El ataque comenzó el 10 de noviembre del año pasado.
Un mensaje apareció en las pantallas de varias computadoras en las oficinas de Petróleos Mexicanos (Pemex) en la Ciudad de México, que aseguraba que la red de la empresa petrolera nacional, la más endeudada del mundo en su ramo, había sido penetrada y que todos los archivos de los dispositivos infectados habían sido puestos ‘bajo llave’ con un algoritmo que solo los atacantes podían descifrar.
Hasta arriba de la pantalla, en rojo, aparecía el nombre ‘DoppelPaymer’. La URL, es decir, la dirección de origen del mensaje era una larga liga sin sentido, al menos para el usuario común de Internet: http://q7wp5u55lhtuafjtsl6lkt24z4wvon2jexfzhzqqfrt3bqnpqboyqoid.onion/order/cce05568-02fc-11ea-94b8-00163eea179c.
“En la URL está la clave”, asegura ‘Manuel’, un hacker quien debido a la naturaleza ilegal de algunas de sus actividades pidió el anonimato para colaborar en este texto. “La terminación .onion es común en los sitios que residen en la Deep Web, el ataque era un ransomware”.
Deep Web, ransomware, URL, DoppelPaymer. Todo suena a ciencia ficción o, al menos, completamente ajeno para la gran mayoría de las personas y empresas cuya actividad no está relacionada directamente con las tecnologías de la información. Sin embargo, son términos que para mala fortuna de un número creciente de víctimas de ciberataques se han vuelto cada vez más comunes. Si no, pregúntenle a Pemex.
Un ransomware es un tipo de virus que localiza archivos importantes en los sistemas o computadoras, los aísla y encierra con algoritmo, o llave, que solamente puede ser abierto por el atacante. Se trata, en otras palabras, de un secuestro de datos digital. Los ataques de ransomware generalmente penetran las computadoras más o menos al azar, luego usan un programa de software de propagación automática para sumergirse más en la red corporativa.
“Es un mecanismo de ataque muy común, porque en la red hay disponibles muchos programas que permiten, muy fácil, atacar un sitio”, explicó Manuel. “No hay que ser ingeniero o hacker para usarlos, solo hay que saber leer y seguir instrucciones”.
De acuerdo con la firma de ciberseguridad ESET, en el año que concluyó en noviembre de 2019, 56 por ciento de las empresas en México habían sufrido algún tipo de ataque cibernético y de ellos, 50 por ciento fue algún tipo de secuestro de datos. Esa cifra pone al país como el segundo en América Latina, solo detrás de Perú, como el que más ataques de ese tipo padeció.
Según Kaspersky, hasta el año pasado se habían detectado 7 mil 620 tipos de ransomware en la red, mientras que las empresas y personas que trabajan por cuenta por propia no están actualizadas en sus sistemas de seguridad para hacer frente a más de la mitad de ellos.
Pemex, pese a su tamaño y contar con el respaldo de las autoridades federales, fue un ejemplo de ello.
El mensaje que recibió la empresa productiva del Estado señalaba que tenían 14 días antes de que el link quedara eliminado y, con ello, los archivos que habían sido capturados se harían públicos o serían destruidos.
“Todos los archivos han sido encriptados con un algoritmo fuerte. Los respaldos también fueron capturados y borrados. No hay un software disponible para evitar el secuestro. No renombren los archivos .text”, decía el mensaje que apareció en los sistemas de la empresa. “También tenemos toda su información privada. Si decide no pagar, haremos pública esa información y se dañará la reputación de su empresa”.
A cambio de liberar los archivos, los atacantes pedían 565 bitcoins, equivalentes a 4 millones 975 mil 825 dólares. De esa forma se le exigía a Pemex el segundo rescate más grande de la historia para un ransomware.
“Ese ransomware tiene la huella de un grupo criminal italiano”, afirmó Manuel, aunque no presentó más evidencia de ello. “El ataque fue por meses, primero con un troyano (una especie de virus) que desvió la atención de la seguridad y de ahí se fue colando el ransomware”.
Manuel habla en términos poco comunes, pero su mensaje es contundente: si le pasó a Pemex, una compañía estratégica, no solo para la economía del país sino para la seguridad nacional, cualquier empresa está bajo riesgo, especialmente en estos días.
“El Covid-19 es un terreno fértil para ese tipo de cosas”, aseguró el hacker. “Empresas trabajando a distancia, empleados manejando información delicada sin firewalls o medidas de prevención adecuadas, videollamadas en sitios que no encriptan toda la información, carajo, es un paraíso”.
Según un análisis realizado por la firma de ciberseguridad Silikn, las empresas en México son atacadas, en promedio, mil 116 veces por semana, un 130 por ciento más que en el resto del mundo. Alrededor de 60 por ciento de las compañías en el país enfrentan la pérdida de datos y la filtración de información.
En los últimos tres años, el número de ciberataques de alto perfil se ha incrementado, sobre todo porque varios de ellos han estado muy cerca de cumplir con su cometido.
Por ejemplo, en marzo de 2018 un grupo de hackers, presuntamente norcoreanos, intentó robar 110 millones de dólares del Banco Nacional de Comercio Exterior (Bancomext). En febrero de 2019, CI Banco tuvo un ataque de malware que limitó los servicios de la institución. En el caso del ransomsware a Pemex, casi 5 por ciento de la red de la petrolera estuvo comprometida por el ataque. Y más recientemente, Banco de México reportó que en abril detectó también un intento de secuestro de datos en el sistema financiero, aunque no reveló el nombre del objetivo de los hackers.
“Pocos toman en serio la amenaza”, afirmó Manuel. “Hasta que ya es tarde”.
Las empresas que enfrentan ataques de ransomware suelen acudir con especialistas para limitar su daño, sin embargo, hay otras que además han tenido que recurrir a soluciones ‘creativas’ para evitar pagar por la ‘liberación’ de su información.
El 19 de marzo de 2019, cerca de la medianoche, hora de Oslo, las computadoras del fabricante de aluminio Norsk Hydro ASA comenzaron a encriptar archivos. Pasaron dos horas antes de que un trabajador en su centro de operaciones en Hungría se diera cuenta de lo que ocurría. Siguió el protocolo de seguridad y desconectó toda la red de la compañía, incluido su sitio web, sistema de correo electrónico, nómina y todo lo demás. Para entonces, el daño estaba hecho.
Quinientos servidores de Hydro y dos mil 700 computadoras se habían vuelto inservibles, y una nota de rescate apareció en los monitores:
“¡Saludos! Había una falla importante en su sistema de seguridad. Agradezca que la falla fue explotada por personas serias y no por novatos, que habrían dañado sus datos por error o diversión”. El mensaje pedía negociar un pago no especificado, que tendría que hacerse, como en el caso de Pemex, en bitcoins.
Como la mayoría de las grandes multinacionales, Hydro estaba consciente de la posibilidad de un ataque. Tenía una póliza de seguro cibernético y había probado la fortaleza de sus defensas. “Éramos una empresa con un sistema de seguridad normal”, dice el director de información, Jo De Vliegher.
No fue suficiente. Al final, el ataque le costaría a la compañía más de 60 millones de dólares, mucho más que lo cubierto por la póliza. Fue, según el fiscal que investiga el secuestro, el peor ciberataque en la historia de Noruega.
A pesar de todo esto, Hydro nunca consideró pagar el rescate, porque los hackers podrían haber tomado sus bitcoins y desaparecer. Incluso si hubieran facilitado la clave, e incluso si la clave funcionara, habría enviado el mensaje de que Hydro era un blanco fácil, dejándola expuesta a futuros ataques y más extorsión.
La compañía tuvo que improvisar con computadoras antiguas, máquinas de fax, post-it y todo tipo de tecnologías analógicas, exponiendo la dolorosa realidad que los consultores de seguridad y las autoridades a menudo mencionan: incluso cuando haces todo lo posible para protegerte de un ciberataque, el adversario casi siempre podrá causar estragos. En otras palabras, no se trata tanto de cómo evitar que los hackers ingresen, sino cómo sobrevivir mejor al daño inevitable.
Tras descubrir el ataque, Hydro necesitaba alertar a clientes, proveedores, empleados e inversionistas, pero el sitio web de la compañía no funcionaba. Entonces, un empleado del equipo de comunicaciones usó su teléfono celular personal para hacer una publicación en la página de Facebook de la compañía: “Hydro está actualmente bajo ciberataque. La información sobre la situación se publicará en Facebook”.
Dado que los bancos se negaban a comunicarse digitalmente con la empresa, temiendo que lo que hubiera infectado la red de Hydro se propagara, el pago de nómina fue otro reto. De todas las operaciones que Hydro tiene en el mundo, el daño más grave se registró en Cressona, Pensilvania, donde la compañía opera su mayor planta de aluminio.
El 18 de marzo, Michael Hammer, gerente de la planta de Cressona, recibió una llamada del vicepresidente de gestión de riesgos de Hydro. “Lleva a tu gente a la planta”, recuerda que le instruyó. “Impriman tantas cosas como puedan antes de que desconecten los servidores”.
En circunstancias normales, su planta emplea a mil 180 personas, funciona las 24 horas los 7 días de la semana y produce unas mil 180 toneladas de aluminio al año. Entre sus clientes están Tesla y Ford Motor.
Sin acceso a los archivos de pedidos, los técnicos no tenían idea de qué hacer. Así que comenzaron a llamar a los clientes para pedirles que enviaran los pedidos a teléfonos o correos electrónicos personales. A medida que las órdenes comenzaron a llegar, la única forma de saber qué hacer era que cada empleado involucrado en la producción tuviera una copia en papel de cada orden. Afortunadamente, la planta tenía una pila de computadoras viejas almacenadas, que Hammer instaló en una sala para imprimir las órdenes. “Fuimos a la tienda y prácticamente la vaciamos de impresoras, papel y cartuchos”, cuenta.
Nadie ha descubierto quién atacó a Hydro, pero los indicios apuntan a un grupo de cibercrimen organizado que opera con impunidad en algún lugar de Europa del Este. El grupo llegó a los titulares el año pasado por hackear sistemas de puntos de venta para robar números de tarjetas de crédito. Conocido por los investigadores de seguridad como FIN6, a menudo consigue cientos de miles de dólares por rescates pagados en bitcoin. ‘Fin’ alude a las motivaciones ‘financieras’ de la banda, para diferenciarla de los hackeos con propósitos militares perpetrados por grupos afiliados a países con programas activos de armas cibernéticas, como China, Corea del Norte, Rusia y Estados Unidos.
En el caso de Hydro, los atacantes obtuvieron acceso secuestrando un correo electrónico legítimo de un cliente italiano. El cliente había adjuntado un archivo, que los hackers modificaron. Cuando el 5 de diciembre alguien abrió el archivo, se ejecutó el código malicioso, permitiendo a los invasores acceder a toda la red. Esperaron hasta marzo para lanzar su ataque. La compañía no sabe si los hackers primero vulneraron la seguridad del cliente o si el mensaje fue interceptado y modificado en el camino.
Los investigadores de Kripos, el equivalente noruego del FBI, y de la Europol, la agencia policial de la Unión Europea, todavía están analizando terabytes de datos de ese ataque.
No son especialmente optimistas sobre lograr un arresto. Los delincuentes informáticos usan aplicaciones cifradas y aceptan pagos en criptomonedas, lo que hace que las herramientas policiales tradicionales, como las escuchas telefónicas y las órdenes de cateo, sean inútiles.
Hydro tuvo que reconstruir toda su red desde cero. Paranoicos ante cualquier otra intrusión, prohibían incluso la entrada al personal de limpieza al área donde trabajaban los programadores.
La reconstrucción significaba crear una zona segura de computadoras que definitivamente no tenían el virus y mover lentamente a la nueva red otras máquinas que habían sido verificadas como “limpias”. El progreso fue lento. A tres semanas del ataque, Hydro tenía un total de cuatro PC en funcionamiento en todo Estados Unidos.
Los empleados en Francia de Hydro establecieron una línea de montaje improvisada para ensamblar nuevas PC no infectadas, y crearon una especie de cadena humana para transportar las PC por toda Europa.
La mayoría de las cosas ya habían vuelto a la normalidad cuando un reportero de Bloomberg Businessweek visitó a la compañía en septiembre pasado, pero aún no se había recuperado por completo. En Magnor, Noruega, los empleados habían perdido el acceso al software que opera su línea de producción. Afortunadamente, una planta similar en Dinamarca se salvó del ataque y un empleado envió una copia del programa en una memoria USB. El electricista de Magnor, que en sus ratos libres trabaja como técnico de TI, descubrió cómo instalar la nueva copia. El software funciona bien, aunque todo está en danés.
El secuestro de datos es algo serio, que no te pase a ti también.
Fuente.-