Recientemente, hemos sido testigos de un gran número de importantes hackeos, entre los que destaca el ataque masivo sufrido por Twitter. El gran impacto que esta noticia (sin ánimo de hacer más leña del árbol caído) tuvo durante la pasada semana podría haber eclipsado otro ataque importante, esta vez no en EE. UU., sino en América Latina.
El 18 de julio, el principal proveedor de servicios de telecomunicaciones de Argentina Telecom Argentina anunció que estaba sufriendo un ataque de ransomware, o secuestro de datos. Los atacantes demandaban el pago en Monero de alrededor de 7,5 millones de USD, e incluso amenazaban con aumentar la cuantía del rescate a 15 millones si no se abonaba en tres días.
El hackeo, que se localizó en el centro de llamadas (Call Center) de la empresa, permitió a los hackers cifrar hasta 18.000 estaciones de trabajo usando credenciales de administración robadas.
Tras el ataque, Telecom Argentina recomendó a sus empleados no conectarse a la red VPN interna, no abrir correos electrónicos con archivos archivados y limitar sus interacciones en la red corporativa.
Según El Tribuno, los empleados de TI del conglomerado argentino lograron finalmente contener el secuestro de datos. En una declaración en los medios de comunicación, la compañía confirmó que:
"Telecom informa que logró contener un intento de ciberataque, de dispersión global, en sus plataformas. No se vieron afectados servicios críticos de la empresa. Cabe destacar además que ningún cliente de la empresa se vio afectado por esta situación, como así tampoco las bases de datos de la compañía. Las gestiones de atención al cliente, suspendidas preventivamente, serán restablecidas en forma paulatina."
Impacto del ataque
A pesar de afectar a miles de computadoras conectadas al servidor interno de la empresa de telecomunicaciones, según declaró la empresa, un informe elaborado por ZDNet dibujó un panorama bien distinto, y afirmó que "según fuentes internas del proveedor de servicios de Internet, los atacantes ocasionaron daños importantes en la red de la empresa."”
Asimismo, varios informes apuntan a que los atacantes lograron colarse tras dirigir correos electrónicos de phishing a los empleados de Telecom Argentina y obtener sus credenciales de inicio de sesión.
¿Quién ha sido?
Según el informe de ZDNet, inicialmente se sospechó del grupo organizado de ransomware REvil, (también conocido como Sodinokibi), ya que el grupo publicó un tuit en el que asumía la responsabilidad y adjuntaba una captura de pantalla del sitio web. Sin embargo, el tuit fue eliminado algunos días después. Además, el modo de penetración, un adjunto malicioso en un correo electrónico enviado a uno de los empleados de Telecom, no encaja con las tácticas utilizadas por el grupo. Según se ha sabido, el grupo prefiere lanzar sus ataques a través de intrusiones en la red que aprovechan las vulnerabilidades de la infraestructura de TI.
De modo que seguimos sin saber quién es el responsable de este acto. Quizá sencillamente sea demasiado pronto para saberlo.
La ciberseguridad en América Latina
Según Insight Crime, a pesar de que los latinoamericanos están muy conectados a Internet, la región podría no estar totalmente preparada para luchar contra la ciberdelincuencia.
Charity Wright, analista de la empresa especializada en ciberamenazas globales IntSights Cyber Intelligence, declaró que los países con economías más potentes — Brasil, México, Colombia y Argentina — son los más atractivos para los hackers, ya que "tienen dinero, una enorme población y están adoptando las nuevas tecnologías rápidamente, aunque, a la vez, aún están muy por detrás del resto del mundo a la hora de implantar mecanismos de ciberdefensa, legislación y políticas de cumplimiento de forma generalizada."
Por ejemplo, el pasado febrero, el Ministerio de Economía de México fue el objetivo de los hackers. Este fue el segundo ciberataque de gran alcance en el país en los últimos meses. En noviembre, los hackers pidieron cerca de 5 millones de USD (el equivalente a 565 bitcoins) en un plazo de 48 horas a PEMEX, la petrolera propiedad estatal. La empresa se vio obligada a apagar sus equipos informáticos en todo el país y suspender los sistemas de pago.
Asimismo, uno de los grupos afectados directamente fueron los productores de tomate de México. Se da la circunstancia de que el Ministerio es responsable de responder a las solicitudes electrónicas enviadas por los productores de tomate para la exportación de mercancías, lo que reduce el tiempo de espera en la frontera con EE. UU. Tras el ataque, el Ministerio se vio obligado a establecer un sistema de correo para que los productores no tuvieran que interrumpir su comercio de exportación.
Prepárese, porque podría pasarle a usted
Se desconoce si Telecom Argentina abonó finalmente el rescate. En cualquier caso, es una buena idea estar preparado para la posibilidad de que su empresa esté en el punto de mira de los hackers. En una publicación anterior de GlobalSign, detallamos una serie de consejos sobre cómo estar preparados frente a ataques, como contar con un sistema de respaldo fiable y una solución de recuperación. De hecho, si se dispone de estos sistemas, la mayoría de los MSP afirma que sus clientes son capaces de recuperarse totalmente de ataques de ransomware. Así que, ¡no todo está perdido!
Una de las mejores formas de defenderse de un ataque importante es garantizar que su negocio cuenta con protocolos de autenticación sólidos. Para proteger las redes, los datos y las aplicaciones de su empresa, es recomendable implantar la autenticación basada en certificados y basada en token de doble factor. La gestión de estos procesos no tiene que ser complicada ni requerir mucho tiempo, como explicamos en nuestro artículo técnico Reduzca los costos operativos y simplifique la gestión de sus certificados digitales..
El aumento de los ataques de ransomware en 2020 es un hecho incontestable. Desafortunadamente, el aumento del uso del phishing por parte de los ciberdelincuentes y el incremento del teletrabajo sugieren que el ransomware ha llegado para quedarse.