La empresa Tigo Data Center, proveedora de internet de Paraguay y Colombia, fue víctima de un ataque de ransomware, lo que implica el secuestro y cifrado de datos, perpetrado por Black Hunt, afectando a 330 computadoras. El grupo delictivo está exigiendo un rescate de USD 8 millones en Bitcoin.
Durante el ataque se vio comprometida la seguridad de 3,300 copias de respaldo empresariales y el almacenamiento en la nube de datos de empresas destacadas, entre ellas Farmacenter y CADIEM.
Ante la situación, el domingo 7 de enero Tigo emitió un comunicado informando a sus clientes sobre un incidente de seguridad que había afectado la infraestructura de sus servicios empresariales. La compañía aseguró estar trabajando con equipos locales y regionales, con el respaldo de expertos técnicos, para restaurar los servicios afectados.
Al momento de actualizar la información, la empresa proveedora de internet emitió un comunicado para aclarar que los servicios de telefonía y billetera electrónica no experimentaron ninguna alteración. Además, la empresa refutó la existencia de una extensa lista de clientes corporativos afectados por el ataque, desmintiendo algunas versiones difundidas en redes sociales y medios de comunicación.
Debido a esto, dos grandes empresas que se dedican al comercio electrónico informaron al público acerca de problemas en sus páginas web que impiden a los usuarios hacer compras en línea. También en redes sociales, hay usuarios que reportan que la caída afectó las ventas electrónicas en los sitios web de clientes corporativos que utilizan los servicios de hosting de la empresa Tigo.
Miguel Ángel Gaspar, presidente de Paraguay Ciberseguro y consultor en seguridad digital, indicó que la falta de información proporcionada por la empresa y por el Equipo de Respuestas de Incidentes Cibernéticos de Paraguay, dependiente del Ministerio de Tecnologías de Información (MITIC), fue escueta porque no da detalles de cómo fue que el virus logró permear el sistema de seguridad de Tigo y qué características tuvo el móvil que utilizaron los ciberdelincuentes, indicando lo necesario que es un protocolo de trabajo que incluya la transparencia cuando ocurren incidentes de este tipo.
Además, el empresario indicó que LATAM es una región muy vulnerable a los ataques de ciberdelincuentes y que casos como el de Tigo no van a cesar tan fácilmente. "Empresas multinacionales e instituciones públicas fueron víctimas de hackeo en países como Argentina, México, Chile", apuntó.
A partir de esta situación que logró, además, encender las alertas de las autoridades del país ante este tipo de circunstancias, las Fuerzas Armadas emitieron un boletín de alerta roja en respuesta a los ciberataques sufridos por una compañía telefónica, señalando la existencia de datos sensibles relacionados con alrededor de 300 empresas adicionales.
Se pudo conocer que este incidente puso en riesgo las copias de seguridad de unas 3,300 empresas, sin embargo, el Ministerio de Tecnologías de la Información y Comunicación del Paraguay (Miticpy) declaró su desconocimiento sobre estos eventos, lo que plantea un problema grave y urgente.
Poco después de salir a la luz la vulneración de la base de datos de Tigo, otro incidente de debilidad en ciberseguridad ha captado la atención de los expertos en la materia. Se ha dado la alarma sobre la oferta de datos procedentes de diversos portales paraguayos, incluyendo empresas de telefonía, casas de bolsa y otros sectores, en lo que se conoce como la “deep web”.
Según el abogado Leonardo Gómez Berniga, no se sabe a ciencia cierta si estas filtraciones detectadas corresponden efectivamente al hackeo de la base de datos de Tigo o si corresponden a otro hackeo distinto, ocurrido inmediatamente después o incluso anterior. "Lo que sí sabemos es que hay cuentas de estas compañías telefónicas, de inversiones y electrodomésticos", señaló LPO.
La "deep web", que representa el lado no visible de Internet en contraste con la parte "visible" accesible a través de los motores de búsqueda, suele ser comparada con la base de un iceberg. Se estima que sólo el 5% de Internet es visible, mientras que el 95% restante corresponde a la porción oculta. Esta parte mayoritaria de la red se utiliza a veces para eludir la censura gubernamental, pero también para llevar a cabo diversas actividades delictivas. La aparición de datos de múltiples portales paraguayos en esta "internet profunda" destaca la creciente amenaza y la necesidad de fortalecer las medidas de seguridad cibernética en diversas industrias.
Para Eduardo Carrillo, representante de la Coalición de Datos Personales de Paraguay, estos dos episodios, indiferentemente de si están conectados o no, muestran la vulnerabilidad que existe en el manejo de datos en sistemas informáticos públicos y privados. "En poco tiempo hay como dos ejemplos a vulneraciones a sistemas informáticos, con escalas distintas, que demuestran la fragilidad que existe en el país en materia de ciberseguridad", expresó Carrillo.
¿Qué es Black Hunt?
Black Hunt parece ser una variante del código original de Conti, y FortiGuard Labs ha identificado recientemente nuevas versiones del ransomware Black Hunt. Este software malicioso, aunque relativamente novedoso, se ha destacado por su capacidad para infiltrarse en las redes de las víctimas mediante la explotación de configuraciones vulnerables del Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés).
Los archivos cifrados por el ransomware Black Hunt adoptan un patrón de nombre específico: [ID único asignado a cada máquina comprometida].[dirección de correo electrónico de contacto].Hunt2. Para complicar aún más la recuperación de archivos, este ransomware los elimina de manera instantánea. Además, deja dos notas de rescate identificadas como #BlackHunt_ReadMe.hta y #BlackHunt_ReadMe.txt.
La amenaza que representa este ransomware se intensifica con sus tácticas de cifrado avanzadas y su capacidad para obstaculizar los intentos de restauración de datos mediante la eliminación de instantáneas y la implementación de un sistema de notas de rescate.
El senado de Paraguay toma medidas
Unos días después de que la compañía Tigo fue víctima del ataque de ransomware que dejó sin servicio a sus clientes corporativos, que luego confirmaron el secuestro de información confidencial, el congreso de Paraguay adjudicó 1,600.00 millones de guaraníes para la compra de 100 computadoras de escritorio para evitar ser víctimas de la ola de hackeos.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.