Armados de una computadora, sin pistolas ni revólveres, organizaciones internacionales de ciberdelincuentes lanzaron en estos dos últimos meses del año una inusitada ofensiva de extorsiones contra grandes empresas colombianas.

Las EPM de Medellín, la empresa Keralty, las plataformas web de la EPS Sanitas, la empresa de medicina prepagada Colsanitas, e incluso, el Senado de la República, fueron los blancos escogidos en estos ciberataques.

Aunque la principal motivación de estas incursiones delictivas es económica, también las hay por razones políticas, sociales, e incluso, por mero ego saboteador, para demostrarse entre ellas mismas que son capaces de vulnerar cualquier sistema informático.

Para conocer un poco del tema Zona Cero dialogó en Bogotá con un ingeniero de sistemas barranquillero, egresado de la Universidad del Norte, especialista en redes de computadores. 

Cuenta con más de 25 años de experiencia en diseño, administración, gestión de servicios de conectividad y seguridad informática.

Está vinculado al sector público y privado, y por razones de su actividad solicitó mantener su nombre en reserva en la entrevista.

¿Existe un plan específico de delincuentes informáticos o ciberdelincuentes contra grandes empresas del país?

Existen organizaciones internacionales de ciberdelincuencia que atacan entidades públicas y privadas en cualquier parte del mundo, donde puedan, no podemos hablar de un plan específico contra Colombia por el hecho de que se estén dando estos ataques tan seguidos en el país.

¿Qué obtienen estos ciberdelincuentes con estos ataques? ¿Cómo les resulta provechoso?

La gran mayoría actúa con motivaciones económicas, con un software malicioso bloquean el acceso a los datos de la entidad y exigen dinero para desbloquearlos, como es el caso actual con Colsanitas. A otros los mueven razones políticas y temas sociales, por ejemplo, la defensa de derechos humanos, protestar en contra de los conflictos políticos, como es el caso de los ataques a la página web de la Registraduría hace unos años. También hay casos de ego intelectual, violar los sistemas de seguridad de corporaciones se convierte en un reto para algunos ciberdelincuentes, que les da estatus y reconocimiento dentro de esa comunidad. 

¿Qué se sabe de estos casos sonados como el EPM de Medellín, Colsanitas, incluso el Senado de la República?

EPM, fue atacada con un ransomware, el 12 de Diciembre de 2022, afectó el 25% de la infraestructura tecnológica del Centro de datos alterno de la empresa. Hasta la fecha continúa amenazada en su operación, no han podido retomar el control total de su infraestructura de IT. Colsanitas, fue atacada con un ransomware, el 28 de Noviembre de 2022, imposibilitando el acceso a citas programadas y medicamentos certificados por parte de los usuarios. La página web del Senado sufre un ataque de denegación de servicio tras la aprobación de la 'Ley Lleras'. El ataque se lo atribuyó Anonymous, conocido por ataques informáticos a páginas del Gobierno.

¿Anonymous, el grupo internacional conocido tiene muchas apariciones en Colombia?

La razón es porque Anonymous Colombia se ha mostrado en desacuerdo con la ley de derechos de autor en internet, conocida como la ‘Ley Lleras’. Minutos después que la ley fuera aprobada en  primer debate en el Congreso, la página web del Senado dejó de funcionar. Es una señal de protesta.

¿En términos simples, cómo realizan un ataque de denegación de servicio contra una página?

Realizan millones de solicitudes desde diferentes sitios de Internet, en un lapso corto. Así saturan la capacidad de respuesta de los sistemas informáticos de la entidad, imposibilitando atender las solicitudes de los usuarios.

¿Por qué resultan de cierta forma exitosos estos ciberataques, las entidades no están lo suficientemente prevenidas? 

Podemos mencionar algunas razones, y que son algunos de los aspectos que deben tenerse en cuenta para  evitar ser blancos de estos hampones:

- Los ciberdelincuentes aprovechan la vulnerabilidad de los sistemas informáticos, es decir, fallas o deficiencias de activos que no están protegidas de manera efectiva.

- Toman nota de la divulgación en forma accidental de información confidencial por parte de empleados.

- Por pérdida y robo de dispositivos electrónicos que almacenan información privada de la empresa.

- Empleados sin escrúpulos que ponen en riesgo la información de la empresa.

- Las brechas o falta de controles por parte de terceros, es decir, si estos son víctimas de un ataque, los ciberdelincuentes pueden acceder a información de otras empresas con las que tienen relaciones y buscar la manera de también perjudicarlas.

- Uso de Ingeniería social, social engineering, que en términos generales consiste en la manipulación de personas específicas con el fin de obtener datos confidenciales como contraseñas u otros de gran valor e importancia para la empresa. 

¿Qué es un ransomware en el lenguaje de los ciberataques delictivos?

Es un ataque hacker que encripta o cifra todos los datos de los discos duros de las víctimas y que solo se pueden desencriptar con una clave que los delincuentes venden a las víctimas a precio de oro.

Pero hemos escuchado hablar de que RansomHouse es un grupo llamado así. ¿Quiénes son?

Efectivamente, es un grupo internacional que se cree salió en diciembre de 2021, y su primera víctima fue la Autoridad de Licores y Juegos de Saskatchewan, provincia de Canadá. Otro ataque Ransomware fue a Colonial Pipeline, el sistema de oleoductos más grande para productos de petróleo refinado en Estados Unidos, en el que recaudaron millones de dólares. Aunque los orígenes de RansomHouse son desconocidos, el grupo no ha surgido como una entidad independiente, sino más bien dentro de otros grupos de amenaza.

Leyendo sobre el tema uno se encuentra con que, ‘los parches de seguridad’ del sistema que algunas empresas no protegen bien. ¿En qué consisten estos ‘parches’?

Los ‘parches de seguridad’ son archivos a disposición de los usuarios para corregir fallos de funcionamiento y cerrar potenciales vulnerabilidades del sistema operativo de los equipos informáticos, Servidores, PCS, Tablets, celulares.

¿Resulta muy difícil o costoso implementar estos ‘parches’ para garantizar seguridad?

No es costoso. Normalmente, se pueden descargar de un repositorio de archivos publicado en una página web del fabricante del sistema operativo.

En el caso de Sanitas los hackers habrían comenzado a publicar datos de los pacientes de la EPS. ¿Qué ganan con eso? 

Sencillo, quieren ejercer presión a la entidad víctima para que pague el rescate de los datos, y no seguir afectando la imagen de la entidad.

¿Afectan a la empresa o al paciente?

Afectan la imagen corporativa de la empresa y afectan la privacidad de los pacientes. El fin es ejercer presión a la víctima para que pague la extorsión. Se dice que en el caso de Colsanitas los hackers pueden vender los datos de los pacientes en el mercado negro en línea, que seguramente despertaría el interés de varios compradores.

¿Quiénes compraría? ¿Y cómo se beneficiarían?

Existe el negocio de la compra y venta de bases de datos de personas naturales, utilizadas por diferentes tipos empresas, financieras, comerciales, etc, utilizadas para campañas de marketing y para captar clientes. En este caso en particular la base de datos de afiliados de Sanitas le puede interesar a la competencia, es decir, a otras EPS.

Este es un caso de extorsión, cómo tantos que se dan en el país, pero ahora a nivel informático, sin delincuentes de pistola, sino armados de un computador.

Así es. Es un delito similar a otro tipo de extorsión, como cuando secuestran a una persona o un bien, por ejemplo, un carro o una moto y piden dinero para devolverlo, pero perpetrado por gente mayor capacitada intelectualmente. Ya es un delito tipificado en el artículo 269F Código Penal Colombiano.

“El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”, señala la ley.