Ciberguerras y ciberataques en el Mundo
-
Severo ciberataque a grupo mediático alemán desvela "modelo de negocio"
Funke, uno de los grupos mediáticos más grandes de Alemania, fue atacado por hackers durante la Navidad. Una práctica cada vez más común que se ha convertido en un modelo de negocio.
Uno de los grupos mediáticos más grandes del mundo germanoparlante fue víctima de un ciberataque continuado durante los días de Navidad, obligando a varios periódicos a cancelar sus ediciones u ofrecer alternativas de "emergencia”. El ataque, que parece continuar, empezó el martes pasado.
El grupo Funke, que publica decenas de periódicos y revistas y posee varias emisoras de radio locales, así como portales de noticias digitales, dijo en lunes que 6.000 de sus computadoras habían sido "potencialmente infectadas” en el ataque, que ha afectado a varios sistemas informáticos de todas sus oficinas en Alemania.
Andreas Tyrock, editor jefe del diario Westdeutsche Allgemeine Zweitung (WAZ), propiedad de Funke, añadió en un comunicado que el "colosal” ataque había encriptado datos de sus sistemas informáticos, dejándolos "imposibles de usar por el momento”.
Todos los sistemas informáticos tuvieron que ser desconectados para prevenir mayores daños, lo que significa que "todos los sistemas editoriales y la tecnología de producción de periódicos han sido apagados y hasta el trabajo en remoto es actualmente imposible”, dijo Tyrock. "Las páginas del periódico se hacen esencialmente a mano, en muchos lugares desde casa”.
Una red en cuarentena
El grupo no hizo declaraciones sobre las informaciones periodísticas de que los hackers habrían pedido un rescate en bitcoins. La Fiscalía y la Policía están llevando a cabo una investigación, mientras Funke dice que sus expertos informáticos intentan para poner en marcha una "red en cuarentena” de computadoras intactas y un sistema para seguir trabajando.
Los ataques de este tipo son un escenario de pesadilla para una empresa como Funke, que emplea a 6.000 personas por toda Alemania, pero tratar de evitarlos se ha convertido en una rutina diaria, según los expertos.
"Esto pasa constantemente y ahora se ha convertido en un modelo de negocio”, dice Thorsten Urbanski, jefe de comunicación de la firma internacional de ciberseguridad ESET. De acuerdo con Urbanski, una red internacional de hackers, que a menudo no se conocen entre ellos, puede llevar a cabo conjuntamente un ataque. Normalmente lo hacen entre tres y 20 hackers, según el ataque.
Estados también detrás de ciberataques
"Estamos hablando de estructuras profesionales, a veces con actores estatales detrás”, explica a DW. "Es enormemente lucrativo y se organiza la división del trabajo: un equipo lo desarrolla, otro lo distribuye y luego hay un servicio de pago que lo procesa, normalmente en bitcoins.
Un ataque de este tipo, llamado ransomware, solo necesita de un empleado que abra el correo electrónico equivocado con al archivo equivocado. A menudo estos e-mails tienen apariencia inocua y parecen plausibles: una estrategia muy común es una solicitud de empleo con un presunto currículum en formato Word o PDF, pero a veces también tienen forma de facturas, pr ejemplo.
"En realidad no es tan sofisticado”, sostiene Christian Beyer, de la compañía de seguridad alemana Securepoint. "Abres el documento Word, el documento contiene un macro y el macro descarga el malware (programa malicioso) de internet”. Un macro contiene instrucciones para el ordenador.
Programas maliciosos imposibles de seguir
El malware se instala en la computadora del empleado y rápidamente encuentra una manera de infiltrarse en toda la red. Y lo que es peor: estos programas pueden permanecer latentes durante meses antes de activarse y empezar a encriptar datos, lo que significa que los informáticos de la empresa a menudo no pueden trazar el rastro de la "infección” inicial.
Hay muchas empresas de seguridad que crean herramientas para ayudar a filtrar e-mail de ese tipo, pero un solo error humano puede dar ya acceso al malware. "El desafío es hacerlo tan difícil que no les valga la pena la operación”, dice Urbanski.
Beyer afirma en entrevista con DW que el ataque a Funke no es novedad alguna: "Hemos estado viendo ataques como este desde 2011 o 2021”. El experto agrega, eso sí, que "se han vuelto más sofisticados con el tiempo y han encontrado diferentes puntos débiles”. Al principio, los ataques tenían como objetivo partes de un sistema informático que eran accesibles desde internet, mientras que ahora cada vez más intentan engañar a los empleados. "Hay miles de ataques cada día”, sostiene.
Bloqueos con ciberataques pueden costar vidas
Estos ataques pueden ser extremadamente peligrosos: en septiembre de 2020, un ciberataque golpeó sistemas críticos del Hospital Universitario de Düsseldorf, en el oeste de Alemania. De acuerdo con informaciones perioodísticas, el objetivo de los hackers era en realidad la universidad de la ciudad. Según los medios, dieron el código de desencriptamiento cuando la Policía les dijo que había vidas en peligro. En efecto, una mujer murió tras el bloqueo del sistema que la asistía. Se cree que, en el caso de Düsseldorf, la infección inicial ocurrió nueve meses antes.
Pero el caso probó que los hospitales, a menudo cortos de fondos, son presa fácil para los ciberataques, razón por la que el Gobierno alemán va a invertir un 15% de su nuevo presupuesto para digitalizar la sanidad en sistemas de seguridad.
Lo que sigue sin estar claro es la frecuencia con la que efectivamente se pagan esos rescates. "Los que pagan no lo dicen”, afirma Beyer. "Pero no es recomendable, porque entonces estás marcado. Quien paga una vez, pagará de nuevo”.
No obstante, es comprensible que muchas empresas paguen: la operación de limpieza en la que se ha embarcado Funke (poner en marcha un sistema informático limpio) puede involucrar una cantidad enorme de trabajo y recursos, algo que muchas empresas pequeñas o medianas probablemente no podrían asumir. Además, en el caso de un ataque durante la Navidad, con muchos trabajadores de vacaciones, el proceso puede ser aún más largo (DW).
-
Otro item de indefensión nacional muy poco dicutido.
Hace falta una estrategia de ciberseguridad nacional
Esa es una de las conclusiones de un informe sobre ciberseguridad en el cual se relevó a 46 empresas del sector logístico.
El 72 por ciento de las organizaciones cuentan con al menos un incidente de ciberseguridad en los últimos 12 meses. Culturalmente en America latina se cree que los incidentes aumentan conforme el tamaño de la organización, situación que se descarta en varios estudios a nivel global y regional.
Las pérdidas económicas por ataques de ciberseguridad, continúan una tendencia que permanece en crecimiento durante los últimos años.
Las tecnologías claves de la 4ta revolución industrial como Internet de las cosas (Iot), la automatización, el blockchain, el big data y el cloud computing, están transformando profundamente la logística a nivel global, llevándola a la logística 4.0, demandando la resolución urgente de temas como la alfabetización digital, el costo y la velocidad de acceso a internet, como también la ciberseguridad. El brote de COVID-19 ha sido el catalizador del proceso de transformación digital, acelerando los tiempos de adopción y aumentando las escalas, respondiendo a la necesidad de mantener a las organizaciones en operación durante el aislamiento ocurrido a partir del mes de marzo.
En simultáneo con la aceleración de la transformación digital y la depresión económica global, la industria del cibercrimen ha aumentado en complejidad, a través del uso de herramientas de machine learning y de inteligencia artificial, y en volumen llegando a montos lucrativos anuales de u$s 3.500 millones al año.
Además, históricamente los puertos y las empresas navieras han sido objetivo de ataques.El conocimiento de diferentes hechos ocurridos, las problemáticas, y sus frecuencias o probabilidades de ocurrencia, permiten determinar la probabilidad a utilizar en los análisis de los riesgos relacionados con la tríada de la seguridad, que cada proceso enfrenta en la actualidad.
En un mundo cada vez más digital y conectado la exposición a recibir un ciberataque es sólo una cuestión de tiempo, nos explicó Rodrigo Díaz, quien considera que en la actualidad existe una falsa creencia sobre la relación entre la posibilidad de ser atacado y el tamaño de la organización “eso es falso porque observamos que en algunos casos las Pymes están más expuestas incluso que las grandes empresas”.
Díaz es el autor de un informe sobre ciberseguridad aplicada en las empresas de logística que abarcó las nueve economías de América latina que mayor incidencia tienen en el mercado de contenedores, además de Argentina, Chile; Colombia; Ecuador; México; Panamá; Perú; República Dominicana y Uruguay.
Otro resultado que reveló el estudio, es que el 76 por ciento en promedio de las organizaciones tuvieron algún incidente de seguridad; pero a pesar de ello sólo un 11 por ciento denunció el delito en el último año. “Eso indica que hay una resistencia a compartir esa información. Las empresas no denuncian los incidentes, entonces no hay posibilidad de compartir experiencias para enfrentar mejor este problema. Por ejemplo, en Argentina, pasó este año con la empresa Telecom, que fue de conocimiento público, y ellos lo vivieron como una situación interna. De esta manera no se da una colaboración entre el Estado y las empresas privadas para formar un cuerpo común de atención a este tipo de incidentes.”
Otra de las recomendaciones del estudio es que se utilicen los mecanismos gubernamentales que existen y pueden ser utilizados para asistir este tipo de delitos. “Una de las medidas que nosotros recomendamos en el informe fue esa, y que le ha dado muy buen resultado a países como por ejemplo Uruguay, que se encuentra muy bien posicionado en este tema, es definir como prioridad primero una estrategia de ciberseguridad nacional y acompañarla con medidas concretas que difundan esa política.”
Otra conclusión tiene que ver con fortalecer el marco regulatorio desde el Estado, y en materia de puertos proponen fortalecer y revisar el código PBIP en términos de aquellas medidas que pueden haber quedado obsoletas. “No hay que olvidar que ese código surgió luego del ataque a las torres gemelas. Lo que nosotros estamos sugiriendo dentro del informe que estamos emitiendo es una revisión del código PBIP a nivel internacional en términos de ciberseguridad. Creemos que el código debería ser revisado, porque el efecto económico más importante en la logística con los ciberataques es en las terminales graneleras con la detención de la operación; y en las terminales de contenedores el costo puede ser aún mayor en escala. En ese caso lo que ocurre es que no está contemplado dentro del PBIP la posibilidad de acceso informático al dato que representa el objeto.”
En el caso de contenedores, señaló que el mayor problema tiene que ver con la liberación de los mismos, que es lo que ocurrió en el Puerto Amberes oportunamente con la liberación de los contenedores sin los registros correspondientes de Aduana. Eso puede ser por varios motivos, fraude económico o por contrabando de estupefacientes. En cambio el principal riesgo que observaron en los puertos graneleros tiene que ver con la disrupción operativa.
También en el informe se propone la ponderación de los centros de atención de incidentes; y una mayor concientización respecto al riesgo, porque el hecho de no compartir incidentes genera una falsa seguridad, por lo tanto es necesario fomentar a que se publique más información.
En tal sentido explicó que dos tercios de los problemas de ciberseguridad “somos las personas”, por ello es fundamental poder trabajar en los ámbitos educativos. “Además, más allá de los puertos, las generaciones que vienen lo necesitan, es muy importante poder trabajar en la prevención del ciberdelito y para eso el ámbito educativo es muy importante” concluyó.
Por último explicó que la principal amenaza que se observa en la actualidad en los ciberataques es a través del ransomware cuyo ingreso puede darse por ejemplo por servicios habilitados con contraseñas que fueron robadas. Se trata de un tipo de malware (malicius software) -entendido como un código escrito en lenguaje informático que al ejecutarse realiza acciones dañinas en un sistema de manera intencional y sin el conocimiento del usuario o propietario de dicho sistema- que debe su nombre a la unión de los términos ransom (rescate) y software, y que, al ejecutarse, toma como rehén al sistema afectado mediante un proceso de encriptación, y exige luego pagar por un rescate para recuperar la operatividad de dicho sistema.
Casos relevantes de ciberataques en terminales portuarias
Desde 2011 y durante 2 años, el Puerto de Amberes en Bélgica, fue víctima de un ataque encargado por un cártel de droga. El ataque se dirigió contra sistemas terminales que posteriormente fueron comprometidos por piratas informáticos, y utilizados para liberar contenedores sin que las autoridades portuarias lo notaran. Luego de descubrirse el ataque, se incorporaron dispositivos de seguridad electrónica para proteger el perímetro de la red del puerto, pero estos fueron nuevamente vulnerados y se logró continuar con las acciones del ataque. Se incautaron en este incidente, drogas ilícitas y contrabando por un valor aproximado de 365 millones de dólares además de armas de fuego.
El ataque de ransomware recibido por MAERSK en Junio de 2017 provocó una disrupción operativa que generó pérdidas por u$s 264.000.000. La investigación de este incidente arrojó que la infección sufrida por Maersk, se debió a la instalación de un software no controlado en la laptop de un empleado del área comercial en Ucrania.
El puerto de San Diego fue atacado por ransomware en julio de 2018 con una pieza desoftware que provocó disrupciones administrativas y en la obtención de permisos de uso de puerto. Más tarde, el mismo año, COSCO fue atacado con disrupciones operativas en su sede de Estados Unidos de Long Beach.
En septiembre de 2018 el puerto de Barcelona fue víctima de ataques de ransomware, provocando disrupciones en tareas administrativas, sin tener información económica de estos daños.
Durante febrero de 2019 se informaron ataques de GPS jamming en guardacostas de la marina de Estados Unidos en el puerto de New York, y en julio frente al puerto de Shanghai.
El caso reciente de MSC, es un incidente provocado por una pieza de software maliciosa, provocando disrupción en los sistemas de desintermediación denominados MyMSC. El ataque no provocó detenciones operativas en la compañía, pero dejó sin el acceso desintermediado a los servicios de clientes finales (comex-online.com.ar).
-
Francia prohíbe a sus ministros usar la nube de Office 365 por temor a que Microsoft deba compartir información sensible con el gobierno de los EE.UU
Francia ha dado un paso más en proteger su soberanía digital. Según una circular interna a la que ha tenido acceso Public Actors, el director de la 'Direction interministérielle du numérique', considerado el departamento de sistemas de la información del estado francés, ha prohibido a los ministros el uso de Microsoft 365 (antes Office 365).
Según explica el organismo, Microsoft 365 "no cumple con la doctrina en la nube del centro" y por ello requiere a los distintos funcionarios públicos que no hagan uso de la versión en la nube. Sí podrán seguir utilizando el software Office, pero no así la solución colaborativa en la nube.
Objetivo: protegerse de la Cloud Act de EE.UU
La normativa llega para hacer frente a la Cloud Act de los Estados Unidos, donde pueden ordenar la divulgación de datos almacenados en Europa por empresas estadounidenses independientemente de su ubicación. El gobierno francés teme que Microsoft 365, alojado en Azure, pueda suponer una fuga de datos y por ello opta por obligar a la utilización de herramientas alojadas en servidores franceses."Las soluciones colaborativas, ofimáticas y de mensajería que se ofrecen a los funcionarios públicos se enmarcan en sistemas de manejo de datos sensibles", explica el director interministerial para justificar esta medida. Datos como "los personales de los ciudadanos franceses, los datos económicos relativos a las empresas francesas, o aplicaciones comerciales relativas a funcionarios públicos del Estado".
Como reemplazo a la nube de Microsoft, los ministerios podrán utilizar la nube interna nacional o aquellas soluciones que hayan recibido la etiqueta 'SecNumCloud', emitida por la Agencia Nacional para la Seguridad de los Sistemas de Información, y que engloba empresas dirigidas por europeos y con servidores en Francia. Una etiqueta que por el momento solo tienen tres empresas: Oodrive, 3DS Outscale y OVHcloud.
Según apunta el comunicado, los funcionarios públicos también podrán utilizar las herramientas de Bleu, empresa creada por Orange y Capgemini y parte de la iniciativa Gaia-X. Una estructura con servidores franceses a través de la cual Microsoft podría llegar a ofrecer los servicios de Microsoft 365 para estos funcionarios.
En mayo, la Comisión Nacional de Informática y Libertades (CNIL) ya adoptó una posición similar donde consideró que era necesario encontrar soluciones alternativas a las herramientas colaborativas de empresas estadounidenses, al menos en el ámbito educativo universitario y la investigación. Ahora, desde el departamento de sistemas francés han dado la orden interna de avanzar en el proceso de desligarse del software en la nube de procedencia norteamericana (Xataka).
-
Esta medida tomada por el gobierno francés es algo para que tomen muy en cuenta para imitar, nuestros propios gobernantes y organismos de Defensa.
-
Ciberataque a televisoras estatales rusas
Los canales de televisión estatales de Rusia han sido hackeadas por Anonymous para transmitir la verdad sobre lo que sucede en Ucrania.
-
Para transmitir la verdad?. Si la verdad es la primera víctima en una guerra.
-
@darwin dijo en Ciberguerras y ciberataques en el Mundo:
Esta medida tomada por el gobierno francés es algo para que tomen muy en cuenta para imitar, nuestros propios gobernantes y organismos de Defensa.
Hay protocolos para eso desde antes de la creación del comando de ciber defensa, el tema es lograr que sean adoptados por el resto de la administración pública.
-
Argentina
EL MINISTERIO DE ECONOMIA PIDIO INVESTIGAR UN HACKEO INTERNOEl secretario Legal y Administrativo y coordinador del Comité de Seguridad de la Información de la cartera, Ricardo Casal, realizó una denuncia por "posibles delitos de acción pública".
El Ministerio de Economía le solicitó a la Justicia que investigue un presunto hackeo interno en sus sistemas informáticos. El secretario Legal y Administrativo y coordinador del Comité de Seguridad de la Información de la cartera, Ricardo Casal, realizó una denuncia por "posibles delitos de acción pública".
"En el día de la fecha se ha difundido a través de la red social 'Twitter' la existencia de una oferta pública de venta de información confidencial de este Ministerio de Economía Nacional", expresó en su escrito.
"En efecto, según se ha referido en la cuenta @MauroEldritch, un usuario de la plataforma digital ´Breached´ identificado como ´Everest´ ha difundido la siguiente oferta: ´For sale network acces to the Ministerio de Economía Argentina. Acces also to various financial instruments and software of the ministry´ (Se vende red de acceso al Ministerio de Economía de Argentina. Acceso a varios instrumentos financieros y al software del ministro)", continuó.
Casal explicó que, por el momento, desde las áreas técnicas del Ministerio "no se ha logrado detectar el acceso ilegítimo a nuestras bases de datos ni la sustracción de claves o información".
No obstante, añadió: "La oferta pública realizada torna imprescindible no sólo la exhaustiva investigación interna que se encuentra en curso, sino también la promoción de la pertinente investigación judicial por la posible existencia de delitos de acción pública que podrían afectar en forma directa los intereses del Estado Nacional".
"El Ministerio de Economía tiene multiplicidad de bases y sistemas informáticos que contienen datos vinculados organismos públicos y privados y, en especial, vinculados a las distintas áreas de gobierno y relativos también a decisiones de política económica y financiera proyectadas o en curso de ejecución", continuó.
Asimismo, agregó: "La posibilidad de que se haga o intente hacer uso ilegítimo de las mismas, sea mediante la difusión o venta de datos sensibles o aún la sustracción, modificación o supresión total o parcial de las bases y/o sistemas informáticos tiene potencialidad no sólo para alterar el eficaz desenvolvimiento de las funciones administrativas propias del área sino también incidir sobre los mercados cambiarios, financieros o de inversiones".
Por otro lado, el funcionario pidió que el caso sea investigado por el fuero federal de la Ciudad de Buenos Aires, porque allí se encuentra la sede del Ministerio y porque "la hipótesis principal importa afectación directa del Estado Nacional".
También solicitó que "se certifiquen por secretaría las publicaciones mencionadas de la red social Twitter y de la plataforma Breached y se soliciten informes a la empresa, titular o responsable la plataforma ´Breached´ a fin de que aporte todos los datos disponibles del usuario identificado como ´Everest´", entre otras cosas (Diario Ambito).
-
@darwin Lo vengo diciendo estamos rodeados y encualquier momento sino despiertan nuestros politicos - terrateientes - billonarios etc. vamos a terminar siendo un pais tomado por alguna de las potencias mundial.
-
Ataque hacker al PAMI: piden 735 mil dólares a cambio de no publicar datos de millones de usuarios
El grupo Rhysida realizó un ataque hacker al PAMI y pidieron 25 bitcoins, lo que equivale a casi 735 mil dólares, a cambio de no publicar información sensible de los afiliados o de quienes trabajan en el organismo. Los ciberdelincuentes dieron tres días para pagar. En caso de no cumplir con el plazo, publicarán los datos.
Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, habló sobre el ataque hacker al Pami. "De acuerdo a inteligencia recolectada por nuestra plataforma Sheriff, tenemos conocimiento de que casi 650 credenciales de PAMI han sido filtradas en el último tiempo, lo que podría arrojar algo de luz sobre el posible punto de entrada que utilizó el actor de amenazas", señaló.
Los ciberataques contra entidades de salud crecieron en este último tiempo. Según un informe de Check Point Research, está en un promedio de 1.744 ataques por semana a nivel global, con un aumento interanual del 30%. En ese sentido, explicaron: "El ámbito de salud es el segundo más afectado por ataques de ransomware, con 1 de cada 27 organizaciones experimentando este tipo de ataques, lo que representa un aumento interanual del 16%".