Un grupo de hackers de origen ruso secuestra informaci¨®n confidencial de la Loter¨ªa Nacional

La Loter¨ªa Nacional se ha convertido en la ¨²ltima v¨ªctima de Avaddon, un grupo de hackers de origen ruso con un historial de m¨¢s de 170 empresas infectadas. El ciberataque a la instituci¨®n mexicana tuvo lugar hace dos semanas, pero esta no lo ha admitido hasta el lunes. ¡°Se detect¨® una sustracci¨®n de informaci¨®n en el ¨¢rea administrativa de Loter¨ªa Nacional, antes Pron¨®sticos Deportivos, por parte de delincuentes que operan a nivel internacional¡±, apunta el comunicado. Entre los datos robados se encuentran documentos financieros, legales y de recursos humanos, as¨ª como contratos firmados desde 2009 hasta ahora. Los hackers tambi¨¦n tienen en su poder informaci¨®n sobre un caso de acoso sexual dentro de la compa?¨ªa.

Este tipo de ataque, conocido como ransomware, se trata de un secuestro de informaci¨®n, equipos y servidores; a cambio de recuperar el control, los delincuentes piden un rescate. En este caso, los hackers est¨¢n chantajeando a Loter¨ªa Nacional con hacer p¨²blicos los documentos comprometidos si no pagan en los pr¨®ximos cinco d¨ªas. Hasta el momento no se ha revelado la cuant¨ªa econ¨®mica exigida, pero seg¨²n un documento del Centro de Ciberseguridad Australiano por este tipo de ciberataques se suele pedir alrededor de 0,73 bitcoins, que se traduce en 40.000 d¨®lares, unos 800.000 pesos mexicanos.

Hiram Camarillo, director de Seguridad de la Informaci¨®n en Seekurity, fue quien dio la voz de alarma la semana pasada. Los hackers hab¨ªan difundido el ciberataque en su blog, ubicado en la deep web (la llamada internet profunda, a donde no llegan los buscadores regulares). Adjuntaron como pruebas correos internos y capturas de pantallas de contratos, reuniones y pagos. Durante d¨ªas, la instituci¨®n mexicana no hizo comentarios. Y los delincuentes insistieron: ¡°Aparentemente la empresa no entiende la seriedad de esta situaci¨®n y quiere esconder el hecho de que fueron hackeados y robamos datos de sus servidores¡±.

¡°Tenemos muchos datos confidenciales como casos de acoso sexual, incidentes desagradables y mucha suciedad asociada a vuestra compa?¨ªa. Si continu¨¢is mintiendo a todo el mundo y no os pon¨¦is en contacto con nosotros, estamos listos para sorprender a todos los que sigan las noticias¡±, amenaz¨® Avaddon en su ¨²ltima actualizaci¨®n. Mientras el contador sigue en rojo y bajando: quedan cinco d¨ªas y unas horas para que filtren la informaci¨®n.

Camarillo asegura a EL PA?S que Avaddon ¡°es un grupo serio¡± y que no miente en sus amenazas. Registrado por primera vez en 2019, est¨¢ entre los cinco grupos de ransomware m¨¢s grandes y activos. En su listado de v¨ªctimas se encuentra las operaciones de AXA Group en Asia, Cuatro Barras en Brasil, Grupo Active y Fornesa SL, en Espa?a, el fondo Febancolombia en Colombia o compa?¨ªas de Canad¨¢ y de Arabia Saud¨ª. Se ubica su origen en Rusia puesto que se han identificado herramientas en ruso y tambi¨¦n porque no atacan a empresas localizadas en la llamada Commonwealth of Independent States, que incluye a Rusia, Ucrania y Bielorrusia, detalla este experto en ciberseguridad.

¡°Es un incidente muy grave¡±, constata Atul Narula, investigador de ciberseguridad del International Institute of Cybersecurity. Las recomendaciones a la empresa despu¨¦s de este ataque incluyen limpiar la red, mejorar la protecci¨®n de datos y, sobre todo, averiguar c¨®mo entr¨® el virus. ¡°Tienen que saber c¨®mo se metieron. Hoy es Avaddon, ma?ana puede ser otro grupo¡±, se?ala este experto. Por el tipo de datos que fueron filtrados ¡ªentre los que se incluyen las actas de varias empresas¡ª, Narula asegura que Loter¨ªa Nacional deber¨ªa avisar a las compa?¨ªas afectadas porque con los datos comprometidos se puede robar la identidad de una persona o empresa.

La instituci¨®n mexicana ha asegurado que cuenta con la asesor¨ªa y apoyo de la Coordinaci¨®n de Estrategia Digital Nacional (CEDN) y que el sistema de sorteos y concursos no se ha visto afectado por el ciberataque.

El ataque empieza con un correo electr¨®nico

Los ataques de tipo ransomware suelen llegar a las empresas por correo electr¨®nico. Los trabajadores reciben un email que contiene alg¨²n truco ¡ªdesde a amenazas de fotos comprometidas a im¨¢genes o textos atractivos¡ª que consiguen que alg¨²n empleado clique y descargue los archivos. Esta t¨¦cnica se conoce como phising. A partir de ese momento y en cuesti¨®n de unos minutos el virus se expande e infecta ordenador y servidores. A partir de ah¨ª, cifra la informaci¨®n de la red y la bloquea. ¡°A veces aparece en las computadoras una nota de rescate en la que explican qui¨¦nes son y las instrucciones que tienes que seguir. Te dejan un ID, para que entres en la p¨¢gina de los grupos¡±, relata Camarillo, ¡°hay grupos de ransomware que tienen su propio customer service. Ah¨ª empiezas a ver cu¨¢nto dinero les vas a pagar y si est¨¢n abiertos a negociar¡±.

Ninguno de los expertos recomienda pagar. De hecho, el propio FBI disuade de hacerlo a las empresas hackeadas. Por un lado, el pago del rescate sirve para fortalecer al grupo delictivo, y adem¨¢s, porque la informaci¨®n ya ha sido robada y no hay ninguna garant¨ªa de que no la filtren en otro momento.

Este ciberataque es una prueba m¨¢s de la vulnerabilidad de las empresas y organismos mexicanos. La cultura de la ciberseguridad es nula, apunta Caramillo, que refiere, por ejemplo, m¨¢s de 16 p¨¢ginas del Gobierno de M¨¦xico que est¨¢n abandonadas y atacadas por hackers. ¡°Hay muchas malas configuraciones, el Gobierno no responde, jam¨¢s se contacta con nosotros¡±, explica.

En 2019, el blanco del ciberataque fue Pemex. En un ataque m¨¢s grave que el de ahora secuestraron el 5% de los equipos, afectaron a la refiner¨ªa de Veracruz y Tabasco y a servidores centrales. Al a?o siguiente fue el turno de la Comisi¨®n Nacional de Seguro y Finanzas, a quien le robaron m¨¢s de 10 gigas de informaci¨®n confidencial por la que ped¨ªan un mill¨®n de d¨®lares. ¡°Est¨¢ muy mal la situaci¨®n¡±, resume el investigador del International Institute of Cybersecurity, ¡°se est¨¢n atacando a muchas empresas mexicanas¡±.

Suscr¨ªbase aqu¨ª a la newsletter de EL PA?S M¨¦xico y reciba todas las claves informativas de la actualidad de este pa¨ªs