Desde el martes 12 de septiembre se empezó a reportar problemas de acceso a múltiples herramientas y servicios de entidades públicas y privadas en Colombia y Chile, todas con algo en común: tienen sus servicios alojados en servidores del proveedor IFX Networks.

IFX es una empresa proveedora de soluciones de telecomunicaciones con presencia en Latinoamérica y sufrió un ataque de tipo ransomware. Aunque IFX envió un comunicado privado a sus clientes informando que no se ha evidenciado vulnerabilidad en la información de sus usuarios, la afectación en los servicios prestados es evidente.

Los ataques de tipo ransomware se caracterizan porque los atacantes logran acceder a la información de las empresas y aplican métodos de cifrado sobre los archivos, una vez la información está encriptada, la organización no puede acceder a ella y es en ese momento que los atacantes exigen el pago de dinero, principalmente utilizando criptomonedas, para permitir nuevamente el acceso de los datos, situación que es difícil de garantizar, pues claramente se está tratando con delincuentes.

Múltiples entidades estatales han confirmado afectación en sus servicios causados por este ataque, como la Superintendencia de Industria y Comercio, la Superintendencia de Salud, el Consejo Superior de la Judicatura y el Ministerio de Salud.

De acuerdo con el portal Mucho Hacker, se puede hablar de más de 25 dominios .gov.co afectados, pero pueden ser muchos más, teniendo en cuenta que IFX no ha realizado un pronunciamiento oficial, ni ha entregado información sobre la magnitud del ataque.

En el último boletín publicado por el Equipo de Respuesta a Incidentes de Seguridad de la Información del Estado Colombiano se informa que 46 entidades públicas tienen contrato de prestación de servicios con IFX.

Los ataques de tipo ransomware utilizan principalmente tres formas de acceder a sus víctimas:

Páginas web maliciosas: Pueden tratarse de páginas maliciosas o páginas legítimas infectadas con código malicioso. El objetivo es llevar al usuario a descargar malware con el fin de infectar el equipo objetivo, una vez allí el atacante puede cifrar la información de ese equipo o puede intentar infectar un servidor con información más valiosa.

Correo electrónico: A través de correo electrónico los atacantes intentan engañar al destinatario con el fin de llevarlo a descargar archivos adjuntos maliciosos. Utilizan mensajes asociados con foto multas, impuestos pendientes por pagar o incluso fotos de falsas infidelidades con el fin de motivar a la víctima a descargar o hacer clic en un enlace malicioso.

Protocolo de escritorio remoto (RDP): El protocolo RDP permite el acceso y control remoto de equipos con sistema operativo Windows, facilita muchas de las tareas de los equipos de TI en la solución de incidentes en los usuarios, pero son una puerta de acceso fácil para los atacantes. El puerto por defecto es el 3389 en TCP, así que los atacantes podrían escanear si un servidor tiene este puerto abierto e intentarán obtener acceso utilizando contraseñas predeterminadas.

De acuerdo con IT Governance, en agosto de 2023 se registraron públicamente 73 incidentes de ciberseguridad afectando más de 79 millones de registros de información en bases de datos, lo que evidencia claramente el aumento en este tipo de ataques por su alta rentabilidad para los delincuentes.

Este escenario plantea muchos retos para los nuevos profesionales en áreas relacionadas con las tecnologías de la información y las comunicaciones TIC. La capacitación y entrenamiento es fundamental para lograr identificar rápidamente las vulnerabilidades en los activos de información de las organizaciones y proponer controles efectivos que permitan mitigar los riesgos asociados.

La protección de los activos de información debe estar alineado con estrategias de Gobernanza de Datos que garanticen la planificación, monitoreo, seguridad, ejecución, disponibilidad y consumo de los datos corporativos.

¿Cómo evitar un ataque de ransomware?

Los usuarios deben ser cautelosos al momento de navegar en páginas desconocidas, al recibir correos que solicitan descargar archivos adjuntos y al utilizar servicios de mensajería.

Las organizaciones deben implementar políticas estrictas de seguridad de la información y privacidad de datos, así como fomentar la capacitación y concientización de sus colaboradores.

¿Qué hacer si ya se presentó el ataque?

La forma más segura es restaurar el sistema de archivos a partir del último respaldo realizado, esto implica que las organizaciones deben ser muy juiciosas con la aplicación de la política de respaldo de información.

Se han conocido casos de grandes empresas que han accedido al pago de la extorsión, pero en realidad hacer el pago no garantiza que los atacantes permitan de nuevo el acceso a los datos.

Indudablemente la persona es uno de los eslabones más débiles en la protección de la información, así que la formación de profesionales calificados en seguridad de la información y la capacitación de los colaboradores de las organizaciones es fundamental en la lucha contra los cibercriminales.

 

Por:

Francisco Javier González Aguirre
Docente Escuela TIC
Coordinador de la Especialización en Seguridad de la Información
Facultad de Ingeniería, Diseño e Innovación
Politécnico Grancolombiano