Semanas atrás, el grupo Cencosud, que tiene bajo su órbita marcas como Jumbo, Easy, Disco, Vea y Blaisten sufrió hace algunas semanas un masivo ataque de ramsonware por parte de un grupo de cibercriminales.
Según los informes oficiales, el grupo de hackers que robó los datos habría sido ya capturado y su red desmantelada.
Más allá de la buena noticia, la duda que surge ahora entre miles de usuarios que sienten que podrían haber sido afectados es la misma: ¿qué pasará con los datos?
La operación
Según informes oficiales, una operación conjunta entre las fuerzas políciales de Francia y Ucrania provocó el arresto de varios miembros de la operación de ransomware Egregor en Ucrania.
Las fuerzas del orden llevaron adelante los arrestos luego que las autoridades francesas pudieran rastrear los pagos de rescate a personas ubicadas en Ucrania.
Por su parte, el Departamento de Justicia de los Estados Unidos emitió un comunicado con fecha del día 28 de enero de 2021 a propósito del operativo multilateral a partir del cual se confiscó y desarticuló la infraestructura desde la cual se distribuía el malware, por vía mayoritariamente de la técnica de phishing a direcciones de correo electrónico.
"El malware y botnet denominados Emotet infectaron cientos de miles de computadoras en todo Estados Unidos, incluida nuestra infraestructura crítica, y causaron millones de dólares en daños a las víctimas en todo el mundo" explicó en aquella ocasión John Carlin, el fiscal General Adjunto interino.
Según Carlin, "los ciberdelincuentes no escaparán de la justicia independientemente de dónde operen". Y añadió: "trabajando con socios públicos y privados de todo el mundo, los perseguiremos sin descanso mientras usamos todo el arsenal de herramientas a nuestra disposición para interrumpir sus amenazas y procesar a los responsables".
Más detalles
De acuerdo a una declaración jurada de orden de registro sin sellar, Emotet es una familia de malware que se dirige a industrias críticas en todo el mundo, incluyendo la banca, el comercio electrónico, la salud, la academia, el gobierno y la tecnología.
Este malware Emotet infecta principalmente a los ordenadores de las víctimas a través de mensajes de correo electrónico de spam que contienen archivos adjuntos maliciosos o hipervínculos.
Los correos electrónicos fueron diseñados para parecer provenir de una fuente legítima o de alguien en la lista de contactos del destinatario.
Como funciona
Una vez que infectó un ordenador víctima, Emotet puede entregar malware adicional al equipo infectado, como ransomware o malware que roba credenciales financieras.
El ransomware, en particular, creció en alcance y gravedad en el último año, al tiempo que perjudicó a empresas, proveedores de atención médica y agencias gubernamentales. Incluso cuando el país tuvo tenido dificultades para responder a la pandemia.
Los detenidos
Se estima que las personas arrestadas son afiliados de Egregor. Su trabajo era piratear redes corporativas e implementar ransomware en empresas de alto nivel.
El portal France Inter -encargado de revelar la noticia- también detalla que algunas personas proporcionaron apoyo logístico y financiero.
Por ejemplo, durante 2020, Egregor atacó a numerosas organizaciones francesas, incluidas Ubisoft, Ouest France y, más recientemente, Gefko, como así también la cadena Cencosud.
En este momento, los sitios web Tor de Egregor se encuentran fuera de línea, incluido el sitio de pago y el sitio de filtración de datos de la operación.
Con el sitio de pago Tor inaccesible, las víctimas ya no pueden contactar al grupo de hackers, pagar un rescate o descargar descifradores de rescates pagados anteriormente.
Por otro lado, aún se desconoce si los problemas con la infraestructura de la banda de ransomware se encuentran relacionados con la operación policial.
Egregor opera como un ransomware-as-a-service (RaaS) donde los afiliados se asocian con los desarrolladores de ransomware para realizar ataques y dividir los pagos del rescate.
En asociaciones como esta, los desarrolladores de ransomware son responsables de desarrollar el malware y ejecutar el sitio de pago.
Al mismo tiempo, los afiliados son responsables de piratear las redes de las víctimas y desplegar el ransomware.
Como parte del acuerdo, los desarrolladores ganan entre el 20 y el 30% del pago de un rescate, mientras que los afiliados obtienen el otro 70-80%.
¿Qué pasara con los datos?
En el caso del hackeo a Cencosud, la organización liberó 38 gigabytes (GB) de datos de sus clientes en la Argentina, Chile, Paraguay y Colombia.
Por el momento, esa base pudo haber sido descargada por otros cibercriminales que la utilizarían para estafas y ataques de suplantación de identidad.
Más allá de que la desactivación de la red es una buena noticia para las empresas afectadas, las bases de datos ya liberadas serán difíciles de rastrear y el daño ya está hecho.
Además, es posible que la información sea usada en otros ataques y ya se encuentra fuera del control de Egregor.
Más detalles
Fueron un par de semanas fatídicas para el grupo chileno a partir de sufrir la extorsión por parte de cibercriminales para no divulgar datos de los usuarios
Tal como precisó iProUP, se trató de un ataque a una megacorporación, robo de datos, negociación por un rescate millonario y filtración masiva de datos de los usuarios .
El primer rescate solicitado por los ciberdelincuentes fue por un pago de u$s70 millones , que luego se redujo au$s4 millones. Sin embargo, la empresa decidió no pagar.
El ataque fue perpetrado a través de un ramsonware conocido como Egregor , capaz de ingresar a través de aplicaciones de escritorio remoto, que registraron un uso masivo en el último año por parte de los empleados que comenzaron a hacer home office .
Daniel Monastersky, abogado especialista en ciberdelitos, explicó que "la empresa se desentendió del ataque y hasta hubo importantes medios de comunicación que han querido generar confusión alrededor del tema y negaron que el robo de datos haya sido cierto ".
Para Monastersky, "no hay casos de acciones colectivas por temas vinculados a fuga de información vinculada con datos personales o de tarjetas de crédito de sus titulares". Y añadió: "La Dirección de Protección de Datos de la Argentina debería iniciar una investigación de oficio".
¿Pero qué significa para los usuarios que son clientes de alguna de las marcas del grupo?
Sebastián Stranieri, CEO y fundador de la empresa de ciberseguridad VU Security, señala un iProUP que esta información "dejó de ser privada", ya que no está en propiedad ni de la empresa ni de los usuarios.
"Son datos a los que ahora cualquiera puede acceder. La empresa tiene que al menos emitir alguna alarma a los usuarios para que modifiquen los que puedan. No solo pasa en el ataque de Cencosud , sino en cualquier otro en el que hay un robo de identidad y se genera este nivel de exposición ", enfatiza el especialista.
"Si uno paga un ransomware no te asegura que la información comprometida no sea divulgada. Si abonaste una vez, saben que tenés voluntad de hacerlo y pueden exigir más dinero. Nunca se recomienda pagar un rescate, es una decisión muy sensible para el negocio por el impacto que puede tener también en la reputación de la compañía ", señala Monastersky.
Más allá del caso de Cencosud, existe un riesgo real para todas las organizaciones , especialmente para aquellas que manipulan un gran caudal de información sensible. Con un año complejo ya en el pasado, en el horizonte del 2021 ya se vislumbran todo tipo de amenazas para empresas y usuarios.
En riesgo
En 2020, especialmente a partir del segundo semestre, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) detectó una serie de casos de ransomware que afectaron a grandes entidades públicas y privadas, que tuvieron la particularidad de no sólo impedir el acceso a determinados sistemas o procesos sino también la de tomar control de datos que luego eran difundidos.
"Si lo filtrado por los atacantes incluye información personal de clientes de la empresa , pueden luego ser usados en contra de sus titulares. Especialmente en casos de datos de tarjetas de crédito y / o fotografías de documentos de identidad ", advierte Horacio Azzolin , fiscal en cibercrimen de la Procuración General de la Nación, en diálogo con iProUP .
Y agrega: " Los titulares de esos datos deben ser notificados urgentemente para que tomen sus recaudos (renovando sus documentos o dando de baja las tarjetas), pero lamentablemente ese aviso no es obligatorio en nuestro país, tal como sucede en otras partes del mundo. Y, uno intuye, las empresas no lo van a hacer en forma voluntaria por temor a la mala publicidad ".
Por su parte, Stranieri asegura que la mayor amenaza que hay en torno a ciberseguridad y la filtración masiva de datos tiene que ver con la creación de identidades falsas que los delincuentes aprovechan para planificar nuevos fraudes.
"Si se suma la información robada de Cencosud a la de otras empresas, se cruzan y se forman nuevos perfiles de usuarios para realizar ilícitos ", comenta el CEO de VU Security.
En este sentido, hay que destacar que el secuestro de información es uno de los ciberdelitos más habituales y dañinos del mundo digital. Según datos de VU Labs proporcionados a iProUP , fue el ransonware fue la segunda más frecuente el año pasado (30%) , sólo superado por el phishing.
Denise Giusto, Investigadora del Laboratorio de ESET, afirma a iProUP : "Los ataques a corporaciones suelen ser dirigidos , constan de campañas que se extienden en el tiempo , son más sigilosas y buscan recabar la mayor cantidad de información , afectar sistemas de forma prolongada o incluso hacer monitoreo de lo que pasa en el interior de los sistemas de las víctimas ".
En esta línea, el especialista remarca que para llegar a comprometer un equipo, una de las técnicas utilizadas por los atacantes es la ingeniería social : engaños que buscan que el usuario ceda su información o instale malware de manera voluntaria , sin darse cuenta de que lo que realmente está ocurriendo.
"Otra herramienta en el arsenal de los cibercriminales es la explotación de vulnerabilidades , tanto en sistemas operativos como en aplicaciones. Les abren la puerta para comprometer servicios y datos de los usuarios mediante la ejecución de código malicioso ", completa.
De acuerdo con los especialistas, el primer paso para evitar este tipo de ataques consiste en que las empresas mejoren los sistemas informáticos para que sean menos vulnerables, como así también generar capacitaciones para los empleados y estar al día con las actualizaciones de software .
Además, Azzolin asegura que es necesario aumentar los controles por parte de la autoridad de protección de datos personales, " sancionar a las empresas que no conserven la información de sus clientes de modo adecuado " y mejorar las normas para que la notificación al usuario sobre la filtración de datos marítimos obligatoriamente .
Pare de sufrir
Cencosud no fue la primera compañía en sufrir un ataque de este estilo ni será la última. Con su reputación golpeada, deberá recobrar la confianza de sus clientes e indudablemente reforzar sus medidas de seguridad .
Ricardo Villadiego, fundador y CEO de Lumu Technologies explica a iProUP que "según el último informe publicado por Gartner, el análisis de la preparación del ransomware de los clientes muestra que más del 90% de estos ataques se pueden evitar ".