Ataque de ransomware a IFX Networks y el efecto dominó

Este texto se publicó originalmente en el perfil de LinkedIn de Pedro Huichalaf Roa. Agradecemos su autorización para reproducirlo en DPL News.

IFX Networks es una empresa americana con amplia experiencia en el mercado de las Telecomunicaciones . Su presencia se extiende a más de 17 países de Latinoamérica y cuenta diversos datacenters distribuidos estratégicamente en toda la región Norteamérica, Centroamérica y Sudamérica, ofreciendo soluciones de internet dedicado, nube, seguridad, servicios profesionales y respaldo para aplicativos empresariales, tanto para el ámbito privado como a instituciones públicas.

Actualmente la empresa está en el centro de la noticia por un ciberataque recibido puntualmente a contar del día martes 12 de septiembre, mediante la técnica del ransomware, que en palabras simples es un software que atacó varias de sus máquinas virtuales en Colombia. Se trata de un archivo que invade los dispositivos como un virus y se dispersa por sus archivos, encriptando la información y haciéndola inaccesible y es la forma usual utilizado por delincuentes informáticos para exigir un pago a cambio de restablecer la normalidad. Si a esto se añade el acceso a información, muchas veces con datos privados, estratégicos y confidenciales, también es usual que vendan esta información por subasta en la dark web, obteniendo lucro también por esa vía.

El problema con IFX, es que también es MSP (Proveedor de Servicios Administrados) es una empresa que ofrece servicios de tecnología de la información (TI) a otras empresas. Estos servicios pueden incluir la administración y el mantenimiento de redes, aplicaciones, infraestructura y seguridad. Los MSP entregan sus servicios a través de soporte continuo y administración activa en las instalaciones del cliente, en los datacenters del mismo MSP. 

Desde un punto de vista de ciberseguridad, esto genera que no tan solo la infraestructura de IFX está comprometidas, sino que otras organizaciones (clientes de IFX) podrían ser víctima de nuevos ataques en consecuencia de este incidente, lo que se conoce también como, Ataque a la Cadena de Suministro o #SupplyChainAttack, según comenta Germán Fernández en su cuenta X.

Uno de los primeros comunicados de la empresa, reconocían en este tipo de ataques, e informó que la nube que provee para servicios de telecomunicaciones «con operaciones en 17 países de la región, sufrió un ataque de ciberseguridad externo tipo Ransomware afectando a alguna que sus máquinas virtuales”. Añadió que “la compañía se encuentra trabajando aún ante la incidencia, y precisa que no ha evidenciado vulnerabilidades en la información, privacidad y seguridad de los datos alojados en la nube, dado que estos están protegidos con protocolos de seguridad de información”.

Efectos en Colombia

Justamente el problema radica en los efectos a terceros respecto a la incidencia de seguridad que afecta a IFX siendo Colombia uno de los países más afectados.

El gobierno de Colombia ha catalogado esta situación como uno de los mayores ataques a las infraestructuras en dicho país en los últimos años, puesto que se ha visto afectado más de 50 entidades del Gobierno nacional, superintendencias y del poder judicial.

Servicios de acceso a la salud a través de la Superintendencia de Salud y la mitad de los sistemas que permiten que funcione la justicia en Colombia están sin servicios digitales.

En caso de salud, se vieron afectadas en sus sitios web del Ministerio de Salud y la Superintendencia Nacional de Salud. Debido a que los datacenters de IFX Networks se encuentran alojadas las aplicaciones asociadas a la prestación de servicios derivados de la atención a nivel nacional, presentan fallas y no es posible acceder a ellas.

El poder Judicial colombiano también se vio perjudicada por esta situación, así como los miles de los ciudadanos ingresan a sus páginas para enterarse de procesos y diferentes servicios.

Tal como se informa, el Consejo Superior de la Judicatura informó que la mayoría de las páginas funcionaron durante la contingencia. No así la firma virtual de los jueces ni la radicación de tutelas.

“La Unidad de Informática de la Dirección Ejecutiva de Administración Judicial trabaja en el restablecimiento del portal web y algunos sistemas de la Rama Judicial, los cuales han presentado fallas en los servicios que presta el sitio web. Estaremos informando cuando se normalice el servicio”, indicó.

Otras entidades afectadas por la acción de los ciberdelincuentes son la Superintendencia de Industria y Comercio, el Ministerio de Cultura y el Museo Nacional de Memoria Histórica.

Situación en Chile

En nuestro país, el hecho ocurrido a IFX se evidenció porque el sitio web de chilecompra quedó inaccesible, y por tanto, todos los trámites asociados a ella, desde el día 12 de septiembre, cuando, en una declaración pública, explicita que esta caída de sus servicios se motivaron por los efectos de los problemas de su proveedor de tecnología IFX.

La indisponibilidad de servicios de ChileCompra ha generado mucha preocupación, sobre todo por las licitaciones que tienen plazos de cierre, adjudicación y negocios asociados a la misma.

De hecho, el senador Kennet Pugh, en hora de incidentes, solicitó oficios al ministerio de Hacienda para que explicara la situación en la que se encuentra ChileCompra y por otro lado, al ministerio del Interior, para saber desde cuando se reportó a CSIRT del gobierno la falla, ante lo cual ellos dieron aviso de advertencia sobre la situación de la empresa IFX, considerando que según se puede calcular, cada día que está el sitio caído, significa más de US$2.000.000 perdidos para el país.

El video de la intervención está disponible en este link.

Otro organismo chileno afectado por consecuencias de ataque informático es el municipio de Providencia, puesto que sus plataformas de servicios y trámites municipales, servicios y pagos online no se encuentran disponibles.

A esto se suma una gran cantidad de empresas nacionales que utilizaban los servicios de la empresa IFX y que actualmente no tienen acceso a estas aplicaciones y a los archivos o datos de las organizaciones, a pesar de que la versión oficial es que no existiría compromiso de su información.

Incluso, a propósito del efecto de caída de múltiples sitios, hasta Domino’s Pizza está caído y no es posible acceder a comprar online por esa vía.

Algunas reflexiones

Es importante considerar que este hecho evidencia distintas situaciones que son necesarias a analizar.

En primer lugar, debemos tener en cuenta que las empresas que son proveedores de Servicios Administrados, blancos de ataques a cadena de suministros, cuando tienen una gran participación o que presten servicios a organismos estratégicos del mundo público o privado, deberían ser considerados infraestructura crítica o servicios esenciales y regularlos desde ese punto de vista para exigir o establecer capas de seguridad mayores, debido a la relevancia de los efectos en caso de ser ciberatacadas (tal como ocurrió en este caso).

Por otro lado, existe discusión sobre la relación o responsabilidad de las instituciones públicas y sus contratos con privados para mantener la información dentro del territorio nacional o la continuidad operativa de sus servicios 24/7, existiendo orientaciones de la Contraloría General de la República en ese sentido.

Se suma estas circunstancias a la discusión en el congreso del proyecto marco de ciberseguridad e infraestructura crítica en la que se van a considerar situaciones de esta envergadura, sobre todo por los riesgos, amenazas, avances y consecuencias de los delitos informáticos.

Finalmente, este tipo de situaciones no es nueva. Ya a fines del año pasado escribíamos la columna «Desafíos y tendencias en ciberseguridad para el 2023» en las cuales mencionábamos los peligros y preocupaciones por avances de ataques con ransomware y específicamente ataques a Cadenas de suministro, por lo que no podríamos considerar a todo evento un caso fortuito o fuerza mayor.

Por último, es relevante tener siempre en consideración la necesidad de contar con capital humano capacitado, a nivel técnico y profesional, para anticiparnos a estos escenarios. Sin embargo, tan importante como prevenir, es tener protocolos de reacción y contingencia frente a ataques de esta naturaleza.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies