El cibercrimen busca nuestros datos

Ocurrió el pasado domingo 5 de marzo. No fue casualidad que el fin de semana se produjera el ciberataque al hospital Clinique de Barcelona, ​​uno de los mayores centros sanitarios del país y el segundo más famoso. Los días de la semana favoritos de los piratas informáticos para lanzar contra un sistema operativo específico, sabiendo que la seguridad se ve disminuida por la falta de calibre. Esta fue la fecha escogida para difundir un malware ransomware (robo de datos) “desde fuera de España” aprovechando una brecha de seguridad. Los ataques se dirigieron a los sitios de los tres hospitales y sus centros de atención primaria. Se tuvieron que cancelar 150 intervenciones quirúrgicas, se tuvieron que cancelar 3.000 visitas y se tuvieron que cancelar 400 pruebas analíticas.

Tras hackear el sistema y bloquear el acceso, los ciberdelincuentes pusieron a su merced los servidores de este centro sanitario durante más de 24 horas, donde trabajan 4.500 profesionales y atienden a unas 540.000 personas. Obtuvieron acceso a miles de datos e historias clínicas de pacientes. Un tesoro oculto de la lucrativa industria que roba información y la vende al mejor postor en la web oscura, la parte de la web oculta a los motores de búsqueda tradicionales.

Un día después del atentado al Clínic, los informáticos consiguieron reactivar el acceso a parte de los sistemas afectados y restaurar algunas actividades asistenciales previstas, aunque sólo el 10% de las consultas externas programadas. Fue uno de los ciberataques más grandes contra la infraestructura estatal crítica, que ha paralizado con éxito el servicio de radiología, los exámenes endoscópicos, las extracciones o la atención de oncología radioterápica.

Según la Agencia Catalana de Ciberseguridad, se trataba de un procedimiento “sofisticado y complejo”. Por un lado, los autores han cerrado el acceso a cada nivel del archivo de información y, por otro lado, han encriptado algunos de estos archivos para que no se pueda acceder a ellos. Posteriormente, se supo que el ataque se llevó a cabo gracias a una contraseña débil de uno de los empleados. Una circunstancia obligó a cambiar rápidamente unas 8.000 credenciales e instalar un sistema de autenticación de dos factores (Duplicate Security Factor) para poder acceder al sistema operativo del hospital.

Tres semanas después de este secuestro de datos, el grupo criminal RansomHouse, creado en 2021, apareció en escena reivindicando el hecho y exigiendo 4 millones de euros para devolver los 4,5 terabytes (4,5 millones de MB) extraídos. Como la administración se negó a pagar, los autores publicaron la primera parte de su contenido el 30 de marzo siguiente en la dark web. La unidad de delitos tecnológicos de los Mossos pudo cerrar este acceso, pero en respuesta los autores amenazaron con filtrar información sobre pacientes con “enfermedades infecciosas”. El caso sigue abierto.

En paralelo, otro ciberataque que los analistas consideraron “crítico” se produjo dos meses después, el 11 de mayo. El grupo ruso LockBit, uno de los más poderosos del mundo, responsable de casi un tercio de los “ransomware” a escala mundial, accedió al sistema de la compañía telefónica Euskaltel y amenazó con liberar tres terabytes de información que había sustraído de su base. de datos, pero la operadora de MásMóvil no se dio por vencida. En respuesta, los piratas informáticos publicaron parte de los archivos hace dos semanas en la dark web. El primer paso en su estrategia de chantaje.

118,820
accidentes

Se administró el año pasado, según datos del Instituto Nacional de Ciberseguridad

Esta epidemia de extorsión continuó en 2022 con el ataque a la multinacional Iberdrola Teams, que expuso 1,3 millones de datos de clientes en marzo, y dos meses después entró en el sistema bancario de Laboral Kutxa. Pero esto es solo una pequeña muestra de lo revelado, ya que las empresas no tienen obligación de reportar este tipo de incidentes excepto cuando acceden a datos personales o cuando son operadores primarios y proveedores de servicios digitales.

Empuja y calla

“La mayoría de los afectados pagan aunque no lo digan. Solo tiene que ir a los sitios web de estos grupos y ver cómo desaparecen sus publicaciones antes de la fecha límite para cumplir su amenaza de una fuga masiva de datos robados. Son extorsionadores profesionales que están protegidos por el mundo cibernético”, explica Jorge Lozao, experto en ciberseguridad.

El Instituto Nacional de Ciberseguridad (Incibe) de España gestionó el año pasado 118.820 incidentes, casi un 9% más que en 2021. Fueron provocados por la fuga de datos considerados “sensibles, protegidos o confidenciales”, sustraídos por una persona no autorizada, o debido a algunas vulnerabilidades en los sistemas tecnológicos afectados. Los casos más comunes fueron fraude en línea, con 16,902 incidentes reportados de phishing (correo electrónico que se hace pasar por una entidad legítima con la intención de robar información privada, cobrar dinero o infectar el dispositivo); 14.000 por “malware” (malware que realiza acciones como minería de datos o cualquier otro tipo de cambio de sistema); y 448 incidentes de “ransomware” (robo de datos para aprovechar una brecha de seguridad), como los experimentados por Euskaltel o el Hospital Clinic.

Según el Incibe, organismo del Ministerio de Asuntos Económicos y Transformación Digital, 546 factores críticos y fundamentales también se vieron afectados por las APT: amenazas capaces de explotar vulnerabilidades en los sistemas y sabotear infraestructuras críticas. Los sectores con el mayor número de ataques fueron los seguros y la hostelería, en gran parte debido al gran volumen de datos que manejan.

“Los datos son el centro y la información es oro en el mundo online”, reconocen desde el Centro Nacional de Criptografía, que detalla cómo funciona el mercado negro de la dark web con contraseñas vendidas al mejor postor.

Sin embargo, las empresas no siempre están bien preparadas y los delincuentes son cada vez más sofisticados. Antes se limitaban a cifrar archivos para exigir un rescate (un motivo económico), pero ahora también amenazan con hacer públicos los datos o incluso hacer que la empresa afectada no pueda mostrar sus carencias. “En el caso del Hospital Clínic buscaban vulnerabilidades conocidas o desconocidas por parte de desarrolladores y empresas para robar información. Unos ficheros de datos que se liberan gratis si la víctima no paga”, dice Lozau.

Antenas en la dark web

En un encuentro con periodistas hace dos meses, Carlos Abad, jefe de área de Sistemas de Alerta y Respuesta a Incidentes del CCN-CERT, organismo dependiente del Centro de Inteligencia Nacional (CNI), explicó la importancia de la pandemia y la transformación digital en la actividad del ciberdelito. “El mundo del Covid-19 ha cambiado nuestra exposición a las redes. Huir de casa y trabajar de forma remota ha creado una amenaza creciente. El creciente uso de la nube, que permite almacenar, gestionar y acceder a los datos a través de plataformas digitales sin necesidad de equipos físicos y servidores, nos ha abierto vías de entrada de interés. Los grandes ataques de “ramsonware”, por ejemplo, beben de accesos pasados. Los ataques continúan por el robo de credenciales ocurrido hace varios meses”, señala Abad.

67,322
consultas

Asistencia: 44.331 por teléfono, 17.014 por canales de chat y 5.977 por correo electrónico.

El titular del departamento encargado de velar por la ciberseguridad del país, prevenir el espionaje industrial y brindar apoyo a empresas y organizaciones estratégicas también destaca el giro en la actividad delictiva. “En el mercado negro, los paquetes de credenciales de las entidades o empresas atacadas se venden por varios miles de dólares. Hay ofertas para comprar y explotar esta información”, revela Abbad, cuyos equipos tienen antenas en la internet profunda para intentar anticiparse a los movimientos de los “malos”.

“Cuando el crimen organizado ve una vena, la explotará al máximo. Operan con la impunidad que brindan las redes y servidores en el extranjero, además de las sanciones limitadas. Es una cuestión de costo y beneficio. Es lo que está pasando ahora con el boom de la extorsión electrónica”, añade el experto.

Las predicciones son que los ataques en la nube serán el próximo campo de batalla, aunque Abad admite que en el trabajo de ciberinteligencia “es importante separar el trigo de la paja, porque hay mucho ruido y envenenamiento con algunos ataques”, destaca. Su grupo se centró en la prevención y alerta temprana de accidentes y en dar una respuesta rápida en caso de que ocurrieran. “Si hay un alto nivel de amenaza (en el caso de los ataques a Telefónica en 2017 y 2022 o en la base de datos del Departamento de Justicia en noviembre pasado) desplegamos nuestros equipos en el terreno hasta que se restablezcan los servicios. La investigación puede tomar una semana, pero la recuperación de la información puede tomar meses”.

Actualmente, hay alrededor de 250 organizaciones y empresas estratégicas equipadas con sensores de riesgo de ataque. Algunos escudos para la guerra híbrida que se libra en el mundo cibernético. “En este momento, los datos son el centro, la información es oro y la transformación digital es imparable. En esta ecuación son necesarios tres niveles de ciberseguridad: en la periferia del sistema, dentro de la red o protegiendo los propios datos”, concluye.

Leave a Comment