Expertos hablan sobre la gravedad y riesgos del ciberataque que sufrió EPM

A mediados de diciembre EPM anunció ser víctima de un ataque cibernético en su plataforma tecnológica, el cual afectó, entre otros procesos, la modalidad de energía y agua prepago.

"La Empresa avanza en la habilitación de los sistemas informáticos afectados, priorizando los procesos más críticos para sus grupos de interés como reconexión, recargas de energía y agua prepago, proceso de pagos, facturación y contratación", dijo en su momento.

De igual forma, la empresa indicó que ya notificó a las autoridades y denunció ante la Fiscalía General de la Nación el delito informático, el cual en este momento es materia de investigación.

Además, activó un equipo para realizar una auditoría forense, que permitirá identificar la causa raíz del incidente de ciberseguridad.

El ataque se lo adjudicó un grupo denominado Blackcat, que ya comenzó a filtrar parte de la información robada.

(Lea, además: Antioquia: dos adolescentes fallecieron tras accidente de tránsito en Caldas)

La empresa de ciberseguridad Lumu Technologies, sacó un informe de alerta sobre cómo enfrentar la dura realidad del estado de ransomware (secuestro de información) en el país.

"En este momento Colombia registra un incremento de 133% comparado con el mismo periodo de 2021 en el número de instituciones afectadas por ransomware. Los impactos de este tipo de ataques son los principales disruptores de operaciones de negocios, continúan causando gran impacto reputacional, producen miles de s

afectados y contribuyen a la presión mediática", dice el informe.

Dicho informe también indica que las afectaciones de estos cibertaques son a la operación y tienen como objetivo "crear caos y disrupción de las operaciones al tiempo que le permiten a los atacantes monetizar el compromiso de las redes ejecutando diferentes tipos de malware en simultáneo".

Algunos de estos, indicó la empresa son: 

- Crypters: Encriptan información de los activos. Dejando fuera de operación a la compañía afectada.

- Infostealers: Sustraen información valiosa para ser comerciada en foros de DeepWeb, y adicionalmente extorsionar a proveedores y clientes de las víctimas amenazandolos con la divulgación de la misma.

- Criptominers: Utilizan el poder de cómputo disponible en la infraestructura de las compañías afectadas para realizar minado de criptomonedas. Esta afectación se realiza tanto en la red corporativa como en los dispositivos conectados a la misma.

- Wipers: Borran, destruyen o hacen indisponible la información clave de las organizaciones víctimas, afectando directamente la operación de las mismas.

(Le recomendamos leer: Indignación por grabación de video porno en una cabina de Metrocable de Medellín)

Por su parte, Ana María Mesa Elneser, CEO de Law TIC, empresa dedicada al derecho, la seguridad informática, seguridad de la información, forense digital, entre otros, explicó que el riesgo es incalculable.

"El hecho de que puedan acceder abusivamente a un sistema es un riesgo alto porque la información que pueden atacar puede ser de alta criticidad, tales como datos de salud, información biométrica o información clínica, que son datos sensibles que componen información crítica", dijo la experta.

¿Qué hacen ellos? explicó Mesa que los ‘crackers’ (delincuentes de la red) realizan un cifrado de la información mediante un ataque ransomware (tiene más de 230 modalidades) para que el propietario no pueda acceder a ella normalmente y piden un rescate para liberar la información.

En algunos tipos de ataque, así se libere la información ya esta queda dañada o corrupta, como se dice en este gremio. En otros casos, no se puede ni siquiera recuperar.

"Extraer información y pedir rescate, que es una estafa. No hablemos de secuestro, porque en el país solo se secuestran personas. Lo que hay es una captura y retención ilegal de información a través de ransomware", dijo la CEO.

(Le puede interesar: Cese de operaciones en la FLA generaría pérdidas por $1.000 millones diarios)

Si bien solo EPM internamente sabe lo ocurrido y las causas del ciberataque, los expertos hacen inferencias basadas a las informaciones parciales que han tenido frente a la atención del incidente y a las modalidades de ataque que hay actualmente.

Mesa explicó que tuvo que ver con el firewall (contrafuego), que es una especie de bloqueo del tráfico que hay en la red, el cual hace que el ataque llegue hasta esa pared.

Añadió Ana María Mesa que estos grupos de ciberdelincuencia dan a conocer su capacidad en el mercado negro de la red, llamado DeepWeb o DarkWeb para vender su capacidad de ataque a quien tenga intenciones de hacer daño a una infraestructura o a un tipo de marca.

"En este momento la víctima es EPM, pero no podemos desconocer que también es probable que a quien quieran volver vulnerable sea al fabricante del firewall, que finalmente fueron quienes dejaron pasar el ataque. De pronto hay algún competidor desleal que quiera debilitar a otro, que se ha visto últimamente. Con esto le dice a la compañía “mire, lo ataqué, su información está encriptada, pero para liberarla contráteme como director de seguridad y le mejoro toda la infraestructura de seguridad, eso nos tiene que cuestionar si hay una lucha desleal entre marcas de tecnología", indicó Mesa.

Explicó la directiva que el delito informático tiene tres fases: la pérdida de la información, la preparación del delito y la comisión del delito.

"En el caso de EPM, ya este grupo (Blackcat) está preparando el ‘rescate’ de la información. ¿Qué pueden hacer con la información? podemos estar hablando de otros delitos como suplantación de sitios web, donde usted crea que está entrando a la página de EPM y pagando a esta empresa y en realidad es a otra página. Eso es un riesgo que en este momento todavía existe.

Para ella, EPM deberá hacer comunicados a sus clientes para que sepan cómo identificar la página oficial de la empresa y dónde oficialmente le van a pagar.

Allí se materializaría un delito llamado fraude informático mediante la modalidad de estafa mediante suplantación de sitios web.

En caso de dar con los responsables de un ciberataque, estos deberán responder por los siguientes delitos del código penal:

Artículo 269

A: abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269

B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

ALEJANDRO MERCADO

Corresponsal de EL TIEMPO - Medellín

@AlejoMercado10