Control and Data Acquisition) son altamente vulnerables a infiltraciones y ataques desde afuera.

Las lecciones que dejan los ataques a la planta de agua en Illinois y a las centrales nucleares de Irán no son muchas, ya que las consecuencias inmediatas son algo conocido (daños y retrasos), pero sus causas y la forma como ocurrieron aún son un misterio.

En primer lugar, hay que notar que los expertos de seguridad en sistemas industriales aún no están completamente de acuerdo en cuanto a qué fue exactamente lo que sucedió en Illinois. De acuerdo con el reporte de ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) la evidencia que encontraron no apoya la sospecha de un ataque cibernético.

En el caso del IP que originaba en Rusia, parece que en realidad era un contratista para la misma empresa de servicios públicos de Illinois, pero se encontraba de viaje en Rusia. Según el periódico Government Security News, el ‘ataque’ fue en realidad un error del contratista, que había accedido de forma remota al sistema SCADA para probar el sistema, causando la falla.

Por otro lado, los expertos que se enfocan en el diseño y la ingeniería de estos sistemas aseguran que la bomba de agua que falló nunca habría fallado simplemente al prenderla y apagarla repetidamente (que fue la supuesta causa original del fallo, de acuerdo con los reportes oficiales).

En este caso, se hubiese necesitado más que la simple repetición de un comando, habría tenido que existir un fallo de fábrica en los equipos. Ya que la investigación final no ha sido completada y sus descubrimientos no se han anunciado, queda por ver finalmente qué fue lo que sucedió en Illinois.

Pero esos detalles son suficientes para inferir que hay un problema sistemático en la manera que se administran y reparten los derechos de acceso a estos sistemas (si un mero contratista podía acceder al sistema central desde Rusia).

En ese sentido, el intercambio de información es el primer aspecto en el que las industrias de servicios y utilidades podrían proteger sus sistemas. Con un programa concreto de administración sobre la información sensible (contraseñas, nombres de usuario, direcciones IP, puertas traseras, etc.), se podría evitar una posible fuga de información a terceros.

Por otro lado, preocupa lo vulnerables que son la mayoría de estos sistemas. Tan solo un mes después del fallo en la bomba de agua, ICS-CERT anunciaba debilidades en Kingview, una plataforma de control SCADA usada en redes para las industrias de minería, agua, electricidad y automatización de edificios.

Y una búsqueda rápida en Google ofrece cientos de resultados que enlazan a reportes similares. Es decir, no hacen falta empresas de monitoreo de seguridad (en muchos casos, los hackers que encuentran las debilidades son los mismos que las someten al escrúpulo de las empresas de seguridad, algo así como ‘hackers altruistas’).

Lo que sí hace falta en la mayoría de los casos alrededor del mundo son fondos. Por ejemplo en Illinois, donde la crisis financiera ha desatado recortes presupuestales, simplemente no había fondos para reclutar los servicios de una empresa de seguridad, y mucho menos para emplear al personal extra que hubiese sido necesario.

Hay que suministrar a las empresas de servicios públicos y utilidades con los fondos necesarios para adquirir las herramientas que asegurarían los sistemas SCADA. En el caso de empresas privadas, los consumidores deben exigir políticas similares para salvaguardar la integridad de sus servicios.

Sin embargo, tras el campanazo que supuso el incidente de Illinois, la industria ha comenzado a tomar medidas para fortalecer los sistemas SCADA. Pero construir la defensa de estos sistemas representa muchos desafíos, como indica Amol Sarwate, director de investigación de seguridad en Qualys (empresa dedicada a la seguridad de redes corporativas e industriales).

Principalmente, escribe Sarwate, los sistemas SCADA presentan la mayor vulnerabilidad cuando se trata el tema de las contraseñas y la autenticación. Dejan mucho qué desear en cuanto a la administración de contraseñas y la falta de autenticación, debido a que estos sistemas no estaban conectados a Internet, entonces no hacía falta tomar medidas de seguridad.

Además, destaca la longevidad de los sistemas, ya que están diseñados para durar muchos años. Ya que administran de todo, desde el sistema de semáforos a trenes subterráneos, puentes, subestaciones eléctricas y muchas cosas que hacen parte de una infraestructura con décadas de antigüedad, su actualización es un problema difícil de encarar, por no decir imposible.

Pero si el incidente de Illinois activó a la industria a enfocarse en analizar mejor todos los sistemas SCADA para encontrar vulnerabilidades, también puede suponerse que aquellos con intenciones maliciosas también recibieron el mensaje, y es de esperarse que haya más intentos de ataques como el de Stuxnet en Irán, por sofisticado que haya sido en su momento.

Y esto ocurre en un país del primer mundo. ¿Qué puede estar pasando en regiones como Latinoamérica?

Varios medios de tecnología afirmaron que el grupo ‘hacktivista’ estaba organizando una operación que pretendía que la red fuera inaccesible en todo el mundo el próximo 31 de marzo. Según esas versiones, se trataría de la operación Global Blackout, y la fuente era un documento publicado en Pastebin al parecer firmado por ellos.

Sin embargo, a las pocas horas el grupo desmintió esas informaciones con un tweet.

GlobalBlackout es otra operación falsa. No [hay] intención de Anonymous de cortar Internet.

El comunicado afirmaba que el bloqueo se haría por medio de un ataque de denegación de servicio (DDoS) a gran escala. El blanco serían los 13 servidores DNS que hay en el mundo, los cuales guardan el ‘directorio telefónico’ de Internet. Para entender la importancia de estos servidores debemos explicar cómo funciona la navegación en la Red:

1. Una persona digita una URL en su navegador (por ejemplo, ‘http://enter.co’), y al hacerlo le envía una petición a su proveedor de servicio de Internet o ISP.
2. El ISP se conecta con uno de estos 13 servidores DNS, el cual le informa cuál es la dirección IP donde se encuentra el sitio al que el usuario quiere llegar.
3. Con la información proporcionada por el DNS, el proveedor de acceso redirige al usuario al sitio web al que quiere ir.

Si el acceso a los servidores DNS fuera bloqueado, la teoría indica que no sería posible acceder a sitio web alguno: las ISP no podrían consultar a dónde deben redirigir las peticiones de los usuarios.

Pero para cumplir un objetivo tan ambicioso, el ataque debía ser tan poderoso como fuera posible. Según las versiones, Anonymous esperaba lograrlo a través de un programa llamado ‘Reflective DNS Amplification DDoS’, que supuestamente aprovechaba una vulnerabilidad de algunos de estos servidores, la cual permite cambiar la dirección de origen de estas solicitudes. ¿Cómo funciona?

1. El programa cambia la IP de origen de las solicitudes. En su lugar, aparece una de las 13 direcciones de los servidores DNS, de modo que el sistema crea que debe enviar la respuesta a uno de estos servidores.
2. Las peticiones son respondidas y enviadas a una de estas 13 direcciones.
3. Las respuestas que emite un servidor DNS son más grandes que los requerimientos que un usuario normal le envía. Si este servidor debe procesar un número inusual de requerimientos, los cuales son de un tamaño mayor al normal, se congestiona y no puede cumplir con su labor.

¿Podían hacerlo?

Expertos en seguridad se preguntaban si el supuesto ataque tenía oportunidad de funcionar, o si por el contrario el resultado de todo esto iba a ser otro fiasco de Anonymous al estilo de la incumplida amenaza contra Facebook del pasado 5 de noviembre? Según ZDNet, “el movimiento seguramente carece de las capacidades para ejecutar este tipo de ataques, a pesar del alto número de usuarios reclutados que podrían estar participando en él”.

Además, aunque el ataque efectivamente hubiera podido llevarse a cabo, el servicio de DNS no es tan vulnerable como para ser bloqueado. Como afirma Bitelia, “es complicado que (los servidores) caigan completamente, ya que cuentan con una arquitectura muy segura, con respaldos distribuidos a nivel global”. Si los servidores centrales caen, los respaldos pueden ‘salvar la patria’.

El comunicado afirma que estos respaldos no serían muy útiles para contrarrestar el ataque. “Muchos están configurados para que la caché tenga poco tiempo de expiración”, lo que hace que no almacenen la información por mucho tiempo y solo puedan suplir el servicio por períodos cortos. “Se usan más para velocidad que para redundancia”, dice.

Además, ¿es buena idea ‘dar de baja’ a Internet, así sea por unas horas? Ni siquiera Anonymous lo cree así. De hecho, twitteó un enlace a un blog sobre seguridad informática en el que se ofrecen razones más técnicas que apuntan a la inviabilidad del ataque.

El FBI acaba de arrestar a Christopher Chaney, residente de Florida acusado de ser el responsable de la intrusión a los teléfonos celulares y cuentas de correo de más de 50 personas involucradas con la industria del entretenimiento.

Es el caso más reciente de los que han llegado a conocerse como los ‘hackerazzi’, cibercriminales que se han hecho famosos por infiltrar los dispositivos de estrellas de cine y cantantes. 

Desde el 2005, han volado titulares a causa de esas incursiones, con víctimas como Vanessa Hudgens (estrella de High School Musical), Paris Hilton y más recientemente Scarlett Johansson (cuyas fotos desnudas fueron filtradas en septiembre).

Aparentemente, Chaney logró meterse a las cuentas personales de algunas figuras de Hollywood usando recursos públicos y haciéndose pasar por amigo o conocido de sus blancos. Esta labor, conocida como ingeniería social, le permitía minar suficiente información para adivinar las contraseñas de sus víctimas. En total, el FBI estima que logró infiltrar los datos de casi 50 personalidades de Hollywood y la industria del entretenimiento.

“Lo que pasa es que el usuario pudo haber escogido una pregunta de seguridad que tiene significado personal y pudieron haber compartido con amigos en la red. El nombre de su mascota, o lo que sea. Esa es una pista para un hacker, y parte de ahí”, dijo Steven Martinez, director asistente encargado de la oficina de campo del FBI en Los Ángeles, a CNN.

Algunos sospechan que esta nueva forma de cibercrimen está de moda a causa de los exitosos ataques de grupos hacktivistas como Anonymous o Lulzsec (que han logrado tumbar las redes de bancos y gobiernos, incluyendo el Playstation Network de Sony).

Pero las autoridades expertas en el tema dicen que solo es un intento de ganarse la atención de los medios mientras continúan sus labores de robo de identidad y datos personales para vendérselas al mejor postor.

En esta era hiperconectada, es fundamental estar muy alerta de este tipo de eventos y tomar medidas para mejorar la seguridad  de nuestros datos personales y dispositivos. Los famosos se llevan los titulares, pero las personas normales también son víctimas y son las más comunes presas de estos criminales.

Notas relacionadas:

• Ataques informáticos móviles siguen creciendo y generan alarma.
• Ni las agencias de inteligencia se salvan del cibercrimen.
• Comienza la era de la policía en las redes sociales.
• Virus informático ataca flota de aviones no tripulados en Estados Unidos.