La semana pasada, en este mismo espacio te comenté que en las últimas semanas han surgido versiones sobre graves filtraciones de datos. En mi colaboración te informé que en la dark web se vende “data sensible” de cuatro empresas de ciberseguridad que operan en México. En esa oferta delictiva se incluyen lotes de información de las empresas Deloitte, Bishopfox, KPMG y Scitum.
Distintas fuentes me informan que hay indicios creíbles de un ataque de “insiders” (infiltrados) que robaron dicha data. Hasta el momento, ninguna de las empresas mencionadas ha aclarado o desmentido las informaciones; sin embargo, la situación parece ser más grave de lo que parece.
Sin tener certeza del responsable del robo y venta de la data mencionada, tal parece que el grupo desarrollador de ransomware ALPHV, también conocido como BlackCat, podría ser uno de los atacantes. Este grupo trabaja de una manera colaborativa, pues para llevar a cabo el ataque; requiere del apoyo de un asociado (probablemente un colaborador) infiltrado en las empresas. Este insider debe conocer o tener noción de un punto de acceso a la infraestructura de la empresa objetivo, desde donde se inocula una pieza de ransomware diseñada a la medida, para secuestrar la información.
El insider es una propuesta de negocio que los grupos de ransomware ofrecen a especialistas en ciberseguridad. Estos asociados pueden ser desde analistas externos, o bien un empleado descontento que cuenta con acceso a la infraestructura de la empresa atacada, quienes después reciben una comisión del rescate pagado.
Al respecto, la plataforma de ciberseguridad end-to-end para compañías en América Latina, Metabase Q, afirma que después de realizar una extensa investigación, se puede deducir que el grupo ruso ALPHV/Blackcat ya se ha convertido en una amenaza real y creciente para empresas mexicanas y latinoamericanas.
Este grupo de hackers es el creador del ransomware que en mayo de 2021 secuestró al sistema de gasoductos en los Estados Unidos. También, hace un par de semanas, el grupo ALPHV/Blackcat se atribuyó la responsabilidad de un ataque contra Creos Luxembourg, un operador de red de gas natural y electricidad, propiedad del grupo Encevo, que opera como proveedor de energía en cinco países de la Unión Europea.
Metabase Q, fundada y dirigida por Mauricio Benavides, explica que a poco más de un año de los primeros ataques, ALPHV/Blackcat ha sumado dos tipos de extorsión adicionales. El primero es el típico DoS o ataque de denegación de servicio contra los portales web o infraestructura en la nube. El otro es la colocación en internet (indexación) y abierta al público, de toda aquella información que fue robada, desde documentos, archivos, perfiles, etcétera. Por eso cualquier persona con acceso al sitio del grupo cibercriminal puede buscar credenciales (usuarios y contraseñas) a sistemas específicos, planos, proyectos, directorios o más.
Según la empresa de ciberseguridad, México es uno de los países más afectados de Latinoamérica por los efectos de ALPHV/Blackcat. Más de 40 empresas han sufrido de ciberataques por este ransomware principalmente en la Ciudad de México, Guanajuato, Chihuahua, Nuevo León, Jalisco y el Estado de México. “Al acceder a los portales de venta de información robada se encontraron diversas empresas mexicanas de los sectores financiero, energía, tecnología, manufacturero, construcción, farmacéutico, e incluso gubernamental”, dice Metabase Q. Se sospecha que el sector jurídico es el más afectado, con una filtración estimada de 2.7 terabytes de información robada.
Son más de mil empresas afectadas; sin embargo, la última empresa mexicana de la cual se tiene conocimiento fue atacada el 24 de mayo de este año. Según Metabase Q, la ciberpandilla filtró el contenido. Sin embargo, poco después lo retiró, por lo que se sospecha que pagó el rescate. Muchas empresas pagan el rescate a tiempo, por lo que no se sabe con exactitud el número de víctimas de este ciberdelito. Se sabe que los montos más comunes que solicita ALPHV superan 2.5 millones de dólares.
Sin embargo, tanto Metabase Q, como cualquier empresa de ciberseguridad, incluso este reportero, siempre recomendamos no pagar el rescate, pues se envía la señal de que este tipo de actividades son rentables y con clientes seguros. Como puedes ver, no se trata de una simple y aislada filtración de información, sino de todo un nuevo, rentable y bien diseñado modelo de negocio (ilícito), que en México ya cobró varias víctimas. Y nadie dice nada.
Fichaje
Sebastián De Lara, experto en políticas públicas de tecnología, se unió a Belvo como director de Políticas Públicas. El nuevo directivo chambeará fuerte para que los gobiernos latinoamericanos impulsen el uso de finanzas abiertas y detonar la inclusión financiera en la región. Belvo es una empresa de tecnología enfocada en democratizar el acceso a servicios financieros en América Latina por medio de APIs (Application Programming Interface); con presencia en Brasil, Colombia y México. En concreto, De Lara trabajará con organismos reguladores para acercar los servicios financieros a los ciudadanos más olvidados de cada país.
Suscríbete aquí para recibir directo en tu correo nuestras newsletters sobre noticias del día, opinión, planes para el fin de semana, Qatar 2022 y muchas opciones más.
Twitter: @hugonzalez0