¿Cuáles son los ciberataques más comunes en el Perú?

Empresas peruanas pueden perder su información en 30 minutos

El ransomware, phishing y cryptojacking son las modalidades que más afectan a los usuarios y empresas en el Perú. A nivel regional, se estima que los ciberataques se elevarán en 25% durante el 2018.

“¡El aplicativo de ventas no funciona! ¿Qué hacemos?”, le gritaron al teléfono a Miguel. Lo que pensaba el ingeniero que era un error en el servidor resultaba ser algo mucho más grave. En cuestión de minutos, los servidores de una empresa de retail de equipos tecnológicos quedaron inutilizables al ser infectados con ransomware. La base de datos con la información logística de la compañía peruana había sido secuestrada y encriptada. Al menos 1.5 bitcoins era lo que pedían los ciberdelincuentes, aproximadamente, US$15,000 en marzo del 2018.

La operación comercial, a cargo de más de 100 trabajadores, quedó paralizada por horas. Lo pensaron largamente, pero finalmente la compañía decidió no pagar el monto exigido. Se formatearon los servidores, se actualizó el software y se restauró la base de datos con la información de 24 horas atrás.

“Fue un problema muy grande. La información de stock se actualiza en tiempo real. En ocasiones se vendieron productos que ya no estaban en stock y se tuvo que solucionar con el cliente”, contó Miguel a la Agencia Andina, quien pidió mantener su identidad en reserva.

Si bien los clientes continuaban llegando, los vendedores no tenían certeza de que los productos solicitados se encontraban en el almacén. Decenas de ventas fueron canceladas. Luego de un día y medio, el servidor retomó su operación. Pero pasó una semana para que el inventario sea actualizado por completo.

Hasta el momento se investiga quién estuvo detrás del ataque. Sin evidencias, "no valía la pena denunciar”, dijo Miguel.

El 25.1% de ataques de ransomware (secuestro de datos) en el 2017 fueron identificados en nuestro país, la cifra más alta en América Latina, según la empresa de seguridad Eset.

No pague al ciberdelincuente

La compañía peruana de seguridad Supra Networks estimó que los ciberataques se elevarán en 25% este año en América Latina. Pero ¿cuáles son las modalidades que más afectan a los usuarios y empresas en el Perú? Los expertos consultados coinciden que el ransomware, phishing y recientemente el cryptojacking generan cada vez más víctimas en el país.

En el primer caso, TeslaCrypt, Crysis y Locky son las variantes con mayor cantidad de detecciones en nuestro país, según Eset.

“En el último año la cantidad de variantes diferentes aumentó en un 60%, lo cual nos demuestra que los cibercriminales encontraron en este tipo de amenaza una forma de obtener ganancias económicas a costa de la información de los usuarios”, señaló Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica.

El cibercrimen también se aprovecha de las vulnerabilidades y, en el Perú, una de las amenazas de este tipo es EternalBlue, que se utilizó para propagar Wannacry en el 2017 y dejó una decena de empresas peruanas perjudicadas y más de 200,000 sistemas afectados en 150 países.

Eso fue lo que ocurrió con una consultora peruana. Todo empezó por no actualizar el sistema operativo de las computadoras. “En menos de una hora, 25 computadoras resultaron infectadas. No teníamos un plan de contingencia y no pudimos responder rápido”, contó Manuel, quien también reservó su identidad. Todas las carpetas compartidas en ese equipo habían sido afectadas por ransomware. Se perdió la jornada laboral de 25 trabajadores.

“Your files have been encrypted!", se leía en cada equipo. Al hacer clic al botón del medio de pantalla se solicitaba el pago de un bitcoin.

Para resolver el problema se decidió formatear la computadora con los datos estadísticos internos de la semana. Si bien formatear el equipo es la solución más rápida para acabar con el ransomware, no es la primera opción.

“Hay que preservar las evidencias. No se puede formatear los equipos. Pues, esto significa destruir todas las evidencias junto con sus indicadores de compromiso. Estos datos son valiosos ya que permiten investigar el origen del ataque, su motivación, su alcance, su objetivo y también quién está detrás”, explicó a la Agencia Andina Dmitry Bestuzhev, Director del equipo de Investigación y Análisis para América Latina en Kaspersky Lab.

Otro problema que hace difícil detectar el ransomware es que el ataque no se ejecuta de forma inmediata. El 47% de las empresas peruanas indican tener poca probabilidad de descubrir en el corto plazo un ataque cibernético sofisticado, según un estudio de EY Perú.

Elder Cama, socio de consultoría de EY Perú, precisó que solo el 9% de las compañías peruanas consideran que está preparada para detectar un ciberataque a tiempo. "Las empresas tienen la guardia baja. Cuando un atacante entra a la red, no lo hace la misma semana sino seis meses o un año atrás. Primero estudia la estructura de la compañía", dijo.

Por eso, hay que detectar comportamientos extraños, por ejemplo, archivos que no estaban previamente en una carpeta. Y debe quedar en claro que nunca se debe pagar al ciberdelincuente ante el secuestro de datos.

Según EY Perú, el 6% de las empresas incrementarán su presupuesto de ciberseguridad en 25%. Sin embargo, la falta de cultura de prevención suele ser el mayor problema que enfrenta una compañía en el Perú.

Otra mala práctica es no contar con un sistema de backup supervisado. Elba Salas, Gerente General de INTECNIA, partner exclusivo de Bitdefender en el Perú, dijo a la Agencia Andina que los smartphones de los trabajadores que se conecten a la red de la empresa o se utilicen para el trabajo también deben ser protegidos.

“Es muy importante involucrar al personal de las empresas sobre las medidas de seguridad para el cuidado de la red”, añadió. La especialista manifestó que compañías de todo tamaño son afectadas, principalmente del rubro de servicios, industriales, comercio, telecomunicaciones y financiero.

El caso más conocido en el Perú fue el ciberataque a la naviera del grupo Maersk de Dinamarca. La empresa fue víctima de ransomware de la variante Petya. La compañía, que restringió sus operaciones en el país, tuvo pérdidas financieras no reveladas en su reciente reporte financiero.

La segunda modalidad más común es la ingeniería social a través del phishing para cometer fraude electrónico y estafas en línea. El cibercriminal apunta a los usuarios más que a las empresas para robar información financiera. Las campañas se han diversificado a través de redes sociales y el correo electrónico.

Foto: Kaspersky Lab

Un tipo de ataque reciente descubierto en mayo del 2018 por Radware advierte del uso de una extensión de Chrome que roba credenciales del navegador.

En algunos casos, las víctimas ingresan a portales atraídos por un tema de coyuntura, como una noticia. Dejan sus datos sin percatarse que están inscribiéndose a un servicio de pago. Por ejemplo, esta semana, Kaspersky Lab detectó sitios falsos que vendían entradas a los partidos del Mundial Rusia 2018. Los estafadores han creado cientos de dominios con algunas palabras relacionadas con la Copa Mundial y ofrecen exclusivos boletos con precios inflados en más de diez veces.

La forma más rápida de evitar ser estafado es ver la URL de la web y corroborar que sea una tienda real. Es necesario ignorar despampanantes ofertas que llegan vía email, Facebook, Twitter o Whatsapp.

Ataques invisibles

En el Perú hay dos tipos de detecciones de los códigos maliciosos del tipo ‘miner’, que buscan utilizar la capacidad de procesamiento de los dispositivos de los usuarios para obtener criptomonedas: a través de la modalidad del cryptojacking y el minado directo desde la computadora, laptop u otro equipo, alertó Camilo Gutiérrez, Jefe del Laboratorio de Investigación de Eset Latinoamérica.

El cryptojacking es la más popular en nuestro país. Los usuarios ingresan a un portal y se ejecuta algoritmos criptográficos para crear criptomonedas como Bitcoin, Etherium y Ripple, con valores superiores a los 5,000 dólares dependiendo del mercado. La otra variante implica que el software malicioso se instale en el dispositivo del usuario.

“El minado de criptomonedas no es una actividad ilegal, pero los atacantes comprometen la seguridad de los dispositivos de los usuarios y usan sus recursos para el minado”, dijo.

A ello se suma otro código malicioso popular en el Perú que es conocida como HoudRat. El RAT (Remote Access Tool) está orientado al control de equipos informático para permitir el acceso remoto del ciberatacante. “Este código malicioso es utilizado principalmente para el robo de información, especialmente financiera y en el último tiempo ha ido migrando hacia la minería de criptomonedas”, añadió Gutiérrez.

¿Cómo funciona? La historia de Ana lo explica claramente. Ella descargó un archivo de una dirección web maliciosa y, sin darse cuenta, 35 computadoras resultaron afectadas en 24 horas.

El malware realizaba criptominería. Para ello seguía un protocolo de interacciones en la red que comprobaron la veracidad de las transacciones de criptomoneda.

“Al día siguiente, el antivirus lo detectó, pero el código de programación era tan avanzado que luego de eliminarse se regeneraba y era un ciclo infinito”, contó Ana bajo el anonimato.

La página web del atacante estaba registrada desde China, de donde provienen la mayoría de ataques en el Perú, según los expertos consultados. No hizo la denuncia, y la Directiva de Seguridad, elaborada por la Autoridad de Protección de Datos Personales, determina que se realice el registro interno, mas no el reporte, salvo que involucre pérdida de datos privados.

“Generar criptodivisas usando miles de computadoras infectadas es rentable para el atacante ya que podría obtener muchos dólares en poco tiempo. Esta es la razón de la popularidad de estos ataques en los últimos meses”, refirió Jorge Castañeda, gerente general de Secure Soft Corporation. Los bitcoins pueden ser utilizados para la compra en línea de propiedades, servicios o productos.

Lo más preocupante es que este tipo de ataques pueden permanecer en el anonimato por meses sin la protección debida. Para detectarlos es necesario estar atento a algunos síntomas.

“Los equipos cuentan con registros (logs) donde se graban los eventos que se ejecutan, por eso, es sumamente importante contar con soluciones o servicios de correlación y analítica de logs que les permitan tener visibilidad de lo que sucede y aplicar los mecanismos y controles preventivos o reactivos”, refirió a la Agencia Andina.


Foto: Solvetic

Otro síntoma es que una computadora consuma muchos recursos en CPU y se pongan lentas. Para descartar un ataque se debe revisar el Administrador de tareas de un equipo.

También es alarmante que este ataque se esté propagando vía smartphones. Dmitry Bestuzhev, director del equipo de Investigación y Análisis para América Latina en Kaspersky Lab, reveló la detección de aplicaciones móviles con código malicioso que tienen hasta 100,000 instalaciones en Android.

Kaspersky Lab recomienda no instalar apps fuera de las tiendas virtuales oficiales y evitar dar acceso de administrador. Por el momento, la mayoría de víctima está la India, Estados Unidos y Reino Unido.

"En el 2019 vamos a seguir viendo ataques de esclavización de la minería de criptodivisas, así como ataques de Ransomware. Lo que va a cambiar es la forma de infectar que sería más sutil y sofisticada”, opinó.

Peligro latente

Radware también ha detectado portales ilegales que ofrecen ataques en línea desde 20 dólares. José Luis Ríos, gerente regional de Radware, advirtió que en Centroamérica hubo un caso donde el hacker recibió 15,000 dólares por dejar fuera del servicio a una institución pública.

A ello se suma otro riesgo: el uso de malware en dispositivos conectados. La tendencia del internet de las cosas (IoT) ofrece ventajas para las ciudades digitales, pero también presenta un nuevo reto de ciberseguridad. “La combinación del malware con el internet de las cosas es un nuevo vector de ataque para el cual no estamos preparados. Los bots del IoT, por ejemplo, atacan cámaras de vigilancia”, dijo.

Arie Simchis, director para Latinoamérica de Radware, agregó que los ataques son cada vez más encriptados para que no puedan ser detectados. “Es bien difícil saber las cifras exactas porque la mayoría de las empresas, si lo pueden esconder, lo hacen. No hay empresas que no estén siendo atacadas. Lo que vemos es que algunas están preparadas y otras no”, señaló.

Según Gartner, para el 2020 habrá 25 mil millones de ‘cosas’ conectadas en uso y se calculan 44 zettabytes de datos digitales.


¿Qué hace el Perú al respecto? Según el National Cyber Security Index de la Fundación e-Governance Academy de Estonia, nuestro país está en el tercer lugar del ranking de América Latina en cuanto a preparación en ciberseguridad. Los primeros puestos son para Colombia y Chile, respectivamente. Con el puesto 55 de 100 a nivel mundial, Perú obtiene 37.66 puntos. Las prioridades con mayor desarrollo son educación (67%), identificación digital (78%), lucha contra el cibercrimen (78%), pero aún requiere mejorar el nivel de respuesta en tiempo real (50%).

Por su parte, el Ejecutivo envió el año pasado un proyecto de ley que propone la aprobación del Convenio de Budapest sobre ciberdelincuencia. La comisión de Relaciones Exteriores del Congreso aprobó el 4 de junio la resolución legislativa que aprueba esta iniciativa. “Hemos pedido que tenga prioridad para su debate en el Pleno”, dijo el congresista Juan Carlos Del Águila, miembro de dicho grupo parlamentario. La adhesión permitirá al Perú aplicar a programas técnicos y de capacitación sobre ciberdelincuencia.



Publicado: 14/06/2018. Última actualización: 31/08/2018

¿Cómo prevenir estos ataques?

Responde este cuestionario para conocer las mejores prácticas de ciberseguridad y privacidad: