Inter News Service Agencia de Noticias
Por Rafael Santiago Medina
San Juan, 3 jul (INS).- Los piratas informáticos se han mostrado activos este año en Puerto Rico y Estados Unidos, atacando objetivos gubernamentales y empresariales, así como a ciudadanos en el plano personal.
El presidente Joe Biden comenzó recientemente a emprender un esfuerzo para reforzar la ciberseguridad en la red eléctrica del país, pidiendo a los líderes de la industria que instalen tecnologías que podrían frustrar ataques al suministro.
Solo este año, más de dos docenas de agencias gubernamentales en Estados Unidos se han visto afectadas, según los expertos.
Conforme a información suministrada por la empresa multinacional de ciberseguridad Fortinet, Puerto Rico ha sido objeto de más de 29 millones de intentos de ciberataque entre enero y marzo de 2021, mientras que en la región de Latinoamérica se han registrado sobre siete mil millones de intentos de ataque en el mismo período.
En tanto, el secretario de Seguridad Nacional, Alejandro Mayorkas, ha dado la voz de alerta sobre estos ataque en un discurso reciente ante la Cámara de Comercio de Estados Unidos, antes de que se atacara la Colonial Pipeline, calificándolos de “amenaza existencial” para las empresas.
En Puerto Rico, instituciones gubernamentales, bancos y demás sectores privados, así como ciudadanos en su carácter individual, están siendo asediados por ataques cibernéticos.
Un ciberataque provocó en 2017 una emergencia en el Departamento de Hacienda, y la situación le costó a la agencia sobre 200 mil dólares para restablecer sus sistemas y pérdidas en recaudos de más de 30 millones de dólares diarios en un espacio de cinco días.
La compañía de ciberseguridad CompSec Direct, fundada en Puerto Rico y con oficinas en Maryland, esbozó estos cuatro factores en un estudio analítico (case study, en inglés) sobre el ciberataque a los sistemas de informática de Hacienda.
CompSec Direct, fundada y presidida por el puertorriqueño José Fernández, fue contratada por Hacienda para montar una respuesta al incidente y ofrecer orientación, recomendaciones y acciones de respuesta dirigidas a respaldo y recuperación de datos de los sistemas.
Aunque el documento publicado por la empresa incluye información sobre el rol que tuvieron del 7 al 9 de marzo de 2017, la compañía no incluyó datos relacionados a sucesos internos que no consideraron necesarios revelar.
No obstante, la información contenida en el documento, unido a expresiones públicas de los funcionarios de gobierno y de Hacienda activos durante el incidente, permiten reconstruir los sucesos que desembocaron en la infección de sobre 680 computadoras de la agencia y el cifrado (encryption) forzado de más de 50 terabytes (TB) de datos.
Para el 2017, agencias federales como la división de Ciberseguridad del Negociado Federal de Investigaciones (FBI) y la Agencia de Infraestructura y Ciberseguridad (CISA, en inglés) publicaron alertas sobre incrementos en ataques con ransomware a nivel global y en Estados Unidos.
Ransomware es un tipo de virus que infecta computadoras, cifra o secuestra los archivos contenidos en el almacenaje del sistema (discos duros) y luego solicita un pago (usualmente mediante la criptomoneda Bitcoin) para recuperar el acceso a la información.
El de 2017 no fue el único ciberataque a Hacienda. El 13 de septiembre de 2016, de una brecha o ataque perpetrado por un hacker con el apodo Fathur.xZ, seudónimo asociado con el grupo Libertad Ciber de Indonesia o Incef. El atacante solo dañó y/o modificó el portal de colecturía (la página que una persona puede visitar desde cualquier navegador) y Hacienda sostuvo que no hurtó información o datos de ciudadanos.
Sin embargo, la práctica del Departamento de Hacienda de exponer en Internet portales que dan acceso a servicios internos de la agencia continuó, sin que se tomaran medidas correctivas. La inserción del ransomware Samas (un derivado del virus SamSam) a la red de Hacienda en el 2017 le propinó a la dependencia un golpe mortal a tan solo siete meses de ocurrir la brecha orquestada por Fathur.xZ.
Cabe destacar que la brecha de 2016 y el ataque de 2017 no están relacionadas; fueron incidentes separados.
El 3 de diciembre de 2018, el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (Nccic, en inglés) adscrito al Departamento de Seguridad Nacional (Homeland Security) publicó la alerta AA18-337A en el que informó sobre un incremento sustancial de ataques con el virus SamSam y sus variantes, incluyendo Samas, la cepa utilizada por el o los atacantes que infectaron los sistemas de Hacienda en 2017.
Específicamente, el ransomware se creó, según el Departamento de Justicia federal, en diciembre de 2015 y se utilizó, desde el 2016 hasta el 2018, para perpetrar ataques en hospitales, utilidades y centros de gobierno alrededor del mundo, con una concentración en sistemas ubicados en los Estados Unidos.
Los atacantes utilizaban vulnerabilidades en las versiones de servidor del sistema operativo Windows, de Microsoft, o credenciales válidas obtenidas en la dark web o foros de hackers, para ingresar ilegalmente a redes mediante el Protocolo Remoto de Desktop (RDP, en inglés), una interfaz que le permite a un usuario entrar, mediante una conexión normal de Internet, a una red interna desde una computadora externa como, por ejemplo, una laptop en su hogar.
La alerta describió cuatro variantes del virus SamSam (SamSam1 a SamSam4) que fueron utilizados para llevar a cabo ataques de ransomware en los sistemas de las ciudades de Atlanta, Newark (Nueva Jersey), la Autoridad de Puertos de San Diego (California), el Departamento de Transportación del estado de Colorado y una gran cantidad de hospitales y empresas privadas.
En total, según Justicia federal, el virus y sus variantes se utilizaron para atacar a sobre 200 organizaciones y dependencias gubernamentales.
Existe un tipo de campañas web de phishing, cuyo método de propagación automática utiliza los contactos de servicios de mensajería o redes sociales como WhatsApp, Facebook o Instagram de la víctima.
Si los usuarios hacen clic en uno de estos anuncios que ofrecen premios o atractivos concursos, se les redirige a la página de destino del kit de explotación, donde se descarga malware que crea “pop-ups” o anuncios con código malicioso oculto para propagarse y exfiltrar información.
Luego se invita a compartir con los contactos, generando el efecto de propagación, según explica Emmanuel Oscar, gerente de Ingeniería de Fortinet para el Caribe.
Durante ese período, se produjo un destacado incremento en el uso de las redes sociales para difundir publicidad y sitios web engañosos, así como realizar comandos sin el consentimiento del usuario, como enviar mensajes con contenido malicioso a sus contactos desde sus perfiles y equipos.
Tal como ocurrió durante todo el 2020, los ciberdelincuentes continúan buscando en 2021 brechas en las herramientas de trabajo remoto para intentar acceder a las redes corporativas. Durante el primer trimestre de 2021, tuvieron lugar múltiples intentos de ejecución de código remoto a dispositivos con conexiones GPON y enrutadores (routers) de la compañía D-Link, los cuales son usados mayormente para ofrecer servicios de conectividad residencial.
Esto refleja cómo los adversarios están buscando la manera de poder comprometer a los usuarios de trabajo remoto, interceptando sus comunicaciones y redirigiéndolos a sitios maliciosos.
Los resultados del reporte de Fortinet reiteran que no solo es necesario contar con una plataforma integral de ciberseguridad, también resulta clave fomentar mayor conciencia sobre los riesgos digitales y cómo estar mejor prevenidos ante las amenazas de ingeniería social, que continúan siendo el principal vector de ingreso para las amenazas más avanzadas como el ransomware.
A medida que el mundo digital continúa creciendo, la superficie de ataque se amplía exponencialmente, mucho más allá de la red física tradicional para incluir todo lo que pueda conectarse y comunicarse.
Un ciberpirata obligó el 8 de mayo pasado al cierre temporal de uno de los oleoductos más grandes de Estados Unidos, lo que pone de relieve las ya crecientes preocupaciones sobre las vulnerabilidades en la infraestructura crítica del país. El operador, Colonial Pipeline, dijo que el incidente involucra ransomware.
Colonial, que transporta más de 100 millones de galones de gasolina y otros combustibles diarios desde Houston hasta el puerto de Nueva York, dijo que ante el ataque se pausaron sus operaciones, lo que provocó que se formaran largas filas en diversas estaciones de servicio de varios estados.
El gobierno estadounidense se vio sacudido a finales del año pasado por un ciberataque que comprometió los sistemas de un proveedor de software de terceros y condujo a filtraciones de datos en varias agencias federales, incluyendo el Departamento de Comercio, el Departamento de Energía y el brazo cibernético del Departamento de Seguridad Nacional.
SolarWinds, una empresa que ofrece servicios a más de 425 empresas en la estadounidense Fortune 500, reveló en una presentación de inversionistas que hasta 18 mil de sus clientes -de un total de 300 mil- pueden haber estado ejecutando software que contiene la vulnerabilidad que permitió a los hackers penetrar en el Departamento de Comercio.
En estos días ha habido intentos sofisticados de fraude a beneficiarios del Seguro Social en una combinación de ataques cibernéticos y uso de llamadas telefónicas.
La Administración del Seguro Social está informando de un gran número de reportes en todo Estados Unidos, incluyendo a Puerto Rico, de personas que se están haciendo pasar por representantes de la Administración del Seguro Social (SSA), con la intención de obtener tu número de Seguro Social e incluso timar con pagos fraudulentos de dinero.
En una versión de la estafa, la persona que llama o se comunica por Internet le dice que su número de Seguro Social ha estado vinculado con un delito (a menudo dicen que ocurrió en Texas) que involucra drogas o un envío ilegal de dinero fuera del país.
Luego dice que su número de Seguro Social está bloqueado, pero podría pedirte que pagues un cargo para reactivarlo u obtener un número nuevo. Y te pedirá que le confirmes tu número de Seguro Social.
“En otras variaciones, la persona que llama te dice que alguien usó tu número de Seguro Social para solicitar tarjetas de crédito y que podrías perder tus beneficios. O podría advertirte que están a punto de embargar tu cuenta bancaria, que es necesario que retires tu dinero y que te dirá cómo puedes mantenerlo a resguardo”, señala un experto.
Levanta preocupación en Puerto Rico que LUMA Energy, para el pago por teléfono mediante transferencia de dinero del banco a la empresa o utilizando tarjetas de crédito, esté requiriendo el número del Seguro Social, junto con el número de cuenta bancaria, algo que no se hacía antes.
Toda una información completa que podría ser hackeada a la empresa o a los teléfonos móviles (celulares) o computadoras o laptops personales de los abonados al servicio eléctrico. INS
rsm/aa