Sociedad | DELITOS INFORMÁTICOS

Datos secuestrados

Tiempo de lectura: ...
Esteban Magnani

Un grupo conocido como Medusa dijo haber hackeado a la Comisión Nacional de Valores y pidió un rescate a cambio de la información. ¿Cómo funcionan estos ataques? 

Foto: Shutterstock

Esta semana se supo de un nuevo hackeo en nuestro país: esta vez fue el turno de la Comisión Nacional de Valores (CNV). Los delincuentes lograron entrar a los sistemas del organismo y descargar 1,5TB de información, según afirmaron. El grupo que se adjudica el hecho, conocido como Medusa, pidió un rescate de 500.000 dólares a cambio de no difundir los datos robados, una modalidad conocida como ransomware
En la comisión pusieron en marcha el protocolo de seguridad para estos casos, aislaron los equipos para evitar que se propague el software y lograron eliminarlo. Según la CNV los delincuentes solo pudieron acceder a información pública, por lo que no hay necesidad de tomar alguna medida, más allá de hacer la denuncia.
Los organismos públicos están obligados a informar sobre estos ataques que rebotan en los medios. Otros, si no están obligados, prefieren mantenerlo en secreto. ¿Qué implican estos ataques? ¿Cómo funciona el ransomware? ¿Puede prevenirse?

Robos y daños
El ransomware es un tipo de ataque que se ha hecho conocido en estos últimos años gracias a algunos casos resonantes. Resumidamente consiste en ingresar a los sistemas de alguna organización o empresa y encriptar por medio de un programa toda la información que encuentra. De esa manera el administrador del sistema ya no pueda acceder a ella a menos que pague un rescate a cambio de la clave que permita desencriptarla. De allí viene su nombre «ransomware» (traducible como «software de secuestro»). Muchas veces se pide un monto muy alto que luego se negocia a la baja para intentar un acuerdo. El pago suele pedirse en bitcoin, una moneda digital de difícil trazabilidad, aunque en los últimos años surgieron métodos para detectar quién recibió ese dinero, sobre todo al momento de usarlo para una compra o hacerlo efectivo. 
Si bien existen antecedentes, este tipo de ataques se popularizó a partir de 2013 y hubo un pico de casos en la pandemia. En 2021 el bloqueo a los sistemas de Colonial Pipeline en Estados Unidos impidió a la empresa distribuir combustible durante cinco días. En los últimos años, justamente por la frecuencia de estos ataques, los responsables de seguridad informática mejoraron los sistemas de resguardo para poder volver a funcionar sin necesidad de negociar. Por ese motivo los hackers ahora amenazan con publicar la información obtenida. En el caso de la CNV el grupo Medusa amenazó con publicarlo en su blog. 
¿Cómo se entra a los sistemas? «Hay dos mecanismos fundamentales para acceder a información sensible sin permiso», explica Marcela Pallero, ingeniera en Sistemas (UTN) y responsable de Seguridad TIC de la Fundación Sadosky, dependiente del Ministerio de Ciencia, Tecnología e Innovación Productiva. «Por un lado se puede engañar a una persona, por ejemplo, a través del  phishing, para que te dé acceso a información sensible. En general, las personas son el eslabón más débil de la cadena de seguridad. Eso puede pasar en cualquier lugar del mundo y, de hecho, pasa. Por otro lado puede haber una vulnerabilidad técnica. Ahí sí, creo que en Argentina somos más vulnerables, no solo por la dificultad de encontrar y pagar el personal especializado, sino también porque para tener una seguridad óptima necesitás infraestructura y plataformas con las últimas actualizaciones. No es una lista corta de actividades: en promedio son 100 o 150 actividades que hay que hacer sistemáticamente para tener un sistema robusto». El pago de licencias se cotiza en dólares, por lo que es frecuente usar versiones no actualizadas o directamente ilegales.
Aun tomando todas las medidas, aclara Pallero, no hay garantías de blindaje total por varias cuestiones: en primer lugar, que las empresas que tienen más dinero son las más tentadoras para los ataques y el rescate puede justificar un esfuerzo extra. Por eso, «todos están expuestos a un ataque. El año pasado fue Uber, y no podemos decir que Uber no tenga recursos. Cayó Apple… todos los grandes. Usan técnicas de ingeniería social que van cambiando. Ni siquiera es que podés decir que fue culpa de un empleado poco despierto. Por ejemplo, en un caso de un juego muy conocido al que le robaron los códigos fuente, les hicieron sonar tanto las alarmas que la persona que trabajaba en seguridad, que estaba atenta, que estaba concientizada, por error dio “ok” en una ventana y desactivó la alerta».
Otro ejemplo de lo que no se puede controlar es una vulnerabilidad de «día cero», es decir, un fallo de seguridad que no se conocía y que requiere tiempo para que los equipos de seguridad lo resuelvan. «Una vulnerabilidad de día cero en una plataforma de infraestructura crítica, con sistemas que no pueden ser actualizados de un día para otro, les da una ventana a los hackers para entrar», explica Pallero. Por eso para la especialista es necesario contar con «un sistema de respaldo que permita seguir operando y de esa manera reducir el daño».

Sin garantías
Lo queda claro es que por muchos resguardos que se tengan, no hay garantías y resulta fundamental prepararse: «Siempre va a haber ataques. Es como decir “siempre va a haber hambre”, pero eso no significa que tengamos que dejar de hacer cosas. Ya sabemos que esto puede pasar en cualquier momento: lo más importante es estar preparado para cuando ocurra». 
Pallero mantiene fijado en su cuenta de Twitter un gráfico actualizado con los ataques en Argentina que se hacen públicos en los medios. Para la especialista, es solo la punta del iceberg: «Lo que se hace público debe ser cerca del 1% o menos. Y no recuerdo que alguno haya dicho que pagó». Cada tanto se consigue atrapar a alguno de esos grupos, pero con eso no alcanza: «Cae alguna banda grande de vez en cuando, pero se crean tres o cuatro más que varían un poco el sistema de ransomware, lo que te da la medida de que esto sigue funcionando y cada vez más. Evidentemente algunos pagan»
De hecho, una suerte de protección extra que hace menos tentador al Estado argentino como objetivo es que no puede pagar, ya que no tiene partidas presupuestarias para algo así y hacerlo, incluso, podría ser considerado un delito. Sin embargo, esto no da garantías porque muchos grupos hacen ataques «al voleo», es decir, que disparan correos o mensajes en masa a ver si aciertan a algún desprevenido. «Se nota a veces que no saben a quién hackearon porque piden cifras que ningún organismo podría pagar».
Todo indica que cada tanto llegará a la superficie de los medios la noticia de que otro organismo o empresa fue víctima de un ataque de tipo ransomware. Será difícil saber si los casos aumentan, porque se trata de algo que nadie quiere reconocer y prefieren que pase silencioso, sin dejar huella. 

Estás leyendo:

Sociedad DELITOS INFORMÁTICOS

Datos secuestrados

2 comentarios

  1. Pingback: My Homepage

Dejar un comentario

Tenés que estar identificado para dejar un comentario.