Expertos entrevistados por PRIMICIAS coinciden que lo ocurrido el 14 de julio fue el último punto de un ataque que, presumiblemente, inició hace meses. CNT pide esperar los resultados de las investigaciones con la Fiscalía.
Nota actualizada a las 09:30, del 30 de julio de 2021, con el pronunciamiento de CNT.
La ministra de Telecomunicaciones, Vianna Maino, confirmó, el 22 de julio, que la Corporación Nacional de Telecomunicaciones (CNT) había sido víctima de un ciberataque, es decir, un ataque externo a los sistemas de la empresa, pero se guardó los detalles.
Y aunque reconoció que se trató de un ataque "sumamente agresivo", dijo que no fue secuestrada "la información y no se ha hablado jamás de dinero en ningún tipo de moneda" para rescatarla.
Maino aseguró, a renglón seguido, que los sistemas fueron restablecidos y descartó un "contagio" que se extienda o haya extendido a otras entidades estatales.
Seis días después de estas declaraciones, la misma funcionaria anunció que la empresa de telecomunicaciones de capital estatal sería declarada en emergencia.
¿Cuál fue el real impacto real del ataque informático y qué tan protegidos están los datos de los ciudadanos que, se supone, son custodiados por CNT?
Tras el último ataque masivo de hackers, en septiembre de 2019, el Gobierno anunció que centralizaría la información de las personas que se hallan en las bases de datos de las entidades públicas, con el argumento de que de la Corporación podía protegerlos mejor.
Hasta ahora, la CNT ha optado por dar información escueta. Se sabe que se trató de un ataque externo de ransomware EXX y que el virus atacó al sistema informático, alterando las áreas de facturación, activaciones y recargas.
Según la versión oficial, la noche del 14 de julio de 2021, se habría iniciado el ciberataque contra los sistemas de CNT. El ransomware EXX puede vulnerar diversas instancias como el sitio, la red, las bases de datos y sistemas informáticos.
Ransomware
La versión oficial acerca de lo que realmente sucedió con CNT deja muchos vacíos. El primero: cómo pudo darse el ataque y qué tan seguros estaban realmente los datos.
Según la empresa de ciberseguridad ESET, el ransomware es un software que los ciberdelincuentes usan para bloquear un dispositivo o cifrar su contenido para extorsionar al propietario o al administrador, a cambio de una promesa sin garantías de recuperar el acceso.
Es un secuestro de datos por el que los delincuentes piden rescate.
Iván Ortiz, profesor de Ingeniería en Tecnologías de la Información de la Universidad de las Américas (UDLA), dice que lo sucedido en CNT podría verse desde distintos ángulos.
"Pudieron usar técnicas de phishing, ingresando a la infraestructura con un disco duro externo, una memoria, a través de correos electrónicos o incluso con ingeniería social", dice el experto.
El phishing es una forma de ataque en la que los ciberdelincuentes utilizan el correo electrónico para robar datos del usuario o institución.
Ortiz explica que los ciberdelincuentes crean el código malicioso, pero dicho código debe ingresar de alguna manera a la infraestructura atacada.
El código es un conjunto de datos e instrucciones en un paquete que se envía en un programa para buscar vulneraciones en las máquinas e infectarlas.
"Sabemos que un ataque de estos funciona de igual forma aquí, que en China, que en Europa y que en todo lado", añade.
"Planificar el ataque podría tomar semanas o meses, no es una cuestión de días".
Iván Ortiz
Alfredo Velazco, director de Usuarios Digitales, también considera que el ataque pudo darse por posibles vulnerabilidades de los sistemas de CNT.
"No es un tema reciente, estimo que este ataque ya tiene mucho tiempo, que lo que hace es seguir penetrando y encriptando poco a poco la información", dice.
Por eso, aunque la ministra aseguró que los datos de los usuarios y las empresas que trabajan con CNT están seguros, en redes sociales circulaban fotos con supuesta información filtrada.
"En redes sociales se puede ver información que habría sido filtrada, se dice que son cerca de 11 gigabytes los comprometidos de los casi 200 que tiene CNT, pero eso no se puede confirmar aún", añade.
La estatal CNT insiste en que el ataque y el tipo de ransomware está controlado y aislado. "De momento, dijo en una comunicación dirigida a PRIMICIAS, se trabaja conjuntamente con la Fiscalía en los análisis forenses y legales correspondientes para llegar a los responsables y fuentes".
La entidad también hizo una advertencia y una recomendación a los usuarios sobre las fotos y links que circulan en la deep web: Generalmente son trampas de los delincuentes para que otras personas se infecten y propaguen el virus, por ello es recomendable que no se accedan a esa información o supuestos datos filtrados.
¿Dinero a cambio?
El segundo vacío en la versión oficial tiene que ver con el supuesto pedido de dinero hecho por los atacantes a CNT.
Durante la rueda de presa del 22 de julio, la ministra Maino dijo que no se había requerido un rescate por la información.
Según dijo, el 14 de julio, día del ataque, les llegó una solicitud de rescate automáticamente. Después de eso, dijo, ni CNT ni el Gobienro han recibido llamadas ni pedidos de dinero.
Solo que, según los expertos, el objetivo principal de un ataque de ransomware es, precisamente, ese.
Gabriel Llumiquinga, docente de la Maestría en Sistemas de Información de la Universidad UTE, explica que el ataque de ransomware con el tiempo pasó de solo pedir dinero para devolver la información a tener un doble sentido de extensión
"Ahora aparte de pedir el rescate también se pide dinero por no hacer pública la información".
Llumiquinga explica que el mensaje llega de manera inmediata tras la vulneración, "en ese mensaje se establece las indicaciones para poder recuperar la información".
"No he visto que el delincuente secuestre la información y haga una llamada a la entidad afectada para negociar, ese no es el modus operandi del ataque de ransomware", explica el experto.
La estatal si bien reconoce que una de las características de este tipo de malware es notificar por parte de los ciberdelincuentes hacia las víctimas un rescate; "debemos insistir que no ha existido contacto alguno con los atacantes".
De servidores locales a nubes internacionales
El tercer vacío en la versión oficial se produce tras el anuncio del Gobierno sobre declaratoria de emergencia institucional en la empresa pública.
Maino anunció que propondrá una reforma legal que permita alojar la información estatal en nubes internacionales de alta seguridad y no solamente en servidores físicos locales.
Un experto consultado por PRIMICIAS, y que pidió la reserva de su nombre, dijo que está declaración genera más dudas porque al principio la ministra de Telecomunicaciones aseguró que toda la información estaba segura.
"Los servidores de CNT son tipo Tier III, es decir tienen certificación de que cuentan con estándares internacionales de seguridad... parece ser más grave de lo que comunican".
Además, explica que tener "afuera" los datos no es sinónimo de invulnerabilidad, "nada es completamente hermético en estos sistemas".
También le puede interesar:
Lo último