5 preguntas para entender el hackeo al sistema argentino de Migraciones

A principios de septiembre resonó en los titulares globales que el Gobierno de Argentina se rehusó a pagar un rescate que exigía un grupo de ciberatacantes. Como resultado, los hackers filtraron datos extraídos de los sistemas de Migraciones, incluyendo datos de agencias gubernamentales internacionales.

La dependencia argentina fue una víctima más de los ataques de ransomware, que, de acuerdo con Gartner, se han exponenciado en los últimos 18 meses. ¿Cuál fue el impacto específico para la Dirección General de Migraciones del país sudamericano? Lo explicamos en las respuestas a las cinco preguntas a continuación:

1. ¿Qué pasó?

Si bien es un hecho que todavía está en investigación, según la información trascendida al momento, el jueves 27 de agosto la Dirección General de Migraciones de Argentina informó que sufrió un ataque informático, que luego se confirmó tratarse de un código malicioso de tipo ransomware.

Según lo que trascendió, se solicitaba un monto entre los $4 y $76 millones de dólares para devolver la información y no hacerla pública, para ello, el rescate debía abonarse antes del miércoles 9 de septiembre.

“Ante el rechazo en hacer el pago por parte de Migraciones, los cibercriminales finalmente publicaron datos sensibles del organismo atacado, incluyendo información de Embajadas, Consulados, la AFI e Interpol, entre otros. Los datos robados fueron expuestos en el blog de NetWalker. En estos días, también se dio a conocer un ataque de ransomware similar en el Banco de Estado de Chile”, señala Leonardo Granda, gerente de Ingeniería de Sophos para América Latina.

“Esta situación de extorsión es algo que se vio en otros casos resonantes de ransomware corporativo, como fue el caso de PEMEX en México, ya que las empresas al contar con mayores capacidades de recuperar la documentación a partir de backups optan por no acceder a las demandas (el consejo por supuesto es no pagar)”, explica Luis Lubeck, especialista en seguridad informática de ESET Latinoamérica. “Según las capturas de pantalla publicadas en el blog de Netwalker, se estima que el ataque se realizó el día 26 de agosto (fecha de cifrado y exfiltración de las carpetas) y se ven al menos 22 carpetas comprometidas, que luego el organismo informaría que se trata de formularios y datos no sensibles”, agrega Lubeck.

Leonardo Granda, Sophos

En todo el mundo, el ransomware cuesta a las organizaciones cantidades abrumadoras debido al tiempo de inactividad, las horas de trabajo, la productividad perdida, los precios de los dispositivos, las oportunidades perdidas y, por supuesto, los rescates pagados. “El costo promedio global para recuperarse del ataque cibernético es de $730 mil dólares. Si añadimos el pago del rescate, la suma asciende a hasta $1.4 millones de dólares”, aseguran desde Sophos.

2. ¿Quién está detrás?

En cuanto a los supuestos de quien está detrás de estos ataques –explican desde ESET– la amenaza comenzó a operar en septiembre de 2019. En marzo de 2020 un usuario con el alias Bugatti publica la oportunidad a otros cibercriminales de unirse al grupo como parte de un modelo de negocio RaaS (Ransomware as a Service) y pone como una de las condiciones el hablar ruso, lo que puede llegar a direccionar al grupo ciberdelincuente para esas latitudes. Ya el 10 de marzo se había visto la misma familia de ransomware provocando la caída del sitio web del organismo de salud pública del estado de Illinois

3. ¿Cuál fue el error de seguridad?

En cuanto a los errores de seguridad, sin dudas hay que evaluar dos circunstancias. Por un lado, el vector de acceso, donde pudo haberse tratado de un ataque de ingeniería social en el que se vulneró un dispositivo, logrando que el usuario accediera a un enlace donde se descargaba el código malicioso, con la consecuente explotación de vulnerabilidades de protocolos de acceso remoto de escritorio, o RDP (muy en alza en estos meses de aislamiento). “Por otro lado, habría que analizar por qué esas carpetas (casi 2 GB de información según se ve en el blog de los atacantes) estaba en un sitio no centralizado y con otras medidas de seguridad. El caso llevó a la desvinculación del director general de Gestión Informática y Tecnología de la Información, Juan Carlos Biacchi”, explica Lubek.

4. ¿En qué situación se está hoy?

El mismo 27 de agosto, la Dirección General de Migraciones anunció, desde sus cuentas oficiales, que había contenido el ataque y estaba trabajando en el restablecimiento de todos los servicios, y según fuera informado no se vio afectada la infraestructura critica del organismo, ni información sensible con la que cuenta el mismo.

Luis Lubeck, ESET

“Finalmente, el miércoles 9 de septiembre venció el plazo y la información fue filtrada públicamente en el blog de los ciberdelincuentes, lo que confirma que no se abonó el rescate. La causa sigue su camino judicial para identificar los responsables tanto externos como eventualmente internos llevada adelante por el juzgado de Sebastián Casanello y el hecho será investigado por la Unidad Fiscal Especializada en Ciberdelincuencia. En apariencia los sistemas solo se vieron afectados en sus operaciones unas horas de manera preventiva, y al día de hoy todo indica que se trabaja con total normalidad”, señala Lubek.

5. ¿Qué se puede hacer para evitar estas contingencias?

En lo que respecta al análisis de detecciones de esta familia de ransomware –explican desde ESET– y en lo que va del año, se observa que la Argentina consolida casi el 75% de la actividad en Latinoamérica, seguida de México (15,64%)

“Es importante, para evitar este tipo de situaciones, entender la seguridad como un sistema complejo y multicapas”, explican desde ESET. No solo hay que contar con sistemas confiables de seguridad instalados, actualizados y bien configurados, sino con un plan continuo de capacitación al personal en materias de seguridad de la información, establecer políticas de actualización de aplicaciones y parches de seguridad (para evitar ataques de explotación de vulnerabilidades) como así también contar con sistemas de respaldo y planes de continuidad de negocio para mitigar el tiempo de respuesta ante un incidente. “Dentro de los planes de seguridad de la empresa se debe contar con la clasificación de la información, así como también la segmentación de ésta en cuanto a en qué dispositivos se introducirá la información más sensible y con qué permisos de acceso, para minimizar también la exfiltración de este material”, puntualiza Lubek.

El ransomware no es nuevo, ha evolucionado y está en constante adaptación. Los ciberdelincuentes lo desarrollan de manera experta para aprovechar los desarrollos tecnológicos y aprovechar sus ataques al máximo, a menudo utilizando tácticas devastadoras para llegar a sus víctimas. “Pero, ¿cómo adelantarse a las amenazas de ransomware del futuro? Lo que muchos no saben es que los firewalls modernos son muy eficaces para defenderse de los ataques de ransomware, pero es importante que tengan la oportunidad de hacer su trabajo”, concluye Granda.