Bienvenido a RansomHouse. Usted ha sido bloqueado”. Ese fue el mensaje que piratas informáticos dejaron instalado en las pantallas de la firma IFX, empresa encargada de prestar servicios tecnológicos a portales en toda América Latina, para anunciar que habían hackeado por lo menos 700 entidades, entre ellas 64 solo en Colombia, de las que se rastrearon 34 páginas web estatales, paralizando los portales de internet del sector salud y dejando estancados alrededor de dos millones de procesos de la rama judicial a nivel nacional. 762 compañías de Latinoamérica resultaron afectadas por el ataque a la firma tecnológica.
A través de una pantalla completamente negra y con letras blancas, los delincuentes explicaron que habían secuestrado datos de miles de usuarios, también de otros países como Chile, Argentina y Panamá, habían destruido las copias de seguridad de la información y cifrado archivos delicados. Además dejaron claro que lo único que podían hacer era contactarlos a través de una dirección web o un canal de Telegram para “resolver los asuntos” y evitar que se perdiera toda la información a cambio de una recompensa en bitcoins, para no dejar rastro.
El ataque fue perpetrado directamente a la empresa de origen chileno, pero tuvo repercusiones directas en Colombia, donde maneja gran parte de los portales web estatales. Así lo confirmó el Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior y Seguridad Pública de Chile que manifestó que “tomó conocimiento de un comunicado dado a conocer por IFX Networks (propietaria en Chile de la firma Netglobalis), que parte de su infraestructura de Colombia sufren actualmente un evento de ransomware (secuestro de datos), pese a lo cual, ‘no se ha evidenciado un compromiso a la integridad de los datos ni de la información’ de sus clientes y proveedores”. Sin embargo, los hackers fueron claros: “Si estás leyendo este mensaje, eso significa que la infraestructura de red ha sido atacada. Se filtraron datos críticos de los clientes”.
Y las consecuencias del ciberataque podrían ser graves. Rafael Páez, experto en ciberataques de la Universidad Javeriana, le explicó a EL COLOMBIANO que los atacantes podrían filtrar la información a otros ciberdelincuentes o incluso liberarla en la “Dark web”. Sin embargo, Páez rescata que “cabe la posibilidad de que los atacantes no hayan accedido a la información sino que únicamente la hayan cifrado, este es el comportamiento del ransomware, de manera que cada entidad tendría que hacer uso de sus copias de seguridad (backup) para continuar funcionando”.
Jaque al sistema salud y judicial
Según un reporte de la firma Fortinet, durante el primer semestre de 2023, Colombia fue objeto de más de 5.000 millones de intentos de ciberataques, dejando al país en el cuarto lugar en América Latina (ver infografía).
Este ciberataque en el país sería inédito y a gran escala, según lo anticipó Saúl Kattan, consejero presidencial para la Transformación Digital, quien además aseguró que la recuperación va a tardar varios días y que, junto al ministro de las TIC, Mauricio Lizcano, ya instalaron un Puesto de Mando Unificado de emergencia para hacerle frente a la parálisis a nivel nacional. “Es uno de los ataques más fuertes que hemos tenido en el país en términos de seguridad digital (...) Se ha comprometido mucha información de la salud, mucha información de la rama judicial”, expresó Kattan en un audio compartido a EL COLOMBIANO.
Mientras tanto, el panorama es preocupante puesto que entidades como el Consejo Superior de la Judicatura y la Superintendencia de Industria y Comercio tuvieron que emitir resoluciones en las que suspenden de manera temporal todos sus servicios hasta el próximo 20 de septiembre o hasta que se supere la emergencia. Eso deriva en que se estanquen las solicitudes y procesos regulares que se tramitan en esos organismos estatales.
Y es que desde la tarde de este martes 12 de septiembre, varias páginas y aplicativos de instituciones del Estado comenzaron a presentar fallas en el funcionamiento, lo que de inmediato generó una alerta al tratarse de una sospecha de ciberataque que más tarde fue confirmada y obligó a frenar todos los servicios de acceso a la justicia y a la salud, poniendo en riesgo a miles de colombianos.
Por ejemplo, la página de la Rama Judicial –cuyos aplicativos y servicios en línea permiten buscar información de expedientes judiciales e interponer tutelas– dejó de funcionar y afectó servicios como “Demanda en Línea”, la búsqueda de antecedentes disciplinarios, el portal de grabaciones, la relatoría de las altas cortes, el Sistema de Registro Nacional de Abogados, entre otros.
La página de la Superintendencia de Industria y Comercio tampoco se salvó de las fallas. Al entrar a su página principal sale un letrero que dice “Vaya... no se puede acceder a esta página”.
Y las afectaciones siguen. La Superintendencia Nacional de Salud y la herramienta MIPRES del Ministerio de Salud, con la que esa cartera garantiza el acceso, reporte de prescripción, suministro, verificación, control, pago y análisis de la información de las tecnologías en salud que no son pagadas con plata de plan de beneficios (PBS), tampoco funcionan. La página de la Supersalud también está caída y tuvieron que informar los daños a través de sus redes sociales. El ataque masivo también afectó 15 páginas del sector cultural, entre las que se encuentran la Biblioteca Nacional, el Museo Nacional, la Quinta de Bolívar y la página principal del Ministerio de Cultura, así como la página del Centro Nacional de Memoria Histórica.
La Cruz Roja Colombiana, la Constructora Capital y el servicio SISPAP del Instituto Colombiano Agropecuario, que autoriza exportaciones por cumplimientos de requisitos fitosanitarios, también presentan fallas.
Lo cierto es que la situación representa tanta gravedad que la Defensoría del Pueblo emitió un comunicado alertando que “se ha puesto en riesgo la vida de millones de personas que dependen de servicios esenciales; particularmente, han afectado a quienes necesitan acceso urgente a servicios de salud y de justicia”.
Para dimensionar mejor la gravedad del asunto, Kattan explicó que se podría desencadenar una crisis sanitaria en el país puesto que los delincuentes obstruyeron el acceso a información médica crucial para el personal médico que pondría en jaque el sistema de salud. Por ejemplo, se restringió el acceso para interponer quejas en línea por falta de atención en salud o urgencias.
A eso se le suman los procesos en la rama judicial. En los juzgados de la décima con Avenida Jiménez ya no hay filas largas para tomar el ascensor hacia algunos de los cien juzgados repartidos en los veinte pisos que tiene el edificio en Bogotá. Solo funciona el servicio de archivo, el único que parece haberse salvado del hackeo que paralizó el sistema judicial del país.
En la puerta pegaron un papel en el que imprimieron la resolución con la que anuncian la suspensión del servicio. Por eso si un ciudadano quiere interponer una tutela en línea no lo podrá hacer, además, el abogado Samir Cercado le explicó a EL COLOMBIANO que las audiencias están paralizadas, los expedientes judiciales digitalizados están estancados y los datos de los procesados están en riesgo. “Lo más grave es la posible filtración de los datos personales, sensibles, crediticios o reservados de las personas o empresas que tienen en este momento procesos judiciales y la pérdida del avance o el esfuerzo que se ha realizado en el país en los últimos años por digitalizar la justicia”, dijo Cercado.
El mismo abogado reconoce como razonable la estrategia que el Consejo Superior de la Judicatura tomó en medio de la contingencia al decidir suspender los términos judiciales, salvo para las acciones de tutela, hábeas corpus y función de control de garantías, para mantener la seguridad jurídica de las personas que tienen en este momento procesos judiciales.
Sin embargo, el ambiente nacional sigue siendo de incertidumbre pues “lo que preocupa a los abogados, sus clientes y en general a todos los usuarios de la rama judicial y demás entidades, es que no se tiene certeza sobre si se perderán los avances en los procesos, los memoriales y pruebas presentadas o las audiencias realizadas”, añadió Cercado quien resalta que el sistema judicial colombiano no estaba preparado para una contingencia de esa magnitud que incluso pudo ser previsible.
Y en eso coincide Kattan, consejero presidencial de Transformación Digital, quien explicó en W Radio que “desafortunadamente en estos casos a uno no le gusta tener la razón. Se habría podido disminuir el riesgo con una inversión digital, un ecosistema en donde las entidades están realmente obligadas a tener requisitos mínimos, a capacitar su gente y una coordinación nacional a través de una Agencia de Seguridad Digital, no digo que se podría evitar, pero sí se podrían haber reducido los impactos significativamente”.
IFX Networks no da respuesta
El mismo día del ataque, 12 de septiembre, la empresa tecnológica con operaciones en por lo menos 17 países, se limitó a publicar un comunicado en el que se aclaró que el ataque de ciberseguridad era cierto, que era externo y tipo ransomware, lo que afectó de manera directa algunas de sus máquinas virtuales, pero que la compañía estaba trabajando ante la incidencia. Desde ese momento no han dado ninguna otra respuesta sobre la situación que tiene en jaque al país.
“Esta compañía es una de las más grandes que ofrece infraestructura tecnológica en Colombia. No sé sabe por donde empezó, pero expertos me dicen que puede continuar con un efecto dominó en otras páginas”, dijo Camilo García, especialista en temas de internet, a este diario.
Precisamente, en un rastreo realizado por EL COLOMBIANO se encontró que la empresa IFX Networks es proveedora de servicios de ciberseguridad y reportó 105.000 millones de pesos con contratos firmados en casi todos los departamentos del país e instituciones que van desde las Fuerzas Militares, Agencia Nacional de Infraestructura o Centro Nacional de Memoria Histórica, e instituciones educativas como Uniatlántico. Esas entidades son algunas de las que podrían verse en el limbo de llegar a estar afectadas por el secuestro de la información.
El ataque a la empresa IFX Networks se produjo bajo la modalidad ransomware también conocido como malware de rescate. Eso quiere decir que es similar a un virus que impide que los usuarios accedan al sistema como lo hacen de manera regular, por eso las páginas aparecen caídas o no cargan.
Lo grave es que a través de esta modalidad los ciberdelincuentes secuestran los datos y piden el pago de un rescate. El vector de ataque del virus es por medio de archivos adjuntos de correos electrónicos. El grupo que atacó es conocido como Ransom House, ciberdelincuentes que desde 2021 han secuestrado información de miles de compañías del sector salud y financiero del mundo. Uno de sus últimos golpes fue el almacenamiento de información de “Roberto Verino Difussion”, empresa española de ropa.
También atacaron a “SAC Finance INC”, una central de riesgo internacional que muestra información crediticia de sus clientes en Estados Unidos. Ransom House utiliza una billetera de Bitcoin que envía directamente a los afectados. No aceptan la participación de algún tercero mediador como los departamentos de Policía, FBI, CIA, NSA o cualquier otra agencia internacional de seguridad. En caso de no llegar a alguna negociación, optan por filtrar la información. Si se realiza el pago, prometen retornar la información al servidor, eliminar información filtrada y no volver a atacar.
En Colombia varias empresas y entidades se han visto afectadas por este fenómeno a lo largo de los últimos dos años, entre ellas Grupo Nutresa, EPM, Audifarma, Sanitas, el Invima y hasta el Dane, que recopila las principales cifras sobre población, calidad de vida o economía del país.
En ese contexto, la firma Fortinet compartió recomendaciones para evitar caer en ciberataques y resaltó que es necesario actualizar periódicamente el sistema operativo, evitar descargar archivos adjuntos o programas de dudosa procedencia; en la medida de lo posible, contar con servidores en nubes que tengan un sistema confiable y seguro; verificar la procedencia de los correos electrónicos; no abrir links muy largos o de correos dudosos; descargar programas solo de páginas confiables; no usar softwares piratas; actualizar los sistemas de los aparatos electrónicos; usar una VPN cuando recurra a una red pública de Wifi; no usar dispositivos USB desconocidos. A nivel mundial se han reportado 3.289 ciberataques en lo que va de 2023, un aumento significativo si se compara con todos los ataques registrados en 2022 que fueron 2.553. Solo en los últimos 30 días se han reportado 442 ataques cibernéticos.
Los virus más comunes son el ransomware, la denegación de servicios, phishing, spyware y los virus troyanos que dan acceso al sistema y a la red.
Gobierno instaló PMU Ciberseguridad
Ante la gravedad del ataque, el Gobierno instaló un Puesto de Mando Unificado Ciber para conocer los daños y solucionar las afectaciones generadas por el incidente cuyo impacto afectó a varias entidades nacionales. “Estamos revisando qué entidades públicas adicionales, pudieron estar impactadas, con el propósito de conocer la afectación real en Colombia. Es importante aclarar que el incidente se presentó contra el proveedor de servicios IFX Networks, mas no contra las entidades del Estado”, informó el equipo.
La Fiscalía autorizó el desplazamiento de un equipo especializado a las oficinas de IFX en Colombia, con el fin de recibir la denuncia y la disposición de elementos probatorios.