Luego de más de 48 horas de evidenciada la escalada de ataques cibernéticos contra empresas y entidades que tenían alojados sus sistemas críticos de operación en los centros de datos de IFX, multinacional de conectividad y servicios en la Nube vulnerada por el colectivo ‘Ransonhouse’, el balance del Puesto de Mando Unificado (PMU) realizado ayer en Presidencia no es esperanzador.
Por eltiempo.com
Por medio de un comunicado, el PMU advirtió que cerca de 50 organizaciones públicas y privadas “han manifestado su afectación frente al incidente y solicitan apoyo por parte de las autoridades”.
IFX, además, le informó a la Presidencia que ya interpuso la respectiva denuncia ante la Fiscalía. El ente investigativo asistió a las instalaciones del proveedor para esclarecer los hechos.
El proveedor tecnológico también aseveró que tiene contratos con 46 entidades públicas en Colombia. A 25 les prestan servicios de conectividad (para lo cual ya implementó un plan de contingencia) y con otras 21 tienen servicios de data center (nube).
No obstante, desde el PMU indicaron que todavía es “incierto” el número total de víctimas. Por lo pronto, muchas de las empresas y entidades afectadas no tendrían la posibilidad de recuperar las bases de datos y aplicativos digitales con las que atienden a ciudadanos y clientes por un buen tiempo.
Hoy, apuntaron en el PMU, se iniciarán mesas de trabajo en las instalaciones de IFX para determinar cuáles son los servicios esenciales que deben restaurarse y cuál será “el apoyo por parte del sector privado a las entidades afectadas”.
En el caso del sistema de salud, que mantiene afectadas las plataformas misionales del Ministerio de Salud, se ha optado por solicitarles a todas las entidades y empresas con las que esa cartera ha intercambiado información enviar copias más recientes o actualizadas.
De ese modo, “la entidad tratará de reconstruir y recuperar la información” de pacientes, hospitales, cirugías programadas y administración de medicamentos, reveló una fuente cercana al PMU.
En el campo de la rama judicial, la situación es aún más compleja: el respaldo de los dos millones de procesos, que EL TIEMPO reveló ayer que estaban comprometidos en el ataque, se encontraba en los mismos sistemas de IFX, por lo que la recuperación puede hacerse especialmente demorada. El presidente del Consejo Superior de la Judicatura, Aurelio Enrique Rodríguez, reveló ayer que “se suspendieron los términos judiciales en todo el territorio nacional desde hoy 14 de septiembre hasta el 20 de septiembre, salvo para tutelas, habeas corpus y la función de control de garantías”.
No obstante, el jefe de la Rama Judicial señaló que “las audiencias programadas y en donde estén todas las partes se puedan realizar. Las deben hacer porque el juez es el ordenador de su despacho judicial y podrá realizarlas”.
¿Cuándo habría solución?
En el caso de la Rama Judicial, se ha puesto como fecha de normalización de los servicios de acceso, consulta y levantamiento de procesos el 20 de septiembre. Pero EL TIEMPO pudo establecer que la situación de IFX Networks no permite garantizar que en esa fecha esté todo normalizado.
Según ha trascendido, la compañía aún trata de identificar las ‘puertas traseras’ del ataque, los alcances, qué tanta información se comprometió de cada uno de los clientes, procesos que pueden tardar varios días en completarse antes de iniciar las maniobras de reactivación de sus sistemas.
“Primero se debe identificar todo, cómo se hizo el ataque y garantizar que todo (el código malicioso) quede erradicado. Luego se deben generar las validaciones de seguridad. Tratar de reiniciar y recuperar el sistema sin haber verificado todas las puertas traseras, hace más daño, pues los atacantes pueden regresar”, explica Eduardo Chavarro Ovalle, director del grupo de respuesta a incidentes y forense digital en Kaspersky, compañía experta en seguridad digital. El presidente del Consejo Superior de la Judicatura reiteró que están trabajando con distintos proveedores de tecnología “para restablecer en el menor tiempo posible los servicios digitales afectados”.
Sin embargo, Aurelio Enrique Rodríguez fue enfático en señalar que aún no se sabe el impacto real del ciberataque.
“IFX maneja la Nube y todo lo que tiene que ver con el sistema de datos y ahí está cargada mucha documentación. En este momento no se sabe si hay procesos afectados porque eso es un problema generalizado, no de procesos. La mayoría de procesos tienen su respaldo y no va a haber problema en ese sentido”, señaló.
La Corte Suprema de Justicia también se apegó al plazo de suspensión de términos judiciales hasta el 20 de septiembre.
La decisión fue anunciada por la Sala Especial de Primera Instancia que se encarga de juzgar a aforados como gobernadores y congresistas en líos judiciales, así como generales de la República.
Sin embargo, aclaró que dicha suspensión de términos “no aplica para los procesos que involucren a una persona detenida ni en expedientes que estén próximos o cercanos a prescribir”.
IFX Networks es optimista
Según se conoció en el PMU, la empresa afectada señaló que es optimista en que recuperará toda la información de las empresas afectadas.
Para ello, se encuentra alistando los respaldos de datos y haciendo un censo de las empresas y entidades vulneradas que estaban alojadas en su plataforma.
El ataque al parecer habría iniciado en Colombia y afectado gravemente las operaciones de IFX en Chile, pues varios de los sistemas que funcionan allá se operan desde centros de datos en Colombia.
Expertos consultados por EL TIEMPO que conocen de las acciones del PMU creen que no es tan fácil ni será pronto la recuperación de todo.
Incluso, reconocieron que la opción de pagar la extorsión que exige el grupo de atacantes ‘Ransonhouse’ sería el camino expedito para darle solución a esto, aunque claramente es lo que no se recomienda, precisamente para no alimentar este delito.
“Solo en Estados Unidos se calcula que al año las extorsiones por ransomware captan unos 34 millones de dólares. Pagar es un error porque no hay garantía de que devuelvan la información o vuelvan a secuestrarla”, explicó Eduardo Chavarro de Kaspersky.
Datos de Fortinet, otra empresa experta en seguridad digital, revelan que durante el primer semestre de este año se detectaron 5.000 millones de ataques cibernéticos en Colombia, 13 veces más que los observados en el segundo semestre del año pasado.
Por lo pronto, al cierre de esta edición, la Presidencia anunció que mantendrá las operaciones del PMU activas el tiempo que sea necesario, con la intervención y presencia de expertos de empresas privadas y asesores de entidades multilaterales, atendiendo a cada una de las entidades afectadas, una a una, para ayudarlas y guiarlas operativamente y técnicamente, para que puedan recuperar su información y sistemas.
3 preguntas a Rafael Páez, experto en ciberseguridad
¿Qué es ‘ransomware’?
El ransomware es un tipo de software malicioso que cifra la información de manera que los usuarios autorizados no pueden hacer uso de ella. El ciberdelincuente pide un rescate en criptomonedas (para no ser rastreado) con la promesa de entregarles la clave que les permita hacer uso nuevamente de la información.
¿Cómo funciona?
Funciona haciendo un pago con una criptomoneda, así que la víctima debe crear un monedero digital y comprar criptomonedas para transferirlas al atacante. Las indicaciones las muestra la misma pantalla de bloqueo que genera el ransomware donde informa que ha sido atacado y qué debe hacer para recuperar la información. En muchos casos de uso de ransomware, la información sigue estando en los dispositivos de la víctima, solo que al estar cifrada no la puede utilizar.
¿Qué tan grave es?
La complejidad de un ataque cibernético depende de la sensibilidad de la información, es decir, de la importancia que tenga esa información para un usuario o una organización. Cada organización debe calcular el impacto generado ante un posible ataque con el fin de tomar decisiones sobre los controles que debe implementar o, en el peor de los casos, asumir el riesgo. Para hacer este tipo de ejercicios se hace uso de estándares internacionales como la norma ISO 27001.