Los ataques de CONTI en Latam
La ciberseguridad se ha convertido en un elemento cada vez más importante, básicamente con el crecimiento de Internet, la economía digital y por la llegada de un elemento no esperado como la pandemia, que obligó a muchas empresas, organizaciones y personas a trabajar desde casa. Esto ha cambiado o abierto brechas que los ciberdelincuentes están aprovechando. En este contexto, resaltamos las opiniones que han realizado muchos analistas del tema, incluyéndonos, desde años anteriores sobre los beneficios de invertir en los procesos y herramientas para resguardar la seguridad informática.
Estas brechas que se han generado han dado paso a un considerable aumento de los ataques informáticos a través de un software malicioso (Malware) en los últimos dos años (+50%). Actualmente, los Ransomware se han convertido en un modelo de negocio muy lucrativo para los ciberdelincuentes, se basa en un secuestro de los datos o información la cual es encriptada y luego solicita a la víctima un pago por el supuesto rescate de la información. Este ataque puede ser desde borrar archivos hasta bloquear el acceso total al sistema y las víctimas puede ser cualquiera que sea del interés del grupo de ciberdelincuentes, empresas privadas, organizaciones públicas, personas públicas: artistas, políticos y deportistas hasta personas desde sus hogares.
Este proceso se inicia cuando la víctima se infecta a través de un correo electrónico que llama la atención del usuario hasta que abre el enlace que contiene el software malicioso, el cual aprovecha cualquier vulnerabilidad que tenga el sistema operativo o alguno de los softwares instalados para realizar su ataque. También pueden ser por ventanas de sitios web falsos pero que son prácticamente iguales a un sitio web reconocido, cómo por ejemplo de un banco.
En este momento, vale resaltar la cita “El eslabón más débil de la ciberseguridad es el usuario”. Por ello la importancia de generar y difundir contenido de valor para la educación del usuario ante los ataques en la seguridad informática.
Fuente: https://go.checkpoint.com/security-report/page-global-malware-statistics.php
Retomando la explicación del proceso del Ransomware, otro elemento clave es el medio por la cual solicitan el pago luego del ataque informático, este es solicitado a través de monedas digitales o criptomonedas. Las cuales les permiten a los ciberdelincuentes realizar el cobro sin dejar trazabilidad de los pagos realizados, dificultad para detectar quien realmente recibe el dinero digital, así como el uso del mismo.
Actualmente, uno de los grupos de ciberdelincuentes más conocido en la región, es CONTI, quien se ha hecho famoso luego de los ataques logrados en Costa Rica. Aparentemente es un grupo de ciberdelincuentes rusos, y se ha enfocado en atacar instituciones gubernamentales en América Latina.
Estos elementos, han puesto la Ciberseguridad de los países, organizaciones públicas y privadas en el centro de las acciones concretas. Como en los casos que CONTI ha ejecutado en Costa Rica, Perú y recientemente México también ha reportado amenazas de ataques a varias instituciones.
CONTI y sus ataques en LATAM:
Estadísticas en LATAM
De los reportes más interesantes sobre los ataques en Ciberseguridad, entre los más completo se encuentran el Check Point Security Report y ESET Security Report. La empresa Check Point presentó un ranking de países con mayor número de ataques. En América Latina, Colombia lidera el ranking con la posición 21 con 52,6% de riesgo. Le sigue Paraguay con el puesto 25, riesgo 50,1%, Perú en el puesto 27 y riesgo 48,8%. Panamá puesto 29 y riesgo 47,8%. México puesto 35, riesgo 44.0%.
El caso de Costa Rica, según este reporte del 2022 con datos del 2021 se ubicaba en el puesto 106 y riesgo 23,8%. Japón ocupa el último lugar en este ranking, en el puesto 109 y riego 20,9%. Le antecede Reino Unido y Australia entre los países con menores ataques y menor riesgo durante el 2021.
A nivel mundial según el reporte de Check Point, las industrias de educación, gobierno/militares y comunicaciones presentaron un mayor crecimiento de ataques por semana en el 2021 respecto a 2020. Sin olvidar que los ISP (Internet Service Provider) se encontraron en el 4to lugar en ese mismo ranking.
Por otro lado, en el ESET Security Report, indican que los códigos maliciosos son la principal preocupación (64%) y la primera causa de incidentes de seguridad (34%) en las empresas latinoamericanas. De acuerdo con la telemetría de ESET, las empresas en Brasil (19%) fueron las más afectadas por el malware según el total de las detecciones en Latinoamérica, seguidas por las de México (17,5%) y Argentina (13,3%). Los ataques dirigidos con ramsonware se volvieron más agresivos y lucrativos, agregando características como doxing (acoso, roba información personal y la publica en internet), print bombing (utiliza impresoras de la red para imprimir el mensaje del rescate), cold call (piden rescate por teléfono, por ejemplo, por copias de seguridad) y ataques de DDoS.
Costa Rica
Obviamente, de acuerdo a las estadísticas mencionadas la posición de Costa Rica indica que había un riesgo bajo de sufrir un ataque informático. Se encontraba en las últimas posiciones (106 de 109 países) junto con el Reino Unido y Japón del reporte elaborado por Check Point. Así que definitivamente es sorprendente el ataque realizado por CONTI, y estimo que se debió aprovechar un pequeño descuido o exceso de confianza ya que no era un país por el número de ataques y el riesgo que estuviese en el objetivo de los ciberdelicuentes. Presumo que este hecho va más allá de un común ataque informático.
Los hechos inician el 18 de abril cuando el Ministerio de Hacienda se percató que le había sustraído un terabyte de información de bases de datos de los sistemas tributarios y aduaneros, con detalles sobre renta de contribuyentes e importaciones y exportaciones, según el titular del sector, Elián Villegas. El impacto de esta situación trajo grandes consecuencias en todo nivel, se suspendió el acceso a la plataforma digital por internet por prevención a otros ataques, las operaciones fueron suspendidas temporalmente, cómo el recibo y envío de contenedores por no poderse registrar en sistema.
En la parte económica debe haber un análisis para cuantificar las pérdidas aunadas a este ataque. Referente a las consecuencias económicas es un punto bastante delicado, hay organizaciones más pequeñas que no superan estos ataques informáticos, como es el caso del Lincon College en Estados Unidos después de 157 años de servicio se vio en la obligación de cerrar sus puertas tras ser víctima de un ransomware.
Adicionalmente, tras declarar el Presidente de la República el estado de emergencia en Costa Rica, el grupo Conti, parece haber filtrado 672 GB de la data obtenida, viendo esto la amenaza con esta data puede ser aún mayor. Debido a que pudiera contener la información, por ejemplo, de los contribuyentes en el caso del Ministerio de Hacienda; y con el acceso a esta data se pudiesen seleccionar otros blancos o empresas en función a la información financiera para el cálculo de los impuestos.
Otras de las organizaciones gubernamentales que se indican fueron posiblemente afectadas por el ciberataque en Costa Rica son: el Ministerio del Trabajo y Prevención Social, el Fondo de Desarrollo Social y Asignaciones Familiares, la Sede Interuniversitaria de Alajuela, la Junta Administradora del Servicio de Cartago, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones; el Instituto Meteorológico Nacional, Radiográfica Costarricense y la Caja Costarricense del Seguro Social.
Dentro de estos organismos afectados destaca la empresa Radiográfica Costarricense perteneciente al grupo ICE, la cual presta servicios de telecomunicaciones (servicios de conectividad) al sector público y privado. De acuerdo a las estadísticas presentadas en el Check Point Security Report este sector de organizaciones está ubicado en el 4to lugar de empresas objetivos de los ataques informáticos.
Perú
Los hechos en Perú fueron similares a los de Costa Rica, igualmente se declaró estado de emergencia. El grupo CONTI dejo un mensaje en el DIGIMIN (organismo de seguridad de Perú) donde dejaron una puerta trasera en el sistema de todas las instituciones del estado, estarán buscando información y le solicitó a este organismo que se comunicaran con ellos.
Viendo las estadísticas de Check Point, este país se encuentra en la posición nro. 27 con riesgo de ataques informáticos, quiere decir que presentó un riesgo alto en ser un objetivo para los ciberdelincuentes. Con este precedente de alerta, nuestra recomendación es clara: elaborar y ejecutar inmediatamente un plan para el resguardo de la seguridad informática de las organizaciones gubernamentales, empresas privadas y personas del país, cada quien con lo que le compete. Y considerar dentro del plan la certificación de los procesos, tecnologías y personas involucradas.
México
Para el caso de México, el gobierno de este país recibió una amenaza de ataque informático el día 9 de mayo del presente. La empresa de ciberseguridad SILIKN, dio a conocer que el grupo de atacantes Conti, podría tener como objetivo, en las siguientes dos semanas, a entidades gubernamentales como: Instituto Mexicano del Seguro Social, Secretaría de Salud, Secretaría de Hacienda y Crédito Público, Petróleos Mexicanos, Banco de México, Secretaría de Bienestar y Fondo Nacional de la Vivienda para los Trabajadores.
Viendo las estadísticas de Check Point, este país se encuentra en la posición nro. 35 con riesgo de ataques informáticos, quiere decir que igualmente como Perú presentó un riesgo alto en ser un objetivo para los ciberdelincuentes. Con este precedente de alerta, nuestra recomendación es exactamente la misma dada anteriormente para el caso de Perú.
IFGICT y porque es importante certificarse:
Todos estos riesgos y ataques que se han concretado durante el 2022 tanto en Costa Rica, México y Perú, incrementan la oportunidad de desarrollar estándares y soluciones para verificar o certificar la seguridad de las TICs. Desde un punto de vista que incluye, no sólo la tecnología, sino más importante aún los procesos y personas de toda la organización. Los estándares de certificación desarrollados por IFGICT, una organización sin fines de lucro, basada en Estados Unidos que viene desarrollando estos estándares desde hace varios años y desde el 2021 firmó acuerdos con empresas como Microsoft, IBM, HP, Dell USA y Oracle Academy.
IFGICT, se enfoca en realizar una auditoría en la organización, que permite detectar el grado de madurez o preparación para enfrentar los ataques a sus centros de datos o infraestructura tecnológica. Está auditoría se realiza en cuatro fases: monitoreo y medición, evaluación del cumplimiento, definir las áreas de no conformidad, proponer acciones correctivas y preventivas, para cerrar con la creación de un registro y auditoría interna de la organización. Ejecutar este proceso de auditoría, permite a las organizaciones centrarse específicamente en las acciones que tienen un impacto directo en la mejora de la Ciberseguridad de su infraestructura tecnológica.
¿Por qué certificarse con los estándares de ciberseguridad de IFGICT?
Requiere poca documentación de la gestión interna.
Posee una robusta herramienta para la lista de verificación.
El proceso completo de auditoría se realiza en 4 semanas.
La certificación es asequible en términos de los costos de trabajo por día de los auditores.
El alcance del proceso de auditoría va directo al punto.