Hace 21 días hackearon la red del INTA. Según las autoridades, fueron hackers rusos. Pedían 2,5 millones de dólares para restablecer el sistema. Llegaron a afectar 400 puntos de todo el país. Ahora se supo una consecuencia de esa modalidad de delito digital llamado «ransomware».
«Informamos que durante el fin de semana hemos detectado un ataque a nuestros servicios informáticos institucionales. Desde ese momento, hemos activado los protocolos de seguridad». Así el INTA informaba en sus redes el hackeo a su Red, que involucra a 400 puntos de todo el país.
Tres semanas después, el Servicio Meteorológico Nacional (SMN) acaba de advertir sobre posibles «inconvenientes en la emisión de los avisos a corto plazo (ACP)» debido a que «los radares del INTA y aquellos instalados en predios de dicha institución no están disponibles» por el ataque sufrido en sus sistemas informáticos. Igualmente aclararon que esa situación «no modifica la actualización de los alertas o pronósticos».
Voceros del INTA explicaron a Télam que el ciberataque en la red central motivó que «desde el protocolo de seguridad informática se bajaran todos los servicios hasta tanto se pudiera revisar dónde estaba alojado el ransomware».
Detallaron que todo el equipo de informática está desde hace días realizando control, revisión y limpieza de cualquier tipo de intromisión que tuvieran los sistemas en la red central.
«Este problema ya se está terminando de resolver y de a poco se están restableciendo los servicios que brinda el INTA, tanto internos de trabajo como los servicios que brinda hacia la comunidad», agregaron.
Según explicó a LV12 el presidente del INTA, Mariano Garmendia, el sistema «ya se restableció casi todo, prácticamente el 90% del sistema ya está funcionando». Y aseguró que se trata de «hackers rusos» que tienen hasta su propio logo porque «les gusta estar identificados», pero el hecho de que no residan en el país «dificulta cualquier acción penal».
Confirmó que hubo un pedido de rescate, el cual no fue atendido por el INTA: «Nosotros, como Estado, no podemos ni pagar ni prestarnos a ese juego».
Tres radares
Sobre el problema que se mantiene con el Servicio Meteorológico Nacional (SMN) para poder brindar las alertas tempranas climatológicas, desde el organismo detallaron que se encuentra en tres radares ubicados en Pergamino, Paraná y Anguil.
«Por un protocolo de seguridad se decidió cortar la comunicación con el Servicio Meteorológico para que no se produjera ninguna intromisión del grupo que estaba efectuando el ciberataque al SMN también», remarcaron.
Por esa falta de comunicación es que no se cuenta con toda la información que suele poseerse para las alertas tempranas del SMN: «Los radares están funcionando y ya en los próximos días van a estar recuperando la conectividad entre el Servicio Meteorológico y los radares del INTA«.
Sobre el ataque, afirmó Garmendia: «todas las instituciones, lamentablemente estamos sufriendo ataques de hackers y cuando vino esto tuvimos que, lamentablemente, apagar el sistema completo para reestructurarlo y limpiarlo de manera completa para evitar pérdida de información y problemas de distinta índole».
Y agregó: «El INTA tiene más de 400 unidades territoriales a lo largo y ancho del país, que va desde la Puna hasta la Antártida en Base Marambio y Base Esperanza, así que el recorrido para limpiar todo eso tiene su complejidad, pero lo hemos tomado con tranquilidad, responsabilidad, apoyado por Jefatura de Gabinete, por las áreas del sistema del Gobierno nacional y se ha hecho un trabajo muy milimétrico para poder reactivar y restablecer los sistemas de gestión».
El ransomware
El Ransomware, el software malicioso usado para atacar las organizaciones. Así se llama un informe oficial de la Jefatura de Gabinete de Ministros realizado hace un par de años. Allí se relata que el ransomware es un tipo de software utilizado generalmente por los cibercriminales para cifrar archivos o sistemas informáticos.
«El término incluye a todas las formas de código malicioso, como virus y gusanos informáticos. Su finalidad es secuestrar información y, de esta manera, impedir a una persona u organización el acceso a sus datos o dispositivos hasta que se haya pagado un dinero como rescate, que frecuentemente suele ser en criptomonedas para permitir al ciberdelincuente ocultar su rastro», sostienen.
«Si observamos estos ataques, notaremos que las víctimas pertenecen a diversas industrias, tanto del sector público como del privado. Debido a que nadie está exento de convertirse en víctima del ransomware, su propagación lo ha convertido en un gran negocio para los atacantes, provocando pérdidas anuales de cientos de millones de dólares«.
El ransomware se propaga, como otros tipos de malware, por múltiples vías. Algunas de ellas son a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales.
«Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que lo lleve al sitio web del atacante, donde será infectado. De este modo, los atacantes utilizan cada vez más tácticas, como eliminar las copias de seguridad del sistema, que hacen que la restauración y la recuperación sean más difíciles o inviables para las organizaciones afectadas (o en forma local)», resaltan.
Y acotan: «La evidencia demuestra que aparecen nuevas y mejoradas versiones que necesitan de la asistencia de técnicas de ataques, como ingeniería social y otros malware, para ingresar en un sistema. Frente a estas vulnerabilidades, debemos trabajar en la creación de una Internet segura y prepararnos para enfrentar los desafíos de una realidad hiperconectada, creando conciencia y diseñando estrategias de seguridad de la red que sean robustas y actualizadas».
El ataque puede implicar penetración de la red, robo de credenciales para cuentas críticas del sistema, ataques a la consola de administración de copias de seguridad y robo de datos. Este proceso puede tardar semanas o incluso meses en lograrse, y a menudo deja al malware profundamente integrado en los sistemas de toda la organización: «Cuando se completa este trabajo, el ransomware se implementa para cifrar datos críticos, incluido el almacén de copias de seguridad, si es accesible en la red».
Y completan: «Los ataques devastadores de esta naturaleza se están volviendo cada vez más frecuentes, tardando días o incluso semanas en recuperarse, y se estima que la recuperación total no siempre sea posible«.
