HA SIDO un constante pulso entre Estados Unidos y Rusia la ciberseguridad. Inclusive fue uno de los temas principales del primer cara a cara que sostuvieron hace un mes en Ginebra. Y, pese a que el mandatario norteamericano Joe Biden dijo haberle dejado claro a su homólogo Vladimir Putin las líneas rojas en este aspecto, el mundo registra hoy un colosal ataque a una compañía estadounidense.
Se trata de Kaseya, la empresa que brinda servicios informáticos a unas 40 mil empresas en todo el mundo y clientes de no menos de 1.500 empresas que tienen contratados sus servicios fueron las principales víctimas del ataque. Los piratas, al parecer rusos, exigen 70 millones de dólares en bitcóins para devolver los datos robados.
"Entendemos que el impacto total hasta ahora ha sido en menos de 1.500 empresas", dijo Kaseya en una actualización en su sitio web en la mañana de ayer.
La compañía con sede en Miami calcula que solo 60 de sus clientes están afectados por el ataque de "ransomware", una modalidad que se ha disparado en los últimos años. Estos ciberataques se hacen a través de programas que explotan las brechas de seguridad de una empresa o un individuo para cifrar y bloquear sus sistemas informáticos y se exige un rescate para desbloquearlos.
El ataque, que según los expertos fue llevado a cabo por un equipo de piratas de habla rusa, afectó a los clientes que usaban el software VSA, exclusivo de Kaseya, que permite a las empresas administrar redes de computadoras e impresoras desde un solo punto.
Kaseya dijo que está desarrollando un parche para el VSA para que sus servicios vuelvan a estar en línea lo antes posible.
Está previsto que se lance 24 horas después de que los servidores de la compañía que proporcionan el software vuelvan a estar en línea.
El FBI se está comunicando con la compañía para mejorar sus medidas de seguridad después del ataque, agregó la firma.
La cadena sueca de supermercados Coop fue una de las víctimas indirectas del ataque. La empresa no puede usar desde el viernes su red de cajas registradoras ya que la compañía con la que tiene subcontratado el servicio informático, Visma Esscom, fue víctima del ataque.
Los expertos en ciberseguridad han identificado empresas afectadas por el ataque en al menos 17 países, y el FBI dijo que la escala del ataque es tan grande que puede ser "incapaz de responder a cada víctima individualmente".
El 'ransomware' ha registrado un aumento del 93 por ciento durante el último año calificado como "histórico" por los expertos de ciberseguridad, después de ciberataques como el que reseñamos.
"Este 2021 ya ha batido récords de ciberataques", ha destacado el director de Check Point Software para España y Portugal, Eusebio Nieva, en un comunicado de la compañía.
Recientemente, el 'ransomware' ha estado entre las principales amenazas y ha sido el responsable de ataques como el actual de REvil, según Check Point.
La compañía ha compartido datos sobre la extensión del 'ransomware', con un "aumento histórico del 93 por ciento de 'ransomware'" durante este año, como ha declarado Nieva.
Asimismo, este aumento se produce coincidiendo con una tendencia general de crecimiento de más del 97 por ciento en todos los ciberataques en la región EMEA (Europa, Oriente Medio y África) en los últimos 12 meses.
Punto de acceso del ataque
Con sede en Miami, Kaseya vende herramientas informáticas a empresas, entre ellos el programa "VSA", destinado a gestionar redes de servidores, ordenadores e impresoras desde una sola fuente.
Asegura tener 40.000 clientes en más de 20 países y en sectores tan distintos como la industria manufacturera, la sanidad, la educación, los medios o las finanzas.
Enfocada en empresas de medio tamaño, la compañía propone a sus clientes controlar, gestionar y proteger de forma centralizada todo su sistema informático.
"Nuestra misión es simplificaros la gestión informática", asegura en su web.
Y aunque se desconoce el alcance de los daños, según la firma de ciberseguridad Eset, el ataque afectó empresas de al menos 17 países. Otra empresa de ciberseguridad, Huntress Labs, estimó el sábado que más de mil empresas sufrieron el ataque.
El grupo que perpetró el pirateo, REvil, reivindica haber comprometido un millón de puestos informáticos en un reclamo publicado en un blog y atribuido a ese colectivo.
Para Ciaran Martin, profesor de Ciberseguridad de la Universidad de Oxford, "es probablemente el mayor ataque con 'ransomware' de todos los tiempos". El especialista considera "difícil de cuantificar" su impacto.
"Estamos ante un fenómeno sistémico al que todos tememos", indicó a la AFP Loic Guezo, secretario general de Clusif, una asociación de expertos franceses de ciberseguridad.
"Constatamos, por ejemplo, que el ataque llegó a una cadena de supermercados en Suecia (Coop, NDLR), muy lejos del punto de intrusión inicial" de los piratas, la sociedad Kaseya.
La mayor parte de las 800 tiendas de Coop seguían cerradas este lunes por el ciberataque, según esta cadena de gran distribución.
¿Qué es un 'ransomware'?
El ataque de programa chantajista o 'ransomware' (contracción de las palabras rescate y programa en inglés) es una especie de secuestro digital: un programa maligno se introduce furtivamente en un sistema informático para encriptar todos sus datos y ficheros.
Si quiere obtener la clave para desencriptarlo, el propietario debe pagar un rescate que normalmente se hace en bitcoins, una criptomoneda que permite a los piratas seguir ilocalizables y anónimos.
Estados Unidos ha sido blanco de espectaculares ataques de este tipo contra grandes empresas como el gigante carníco JBS, el gestor de oleoductos Colonial Pipeline o también contra hospitales.
Al menos 18.000 millones de dólares fueron pagados en rescates a piratas informáticos en 2020, según la empresa de seguridad Emsisoft.
Numerosos expertos sospechan que estos hackers chantajistas se encuentran en Rusia y cuentan con cierta protección del gobierno, que niega toda implicación.
La cuestión adquiere tal magnitud que fue uno de los puntos abordados por el presidente estadounidense Joe Biden durante la cumbre con su homólogo ruso Vladimir Putin a mediados de junio.
¿Qué es el grupo REvil?
El ataque se atribuyó a un grupo de piratas de habla rusa conocidos con el nombre de REvil o Sodinokibi.
Un informe reciente de IBM Security X-Force consideraba Sodinokibi como el grupo de cibercriminales más temido en materia de 'ransomware', siendo responsable de un 29% de este tipo de ataques en 2020.
Los autores de este informe estiman que los piratas de REvil obtuvieron 123 millones de dólares de beneficios en 2020.
REvil crea programas informáticos que permiten atacar a empresas y a individuos y los comparte con sus afiliados, que lanzan ellos mismos el programa y reparten después el rescate.
En 2021, la autoridad de la seguridad informática francesa (Anssi) explicó que el programa de Sodinokibi estaba disponible en foros criminales rusófonos para atacantes de élite.
"Sodinokibi decidió limitar significativamente el número de afiliados, imponer un nivel de actividad elevado y prohibir todo afiliado anglófono", explicó este organismo.