Hackeos extorsivos es un concepto que empezó a circular con fuerza hace un tiempo. Este martes cobraba cuerpo y gran relevancia mediatica. No solo por la vulneración que desde el jueves sufre la empresa Bizland, proveedora de las plataformas de tarjetas prepagas de transports en cuatro provincias, y de la famosa red Farmalink, que vehiculiza los descuentos a pacientes de al menos 100 obras sociales y prepagas. Asimismo, por los ciberataques que en las últimas semanas padecieron dos organismos descentralizados del Estado, información que prácticamente no trascendió: la ANMAT y el INTA. ¿Quiénes, por qué ya través de qué «patógeno» llevan a cabo los hackeos extorsivos?
Mientras millas de consumidores y farmacéuticos transitaban este martes una pequeña pesadilla para aplicar los descuentos correspondientes según el prestador (situación que se ne resolviendo con varios mecanismos ad hoc), Clarín He utilizado la empresa Bizland, provedora de la redes Farmalink y redBus, el sistema de boleto prepago (tipo SUBE) que se utiliza en las provincias de Córdoba, Tucumán, Salta y La Rioja.
Desde la compañía confirmará que la vulneración ha conocido la plataforma de transporte «ya fue resuelta», pero al cierre de esta nota todavía lidiaban con el extorsión hackeo un Farmalink. Espero mantener la vulnerabilidad resuelta este miércoles, a más tardar.
«Los delincuentes atacaron tiene un probador o internacional de Bizland, intrusión que afectó a los sistemas de comunicación. Por eso impactó en el esquema de validación de descuento de medicamentos”, explicó.
Agregaron que «el ataque a ese proveedor internacional afectó a varias compañías importantes de primer nivel en el mundo».
En todo caso en Bizland, «la empresa se abocada a la recuperación del sistema. Una vez superada la contingencia, se hará un análisis más profundo. Ya se recuperó el sistema de almacenamiento y los datos contenidos en él”.
Lo más importante, aseguraron, es que “esta recuperación se consigue de manera íntegra sin pédida ni vulneración de los datos”.
Una duda lógica que surge ante una contingencia como esta es para que uno o muchos hackers querrían meter las drogas en una plataforma de gestión de descuentos de medicamentos. Es decir, eso es un ataque exorbitante.
Las formas creativas de extorsión
«No me gustan las analogías», aseguró Javier Samaldone, consultor informático y una fuente reconocida dentro de su ambiente. Sin embargo, la gana la practicidad y apela a las imágenes comparativas.
Luego de varias charlas con él (por estos ciberataques, por otros perpetrados al Ministerio de Salud en el último tiempo) queda bastante claro que los virus informáticos son rigen por un lógica not tan distante de la de los virus biológicos: hay un código, hay un ingreso, heno replicación, heno infección.
Además, el propósito que mueve a las bandas criminales es comparable a cualquier otra actividad ilícita en busca de una recompensa económica.
Así que, la historia es conocida: los malos buscan dinero, pero en lugar de secuestrar a una persona y pedir un rescate, Secuestran información, bases de datos, elementos intangibles pero muy sensibles o preciados, en la mayoría de los casos, y demanden, ¿qué cosa? Bitcoins.
“No… ¡el sistema bancario no lo usaremos jamás!”, descartó Smaldone, e hizo una distinción importante: “Suelen ser bandas internacionales organizadas. No son hackers que encuentren una filtración. Son verdaderas organizaciones, muchas veces asentadas en Rusia o en países bajo el ala de ese país”.
Qué virus afectó a la red de farmacias
En el caso de Bizland, este medio pudo confirmar con una fuente alegada a la compañía que trató el ransomware Lockbit. Quiere decir que el virus es del «linaje» ransomware, para usar una analogía pandémica, y que lo fabrica (si cabe decirlo así) la banda delictiva Lockbit.
Para seguir con los tecnicismos incomprensables, la vulneración tiene las características de un «día cero«, O «día cero”.
Vamos de la mano de Smaldone: «Todo software tiene errores, que en algún momento pueden implicar problemas de seguridad porque, si yo lo detecto antes que quien dearrolló el programa, podría hacer que hiciera algo diferente de aquello para lo que fue diseñado».
Hasta acá es fácil: si un hacker ha detectado un error o hueco, tiene tres opciones por delante: «La primera, reportarla. Las empresas suelen dar una compensación a quienes les reportan estos errores porque justamente evitan grandes ciberataques».
La segunda es «aprovecharse de ella, explotarla». La tercera, apuntó Smaldone, “venderla”.
«Obviamente, los hackers suelen apelar a la primera ya la tercera», explicó, insistiendo en separar al hacker común, que quiere monetizar su actividad pero no obstante no hacer daño, de las bandas criminales detrás de los ciberataques grandes.
ANMAT e INTA, en la mira
Antes, de seguir, volvamos al INTA ya la ANMAT, y que la palabra «extorsión» quedó también ligada este martes a esos dos autárquicos organismos estatales, que sufrieron importantes hackeos.
Al cierre de estas líneas era imposible dimensionar la magnitud del daño de esos ataques, ya que las autoridades correspondientes no dieron detalles.
Sí es un hecho que pasaron semanas desde que ocurrieron esos eventos y que cuando se terminó esta nota, no habian sido resueltos.
También, en el caso del INTA, extendió la solicitud de rescate para $2.5 millonessegún consignó el medio especializado bichos de campo.
Voceros del INTA confirmó una Clarín el ataque, pero comentó que «por cuestiones de seguridad» no pudo aludir a los avances de la investigación, más allá de que están ocupando el tema (hicieron una denuncia ante el Equipo de Respuesta ante Emergencias Informáticas nacional, o CERT.ar) y de que están «avanzar en la recuperación de los sistemas».
Cuenta en ANMAT, Clarín No hay manera de obtener precisiones en este sentido, pero hay una investigación de oficio iniciada por la Unidad Fiscal de Ciberdelincuencia (UFECI), según confirmó a este cronista horacio azzolinal mando de esa dependencia judicial.
Que es un dia cero
«Día cero es la expresión que se usa para hablar de una vulnerabilidad que todavía no fue detectada por quien envió el software; solo la conoce quien la encontró”, dice Smaldone.
La fuente reservada que habló con Clarín Seguro que el de Bizland será un caso de «día cero»lo que explica el declive en la restauración del sistema, además de las dificultades generadas.
Volviendo al tipo de virus específico, la particularidad del ramsomware es la siguiente: «El daño que provocan es encriptar o cifrar los archivos. Podés acceder a ellos, tal vez, pero te aparecen caracteres erráticos, basura, y todo se vulve ilegible. Quien vulneró la información puede acceder porque sabe cómo rearmar todo, pero vos no. Y te deja una notita de rescate: ‘If querés recuperar tus cosas, me tenés que pagar tanto en criptomonedas’”.
Llaves de bloqueo
Según Smaldone, la implicancia de que todo esto proviene del seno de Lockbit no es buena: «Además del activado, los delincuentes hacen una filtrado de archivos: copiar a un servidor controlado por esa gente todo lo que vos tenías. Entonces aplica una doble extorsión”.
“Te dicen: ‘Me tenés que pagar para que desencripte la información y, además, para evitar la publicación o difusión de tus cosas’”, apuntó.
En Bizland aseguran que los ciberdelincuentes no copiaron ninguna base de datos sensibles. ¿Es posible, si fuera este el escenario?
¿Y en el caso de ANMAT o el INTA? Tampoco se pueden averiguar detalles. Smaldone critica la falta de información: «La ley europea te obliga a, en 72 horas, comunicar todos los detalles de un ciberataque. Acá no hay obligación y además las organizaciones suelen negar o minimizar los daños».
¿Una característica más de Lockbit? «Son criminales altamente organizados que incluso tienen una modalidad de tercerización de la infección”.
Daño grande, movida chica
“Hay varias opciones sobre cómo enviar un virus a una computadora: alguien hizo clic en un enlace que no debía, en un correo electrónico; alguien aprovechó una vulnerabilidad del sistema y lo inyectó desde afuera, o alguien vino con un pendrive y lo metió desde adentro”, destacó el experto.
Volviendo a la tercerización del ciberataque (¿el autor material, quizás?), «los criminales se asocian a un tercero que les dice ‘vos me das el virus, lo implanto y, cuando te paguen el rescate, me pagás’. Se ahorran el trabajo de penetrar en el sistema”.
Uno a esta altura se pregunta si algo de esto podría evitarse. Smaldone, realista y muy gráfico, no fue muy alentador: «Los sistemas hijos vulnerables en todos lados. Samsung, Sony… empresas tecnológicas de primer nivel sufrieron ataques de ransomware. Es como los cuernos. A todos se los ponen en algún momento”.
PD