A principios de septiembre de 2023, Colombia sufrió un masivo ataque de ransomware de terceros que llegó al corazón de la infraestructura y los servicios gubernamentales del país.
Los actores amenazantes obtuvieron acceso a través de IFX Networks, un proveedor de servicios de Internet, en lo que se conoce como un ‘ataque de cadena de suministro’.
El gobierno colombiano alega que el ataque ocurrió como resultado directo de la negligencia de IFX y que su comunicación con el gobierno y otras víctimas después fue insuficiente. El gobierno ya ha anunciado su intención de emprender acciones legales contra IFX.
El presidente colombiano Gustavo Petro estaba en la sede de las Naciones Unidas en Nueva York cuando se desarrollaron los acontecimientos. Aunque no mencionó directamente a IFX, dijo que la magnitud del ataque demostró que la empresa "no tenía las medidas adecuadas de ciberseguridad". Si eso es cierto o no, está por verse, pero el daño reputacional a IFX ya está hecho.
La Oficina del Presidente emitió posteriormente una declaración en la que afirmaba que el ataque de ransomware afectó a “762 empresas en América Latina, con IFX suministrando datos a un total de 17 países en el subcontinente.” Se cree que entidades en Argentina, Panamá y Chile también fueron arrastradas por el ataque.
Hablando con Caracol Radio, el ministro colombiano de Información y Telecomunicaciones Mauricio Lizcano dijo: “Cuando un gobierno o una entidad privada le da sus datos a una empresa, es su mayor tesoro. Y la empresa debe tomar todas las precauciones [para asegurarse] de que esta información no se pierda.”
Ley y desorden
La recuperación será un proceso lento y complicado. El gobierno colombiano solo sufrió daños en al menos 32 de sus sitios web más importantes, incluidos los de:
- el Ministerio de Salud, incluido el de la Superintendencia de Salud y varios hospitales privados;
- el regulador de la competencia (la Superintendencia de Industria y Comercio);
- los Servicios del Poder Judicial, incluido el Consejo Superior de la Judicatura; y
- la autoridad del mercado de valores.
El efecto que el ataque de ransomware ha tenido en el funcionamiento diario del país y su economía ha enfurecido al gobierno.
Por ejemplo, se suspendieron dos millones de procesos legales durante siete días porque los portales web del poder judicial estaban completamente congelados y no había forma de determinar el estado de los procedimientos actualmente en el sistema.
Muchos centros de salud también perdieron sus servicios en línea, lo que significa que los pacientes no podían solicitar citas o recetas, y los médicos no podían acceder a los registros médicos.
El Ministerio de Tecnologías de la Información ha advertido que los datos personales de salud de un número no especificado de colombianos ahora están en circulación en la Dark Web.
Contabilizando el costo económico
Quizás lo más significativo de todo fue que el pirateo duplicó el retraso en los procedimientos de comercio exterior de Colombia:
- Los exportadores que requieren permisos del Instituto Colombiano Agropecuario (otra de las entidades afectadas) encontraron que la adquisición de los permisos manualmente tomó casi el doble de tiempo, y que en algunos casos la información necesaria simplemente no estaba disponible.
- Las importaciones a Colombia que requieren permisos también se retrasaron.
No se ha establecido una cifra sobre cuánto ha costado hasta ahora el ataque al gobierno y las empresas de Colombia, aunque la realidad es que nunca se conocerá la cantidad final.
La Agencia de Seguridad Nacional y Asuntos Espaciales no logra despegar
Recientemente, la legislatura de Colombia no logró por un voto aprobar un nuevo ministerio dedicado a la ciberseguridad. Entre los indignados por el fracaso se encontraba Saúl Kattan Cohen, uno de los empresarios más prominentes de Colombia y asesor del presidente Petro. Tras el ataque de IFX, el Sr. Kattan recurrió a las redes sociales para declarar que la creación de una Agencia Nacional de Seguridad y Asuntos Espaciales era ahora “urgente”.
Que la NSSAA estuviera tan cerca de ser votada puede deberse a que este ciberataque no es el primero que Colombia ha tenido que soportar a nivel estatal. En 2018, las elecciones del país se vieron sumidas en el caos por decenas de miles de ciberataques contra sus sistemas de registro de votantes.
Un problema mundial
Es posible que sea un consuelo frío para Colombia, pero no está sola. Otros gobiernos afectados por ataques de ransomware en los últimos años incluyen a Sri Lanka, la República Dominicana y Costa Rica, que fue esencialmente cerrada después de negarse a pagar un rescate de US$20 millones a un grupo de hackers rusos en abril de 2022.
La bolsa de valores de Nueva Zelanda, NZX, fue derribada durante dos días consecutivos en 2020 por un ataque DDoS. Contando una historia ahora familiar, NZX dijo que había sido víctima de un ataque de cadena de suministro en alta mar a través de su proveedor de servicios de red.
Ahora está claro que los actores amenazantes no encuentran ningún objetivo demasiado grande o demasiado pequeño como para valer la pena apuntar. Ser un buen ciudadano global requerirá que las organizaciones de todos los tamaños adopten un enfoque más estratégico, coordinado y considerado para construir sus defensas de ciberseguridad. Es la única forma de protegerse a sí mismos y sus redes más amplias de cadena de suministro.