Mucho se ha escuchado sobre ciberataques en los últimos días. Un tema que no es nada nuevo en Colombia, pues según la firma de ciberseguridad Fortinet, tan solo en el primer semestre del año, el país recibió 5000 millones de intentos de ataques informáticos.
Los ejemplos son numerosos: En 2021 la Pontificia Universidad Javeriana fue víctima de uno; en 2022 el turno fue para la organización multinacional Keralty, a la que pertenece la EPS Sanitas, y Empresas Públicas de Medellín –EPM–; y la semana pasada, IFX Networks, un proveedor de servicios en la nube, sufrió un ciberataque que afectó al menos a 50 entidades estatales colombianas, incluyendo al Ministerio de Salud y Protección Social y al Consejo Superior de la Judicatura.
#ElPaísEnVivo
— La Silla Vacía (@lasillavacia) September 18, 2023
El gobierno demandará a IFX Networks, la empresa de telecomunicaciones con las que una veintena de entidades del Estado tenían contratos y fue víctima de un ciberataque. https://t.co/X1jPszfNXJ pic.twitter.com/ODKvmxvVun
El gobierno colombiano anunció que demandará a IFX Networks por los daños ocasionados por el ataque, ya que considera que hubo fallas en la seguridad de la compañía. ¿Pero por qué causa tanta preocupación y revuelo un ataque cibernético?
Para empezar, ¿qué es un ciberataque? Para entenderlo de forma simple, imaginemos que nuestro computador tiene un candado digital para proteger los documentos importantes, pero alguien, sin nuestro permiso, logra abrir ese candado para ver, robar o dañar todas las cosas que están ahí dentro.
En este caso, fue un ataque de ransomware, que es un tipo de ciberataque en el que los delincuentes cifran los archivos o sistemas informáticos de una víctima y luego exigen un rescate para proporcionar la clave o herramienta necesaria para desbloquear los archivos o sistemas. En otras palabras, secuestran los datos. Los responsables de este ciberataque serían el colectivo Ransomhouse, quienes también estuvieron detrás del ataque a Keralty.
Para resolver las dudas que han surgido sobre el tema y conocer algunas recomendaciones para proteger nuestra información, Pesquisa Javeriana habló con Rafael Vicente Páez, director de la Maestría en Seguridad Digital de la Pontificia Universidad Javeriana.
¿El hecho de que Colombia reciba tantos intentos de ciberataques quiere decir que es un país débil en temas de ciberseguridad?
Cuando se habla de esa cantidad de ataques no quiere decir que esos ataques sean efectivos. Colombia es un país atractivo por la cantidad de empresas crecientes en los últimos años. De hecho, aquí en la Universidad todos los días recibimos miles de ataques, lo que pasa es que con las mismas herramientas de seguridad se van evacuando y son ataques que no tienen ningún efecto particular para nuestra información y nuestra infraestructura.
Sabemos responder a algunos ciberataques, pero obviamente no todo lo tenemos bajo control. De hecho, según el índice de la Unión Internacional de las Telecomunicaciones, en 2020 Colombia estaba en el puesto 81 en este aspecto. Así que no somos el peor país, pero tampoco estamos en los primeros lugares.
Es decir que Colombia ha venido mejorando en ciberseguridad durante los últimos años…
Nosotros hemos venido haciendo muchas cosas, sobre todo en cuanto a normatividad y todo lo que tiene que ver con cooperación internacional. A nivel de gobierno, por ejemplo, se han emitido tres Conpes. El primero estaba orientado a la parte de la seguridad y defensa, por eso le compete más a las Fuerzas Militares. El segundo iba dirigido a empresas. Y el último, que es el 3995, está orientado al ciudadano y habla sobre protección y confianza digital. El problema es que todavía no hay una concientización en los usuarios de que la seguridad es transversal. Es decir, que afecta a todas las áreas.
¿El ataque contra IFX Networks que terminó afectando a entidades gubernamentales habla mal de los niveles de seguridad de instituciones como el Ministerio de Salud y el Consejo Superior de la Judicatura?
No necesariamente porque realmente la estructura no está acá y eso no quiere decir que de pronto no tengan buenas prácticas de protección. Lo que pasa es que los atacantes son muy hábiles. Eso es como todo, nosotros podemos tener una puerta de seguridad en nuestra casa, pero resulta que hay una ventana y se nos cuelan por ahí.
Entonces también hay vulnerabilidades y los atacantes se dedican a encontrarlas. Utilizan herramientas automatizadas para lanzar ataques y cuando ven una brecha de seguridad, aprovechan. Mientras que quienes trabajan en seguridad se la pasan todo el tiempo buscando la manera de protegerse.
Hoy 18 de septiembre IFX Networks dispuso de un portal público para el seguimiento del incidente, por ahora, no hay información técnica sobre el ataque.https://t.co/lE0JIUokPC pic.twitter.com/EDUeULWnoy
— Germán Fernández (@1ZRR4H) September 18, 2023
¿Qué se puede hacer en un caso como el de IFX Networks?
En primer lugar, hay que aclarar que estamos hablando de un servicio que es contratado, en este caso, un servicio de infraestructura tecnológica. El ataque no estuvo dirigido al Estado colombiano sino a esa empresa que presta sus servicios a varios países de Latinoamérica.
Cuando se habla de este tipo de proveedores se establecen unos acuerdos, que es básicamente un contrato donde se establece claramente cuál es la responsabilidad del uno y del otro.
A veces las empresas cometen un error y es que se desentienden de la parte tecnológica porque dicen que su razón social no tiene nada que ver con el tema, pero es muy importante que sepan cómo le están entregando los datos a un proveedor, porque en caso de que algo ocurra, ¿qué pasa con mi información? Lo ideal es tener un plan B, una copia de seguridad, un plan de continuidad del negocio… Es decir, lo mínimo con lo que pueda operar.
Esos se llaman planes de resiliencia y vienen desde la época de las Torres Gemelas porque muchas empresas tenían sus oficinas principales en un edificio y el respaldo en otro, pero como tumbaron las dos torres, se quedaron sin nada. Entonces por eso aparece ese plan de continuidad del negocio en donde dicen que su backup no debe estar cerca geográficamente de donde está su información original.
¿Cuáles son las implicaciones de este ataque cibernético en los colombianos que se podrían ver afectados por el uso de la información que han dado a entidades como el Ministerio de Salud?
Las implicaciones pueden ser múltiples. Eso depende de la intencionalidad de los atacantes. Por una parte, existe la posibilidad de que esa información no se haya filtrado, es decir, que la hayan cifrado. Entonces, es cuando un usuario, por ejemplo, recibe un archivo adjunto de un correo desconocido, le da doble clic y activa ese software malicioso. Automáticamente, lo que sucede es que aparece un mensaje que dice ‘usted ha sido atacado’ y le dan las indicaciones de lo que debe hacer para recuperar la información. Eso es le llamamos un secuestro de información. La información sigue estando ahí, lo que pasa es que no la puede utilizar porque no hay manera de acceder a ella.
Otra cosa es que haya filtración de datos. Eso significa que primero hicieron una copia de la información y la pueden comerciar. Ahí es donde se empieza a hablar de la darkweb donde pueden vender esos datos a gente que está interesada en ellos con fines ilícitos.
La afectación para nosotros como ciudadanos va a depender de qué tipo de información es la que está rondando por ahí. Si es información médica, por ejemplo, pues ya tendría que ser un ataque muy dirigido a algún tipo de persona en particular porque ya sabría de qué tipo de enfermedades sufre y esa clase de cosas. Eso es muy grave porque tiene que ver con nuestra privacidad. Los datos médicos son privados y si se filtran yo podría demandar a quien haya hecho mal uso de esa información, en este caso a la entidad prestadora de salud.
Es algo como lo que ocurrió el año pasado con el ataque a Sanitas…
Ese fue un ataque directo a Keralty, que es un consorcio español del que hace parte Sanitas, pero entonces ahí es donde uno ve la falta de empatía por parte de los atacantes. No les importa nada, porque obviamente al atacar una dependencia o un hospital se sabe que hay vidas de por medio. No están jugando, ellos ya saben qué pasa y puede morir gente. ¿Ahí quién responde?
Lo dice porque esos fallos hacen que los procesos se demoren más y puede que se afecte una remisión de urgencia, ¿o a qué se refiere?
Cuando los sistemas dejan de funcionar no hay acceso a la información. Nosotros trabajamos todo el tiempo con información. Sin sistema no se tienen los datos necesarios para llevar a cabo los procesos y las citas se demoran mucho más, los exámenes también y si hay una cirugía pendiente de un examen, pues la cirugía se tiene que aplazar y, en algunos casos, si se aplaza puede ser crítico.
Como en este caso el ataque fue dirigido a una empresa proveedora de servicios y no directamente a las instituciones colombianas, ¿a quién se le puede reclamar por la vulneración de mi privacidad?
La información es responsabilidad de las entidades a las que se les confiaron esos datos. Yo como usuario doy mi información confiando en que la van a cuidar, pero si se dan a conocer mis datos y yo me veo afectado por ello, es su responsabilidad. Por eso es tan importante que las aplicaciones no capturen datos de los usuarios. Si es necesario que reciba esos datos, que no los almacene, porque de lo contrario tiene que haber un permiso por parte de los usuarios.
¿Y cuál es el peligro de que este ataque haya tocado a la Rama Judicial en Colombia y que ahora puedan tener nuestros datos judiciales?
Depende de cada caso en particular. Con eso pueden ventilarse casos que pueden ser de interés nacional. También puede haber afectaciones más allá de la simple información, sino que puede darse un atentado contra alguien. La filtración de los datos es gravísima. Podríamos estar hablando de que IFX Networks deje de funcionar y esta es una empresa que lleva muchísimos años.
Cada vez son más comunes los ciberataques, ¿qué tan rentables son?
Están casi al nivel del tráfico de armas. Hay mucha gente que se dedica a eso y tienen toda una infraestructura criminal. Lo que pasa es que en Colombia ocurre que hay gente que sabe mucho sobre temas de seguridad y las empresas solo le pagan millón y medio, así que se van para el lado oscuro. Las empresas que pagan bien son empresas medianas y grandes, y acá el 93 % de las empresas son pymes, principalmente microempresas.
¿Hay forma de blindarnos frente a estos ataques cibernéticos siendo usuarios particulares?
La recomendación siempre es no abrir correos que no conozcamos y mucho menos descargar algún adjunto o darle clic a un enlace de un remitente que no sea familiar para nosotros porque seguramente ahí estamos siendo víctimas de un ransomware o cualquier otro tipo de software malicioso, como un virus, un troyano o un gusano.
Hay muchísimos tipos de software maliciosos y hay herramientas para verificar si esos adjuntos son seguros o no. Una de ellas es VirusTotal. Ahí, sin abrir un PDF o un enlace, se puede comprobar que esté libre de virus. Lo que haces es subir el archivo ahí y esta herramienta lo pasa por diferentes antivirus. Si todo está en verde, significa que está bien y que no hay ningún peligro. Si sale algo en rojo quiere decir que es un tipo de software malicioso.
¿Y hay alguna recomendación en casos de correos electrónicos con remitentes sospechosos?
Cuando envían correos así con enlaces, usualmente son ataques de phishing. Esto significa que lo redireccionan a una página que puede no tener ningún software malicioso, pero piden un usuario y una contraseña. Entonces, seguramente esa página no es https (un protocolo de seguridad) y esa captura que están haciendo de la información la reenvían automáticamente a una base de datos.
Otra recomendación es mirar cuál es el dominio de donde viene el correo: puede decir que es un correo de Bancolombia, Davivienda o cualquier entidad financiera, pero al mirar el dominio es un correo personal de gmail, por ejemplo. Ahí mismo denunciar y marcar como spam.
Con los mensajes de texto es exactamente igual. Se llama smishing. También está el vishing, que es por llamadas telefónicas.
La otra recomendación es mantener siempre actualizados los sistemas operativos y tener antivirus. Eso no garantiza que no vaya a ser víctima de un ataque, pero por lo menos reduce el riesgo.
Si ya di clic sobre el enlace y me apareció el mensaje de que mi información fue secuestrada, ¿ya no hay nada que hacer?
Depende. Hoy hay más de 3000 diferentes tipos de ransomware que cifran la información. Expertos en temas de seguridad ya han identificado claves para algunos tipos, así que en algunos casos el usuario tiene la opción de introducir la contraseña y recuperar su información.
Pero lo más importante es tener precaución, navegar de forma segura y sospechar de cualquier enlace extraño. Ahora, por ejemplo, han empezado a hacer videollamadas por WhatsApp. Si uno la contesta hay una persona al otro lado haciendo cualquier cosa, puede estar desnuda y toman el pantallazo, así que ya queda la cara de uno ahí y con eso hacen la extorsión diciendo que si no paga hacen circular esa fotografía o ese video. No contesten videollamadas desconocidas. Bloqueen y reporten.