Keralty, la nueva víctima de los ataques de ‘ransomware’

La organización multinacional Keralty es la reciente víctima de un ataque de ransomware, de tipo RansomHouse, que afectó los sitios web y operaciones de la empresa y sus subsidiarias como la EPS Sanitas y su servicio de medicina prepagada, Colsanitas.

(Puede leer también: Siguen los problemas en Sanitas: ¿qué pueden hacer los s?)

Keralty es un proveedor de atención médica que opera una red internacional de 12 hospitales y 371 centros médicos en América Latina, España, Estados Unidos y Asia, emplea a 24.000 personas y tiene 10.000 médicos que brindan atención médica a más de 6 millones de pacientes.

Desde el lunes pasado, los s de las distintas páginas de la empresa como la EPS y Colsanitas empezaron a reportar fallas en la asignación de citas, en la solicitud y entrega de medicamentos y también en los exámenes.

Según un comunicado del grupo, este puso en marcha un plan de contingencia en todo el territorio nacional para que dentro de las limitaciones producidas se siga atendiendo a los s que llegan cada día.

La Fiscalía General de la Nación abrió una investigación para dar con quienes están detrás del ataque cibernético. El caso está en manos de agentes especializados que pertenecen a un grupo de informática forense, quienes tienen la tarea de dar con el alcance que tuvo el hacker, puesto que desde la presidencia de Sanitas se habló de que el daño pudo extenderse a otros días.

De acuerdo con Juan Pablo Rueda, presidente de la EPS Sanitas, el incidente se presentó la semana pasada, pero la afectación se ha extendido en los últimos días, de acuerdo con reportes de los s y los trabajadores.

“Somos víctimas de un ataque cibernético muy importante, estamos desplegando un plan de contingencia”, declaró Rueda, pero no indicó qué tipo de afectación sufrió la entidad. “En esta labor estamos contando con el apoyo de expertos nacionales e internacionales con amplio conocimiento en este tipo de situaciones”, aseguró el grupo a través de un comunicado.

Kaspersky, una empresa global de ciberseguridad, registra 4.000 ataques de ransomware al día en América Latina, en los primeros ocho meses del año.

Aunque esta cifra representa una disminución del 28 por ciento en comparación con el mismo periodo en 2021, los expertos de Kaspersky advierten que esta reducción no significa que los ciberdelincuentes estén abandonando este método de operación. Al contrario, alertan que los grupos criminales se han enfocado en ataques dirigidos, pues en la región se han detectado familias locales de ransomware cuyo único objetivo es atacar a instituciones latinoamericanas, ya sea del sector público o privado.

En América Latina, las cinco familias más comunes de ransomware son Trojan.Ransom.Win 32.Wanna, Trojan.Ransom.Win32.Stop, Trojan.Ransom.Win 32.Blocker, Trojan.Ransom.MSIL.Blocker y VHO.Trojan.Ransom.Win 32.Convagent, todos ellos encryptors, es decir que, como su nombre lo dice, encriptan los datos de sus víctimas.

De acuerdo con la ministra de Tecnologías de la Información y las Comunicaciones, Sandra Urrutia, por el lado de la ciberseguridad y los ataques que ha sufrido el país, por ejemplo en el caso de las empresas del grupo Keralty como la EPS Sanitas, Colcert, el Grupo de Respuestas Cibernéticas de Colombia, ya tiene unos protocolos en proceso.

“Hemos hecho en seguimiento, hemos activado los protocolos y hemos visto por ejemplo en el caso de Sanitas que se están adelantando las actuaciones correspondientes en el interior de la empresa y se espera un reporte”, expuso.

Urrutia enfatizó en que la idea es que desde el Plan Nacional de Desarrollo se determine la creación de una Agencia de Seguridad Digital que le permita al país estar más protegido. Por el momento, se han aumentado las campañas de ciberseguridad para proteger y mantener el buen uso de estas herramientas.

(Le puede interesar: Hackeo a EPS Sanitas afecta a casi 5.5 millones de s)

“El ataque que sufrió Keralty está confirmado y hay evidencias que apuntan a que el grupo RansomHouse está detrás y que además pidieron un rescate y estos ataques son su especialidad, lo que hacen es que roban archivos y documentos confidenciales y luego escriben a los directivos de las empresas amenazando con la publicación de los datos si no hacen un pago. Entre los ataques más sonados a su nombre está uno a la empresa AMD de procesadores y también que prestaban sus plataformas a otros ciberdelincuentes para atacar”, explicó Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

El experto señala que el inicio de estos ataques se puede dar con una contraseña expuesta de un empleado que puedo haber sido conocida y así el criminal tiene a la infraestructura interna.

“También es muy posible que se trate de un ataque remoto, que deja en evidencia la vulnerabilidad de los servidores y una vez están dentro pueden ver toda la organización y conocer detalles como cuál es el sistema operativo, dónde están los servidores, los datos más importantes y sensibles, y esta información es filtrada externamente para borrar todo el contenido y así lograr que los sistemas no funcionen o su sitio web, o lo otro que pueden hacer es instalar el ransomware dentro de la red. Ahora lo que no se sabe es cuánto tiempo estuvieron allí y qué tanta información tienen en su poder, al momento de que no funcionen los sistemas ya todo terminó”, agregó el experto.

Para Assolini era evidente que si ya no funcionaban las páginas y el sitio estaba fuera del aire, ya se había concretado y se había filtrado el contenido.

“Volver a tener el control dependerá del tamaño de la infraestructura que tiene la organización, también de los respaldos de los datos. Es más, algunos grupos lo que hacen es que eliminan estos servidores de respaldo y aún no sabemos si ese fue el caso de Keralty, pero en Colombia ya se tuvo uno similar y fue el caso del Dane. Volver al nivel anterior podría tardar hasta una semana en promedio y en este caso prestar el servicio de salud tardaría igual”, destacó.

A los correos de los s de Sanitas se les envió una comunicación explicando que se presentan fallas en los sistemas y que el equipo técnico, médico y de servicio trabaja en conjunto para dar continuidad a la atención, también recordaron las líneas telefónicas o puntos presenciales para acudir.

“En Latinoamérica tenemos leyes para penalizar estos ataques; el problema empeora cuando los ciberdelincuentes no están en la región y, por ejemplo, cuando la Policía se da cuenta de que la dirección IP es de una escuela en Asia o en África, pues son usados como un Proxy o una VPN. Estos son grupos que no hablan el idioma, no están acá. Es muy difícil tener el convenio de cooperación o lograr una condena, pues así el país tenga la mejor legislación no hay certeza para lograr penalizarlo”, puntualizó.

En agosto se descubrió una nueva familia de ransomware que atacó en Colombia y Chile y que justamente recibe el nombre de Chile Locker, haciendo referencia al primer país en el que hizo su aparición. Fue diseñada por cibercriminales latinoamericanos con la capacidad de robar credenciales guardadas en navegadores, enumerar dispositivos de extracción (como discos duros y pendrives) para el cifrado y evadir la detección por antivirus mediante tiempos de espera de ejecución. Hasta la fecha, Chile Locker solo se ha detectado en la región.

REDACCIÓN TECNOLOGÍA