Portada

Kaseya: Claves para entender uno de los ciberataques más complejos de la historia

El pasado 2 junio, poco después del mediodía, cientos de empresas alrededor del mundo sufrieron problemas con sus computadoras y…

Por Marco Marín

Tiempo de Lectura: 7 minutos
Kaseya: Claves para entender uno de los ciberataques más complejos de la historia
Facebook Twitter Whatsapp Telegram

El pasado 2 junio, poco después del mediodía, cientos de empresas alrededor del mundo sufrieron problemas con sus computadoras y sistemas operativos. En total, más de 1.500 fueron afectadas directamente, mientras que la cifra aumentó 36.000 si se consideran las víctimas colaterales.

El denominador común entre ellas fue que todas utilizaban habían instalado un producto de la firma de software, Kaseya.Precisamente, ese día, la compañía fue víctima de uno de los ciberataques más complejos hasta el momento, según diversos expertos internacionales.

Una semana después, la empresa no ha logrado solucionar la situación a medida que el grupo criminal, REvil detrás del asalto exige al menos $50 millones para poner fin al ramsomware.

Esta banda, la cual se sospecha opera en Rusia, es considerada una de las cinco organizaciones criminales cibernéticas más peligrosas del mundo. Dicho ataque no es el primero que realizan y por el cual cobran una millonaria suma.

Mientras tanto, la Junta Directiva de la compañía aún debate si pagar o no el rescate. Según trascendió, el pasado 6 de julio era uno de los límites impuestos por los atacantes para transferir el dinero, lo cual no se realizó.

Originalmente, los criminales solicitaron $70 millones que debían ser pagados en Bitcoin. No obstante, esto llamó la atención de algunos especialistas dado que es fácil de rastrear. Usualmente estos grupos optan por criptomonedas más anónimas como Monero.

Pero, exactamente, ¿qué es Kaseya?, ¿qué significa ramsomware? y, aún más importante, ¿qué puede aprender Costa Rica de esta situación?.

Para ello, El Observador conversó con el consultor en estrategias de ciberseguridad y profesor de la Universidad Cenfotec, Alonso Ramírez, así como el portavoz de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC), Gezer Molina.

OBSERVE MÁS: Hackers reclaman millones de dólares de “rescate” por ciberataque que afectó empresas

¿Qué es Kaseya y qué pasó?

Esta empresa internacional de software cuenta con más de 40.000 clientes que utilizan, al menos, uno de sus productos. Kaseya ofrece soluciones digitales entre las que se incluye su herramienta VSA. La misma unifica el monitoreo remoto con las funciones de administración de los servidores y puntos de enlace de una red.

A medida que el pasado 2 de julio, la empresa se percató del ataque, la misma aconsejó a sus clientes desconectar sus servidores, al mismo tiempo la compañía hizo lo mismo con su base de datos Saas. Este es el servidor que conecta y ofrece su software como servicios (Saas, por sus siglas en inglés)

Esa es una de las características que hace de dicho caso algo tan complejo, explicó Ramírez.

“No solamente atacó una empresa, sino que atacó un proceso de la compañía que permitió que contaminara a muchas otras más. Más de 1.500 fueron víctimas, pero ¿qué fue lo que pasó? El actor malintencionado atacó a una primera empresa que tiene un proceso de distribución y sobre ese proceso atacó a las demás víctimas”, explicó.

A raíz de esto, desde gobiernos municipales en los Estados Unidos, hasta cerca de 800 tiendas de una cadena en Suecia y 11 escuelas en Nueva Zelanda tuvieron que desconectar sus servidores y, al día de hoy, no los han podido restablecer haciendo que el acceso a la información en las computadoras sea, prácticamente, imposible.

Lo anterior independientemente de si sus datos fueron robados o no.

¿Qué lo hace sofisticado?

Dos días después, y en medio de la celebración por los 245 años de independencia de los Estados Unidos, Kaseya reconoció que fue víctima de un ataque “altamente sofisticado”. Dicha conclusión fue respaldada por expertos a nivel internacional como local.

Incluso, equipos de las empresas de ciberseguridad más grandes del mundo, como es el caso de Mandiant, fueron llamados a cooperar con la investigación. Pero, ¿qué lo hace sofisticado?

“La poca huella digital que dejan durante el ataque. ¿Qué significa eso? Queda muy poca información para poder determinar quién fue el que lo hizo o el cómo lo logró. En el mundo técnico, hoy se puede saber de todo. Perfectamente determinar cómo se desarrolló el ataque y saber por dónde entró y salió.

Aunado a esto, el impacto que tuvo en tantos negocios hace que “ese diseño de ataque es justamente el que determina su nivel de complejidad”, añadió el experto.

Precisamente, el FBI explicó que la vulnerabilidad fue explotada en la cadena de servicio de su multiherramienta VSA. De acuerdo a la empresa Huntress, el fallo se habría presentado en la interfaz web de dicho software, al aprovecharse de una desviación en el proceso de autenticación del usuario., según reportó el medio ZD Net.

Incluso, el gerente general de Huntress, Kyle Hanslovan, tildó a los criminales de “altamente eficientes”. Por su parte, Ramírez agregó que, además de estos factores, el grupo tuvo que haber contado con información interna ya que logró un ataque de nivel gubernamental.

“Tuvo que haber un infiltrado durante el proceso, que conoció a detalle cómo funcionaba la operación. Identificó las principales fallas y aprovechó esa ventaja técnica para desarrollar el ramsomware maligno y poder distribuirlo.

“Para poder tener el tiempo para hacer eso se requiere un grado de especialización y un grado de inversión importante. Cuando vemos este tipo de escenarios, las agencias del orden nacional pensando que pueden ser ataques de país, que vengan de otras naciones”, explicó.

De hecho, las autoridades internacionales le llaman a este tipo de asaltos “día cero” y los consideran como los de mayor nivel, en gran parte por los factores destacados por Ramírez.

OBSERVE MÁS: Rusos responden a Biden: Acusaciones sobre ciberataques son “delirantes”

¿Pagar o no pagar?

En este caso, el ramsomware es el programa desplegado por el grupo criminal para ganar el control ya sea del programa o del servidor principal y, literalmente, secuestrar la información allí depositada. Para detenerlo, ofrecen una llave (contraseña) especial para recuperar el acceso a los datos encriptados, siempre y cuando la víctima pague un rescate.

Precisamente, ese es el tema que divide a los expertos en el mundo a medida que Kaseya intenta solventar la crisis sucitada por REvil, el grupo criminal que los tiene “secuestrados”.

No obstante, para Ramírez la respuesta es clara: no hay que pagar estos rescates.

“Punto uno. Estás fomentando a la delincuencia organizada que haga ciberataques, aún más. Que continúa especializándose en este tipo de acciones, financiar sus actividades y ser más especialistas, más sofisticados aún. Dependiendo de la nación donde usted se encuentre, podría estar violando reglamentos o leyes.

“(Estas) justamente sancionan el hecho de contribuir con la delincuencia organizada. Otro punto es que la recuperación de información, a la hora de pagar, es prácticamente nula. Los datos estadísticos han demostrado que no se recupera o solo de forma parcial. La extorsión se materializa aún más”, explicó.

No obstante, este no es siempre el camino que las empresas toman. Por ejemplo, en el reciente ataque al oleoducto Colonial Pipeline, en Estados Unidos o a la compañía de carnes, JBS, ambas empresas pagaron. El primero envió $5 millones a la banda Dark Operators, los cuales luego fueron rastreados.

Mientras tanto, JBS, que fue atacada también por REvil, pagó $11 millones. De acuerdo con Ramírez, muchas veces esto responde más a una necesidad para conseguir mayores evidencias del ataque. Como bien apuntan fuentes al portal ZD Net, la frecuencia de dichos asaltos ha incrementado.

Por ejemplo, el caso de Colonial Pipeline sucedió tan solo el pasado 9 de mayo.

OBSERVE MÁS: EE.UU. declara estado de emergencia tras el ciberataque a su mayor red de oleoductos

Y ¿Costa Rica?

Al hacer una radiografía de la ciberseguridad, a nivel nacional, el portavoz de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC), Gezer Molina, explica que el país ha tenido avances importantes. No obstante, afirma que no se puede depender, solamente, de una estrategia reactiva sino adoptar una cultura preventiva.

De acuerdo con el experto, Costa Rica ha venido evolucionado de forma positiva, en materia de ciberseguridad. Para Molina, esto lo demuestran diferentes estudios como el de la Unión Internacional de Telecomunicaciones (ITU).

“Evalúan medidas legales, técnicas, organizativas, desarrollo de capacidades y cooperación en el cual posiciona a Costa Rica en el puesto 76 a nivel global. Este año subió 39 puestos con respecto al anterior (115). En el continente americano, Costa Rica entró a los 10 países más ciberseguros de América, al ocupar la posición ocho”, explicó Molina.

Según el experto, existen varias leyes en Costa Rica que se ocupan de la delincuencia cibernética como la Ley de Delitos Informáticos y Conexos. También resaltó que el Organismo de Investigación Judicial (OIJ) cuenta con una Unidad especializada de Cibercrimen.

Por otra parte, destacó la existencia de la Agencia de Protección de datos de los Habitantes (Prodhab) aunque reconoció que no es tan robusta como otros organismos internacionales.

En esa línea, Ramírez señaló que, a pesar de los avances, falta legislación que ofrezca una mayor seguridad jurídica. Por ejemplo, resaltó que actualmente las empresas no tienen la obligación legal de informar sobre este tipo de asaltos, algo que sí sucede en otras latitudes y considera vital.

Precisamente, para Molina, esto solo se puede lograr con una articulación nacional.

OBSERVE MÁS: Bancos piden a usuarios digitales “blindarse” contra ciberataques, expertos reportan incremento global

Articulación

“Para realizar mejoras en este campo es vital la unión de todos los sectores tanto público, privado, gobierno, educación para reforzar la educación en materia de ciberseguridad, asimismo, fortalecer a las instituciones mediante convenios de cooperación tanto locales como internacionales para la atención de amenazas y transferencia de conocimiento”, afirmó.

En ese sentido, Ramírez explicó que, a nivel institucional y empresarial, hay que ver el tema desde tres ópticas.

  • Sector privado nacional
  • Trasnacionales (Zonas Francas)
  • Gobierno

En primer lugar, el experto señaló que las empresas extranjeras están a la vanguardia en este tema, dentro del territorio nacional, precisamente porque traen una cultura externa que prioriza este rubro.

A nivel local, mencionó que tanto el sector financiero como el médico, llevan la batuta. De hecho, gran parte de este grupo “se ha tomado las cosas con seriedad”. No obstante, aceptó que las pymes podrían estar quedando rezagadas.

A nivel estatal, Ramírez celebró los avances tanto del Banco Central como del Tribunal Supremo de Elecciones, los cuales en su opinión, son referentes para el sector público.

Por esta razón considera muy importantes los espacios habilitados por la CPIC para fomentar la discusión sobre los temas afines. Por eso lado, el portavoz del Colegio, explicó que recientemente se llevó a cabo el I Congreso Virtual de Gobierno Digital.

“(Contó) con expertos nacionales e internacionales de alto nivel, dirigido a colegiados del sector público, con el fin de tener un país accesible y vanguardista en el ámbito de las tecnologías de la información y comunicación.

Este evento estuvo auspiciado por el Poder Judicial y el Servicio Civil. Se tienen convenios con Instituciones de Gobierno en busca de brindar cooperación en temas de educación en Tecnología”, explicó Ramírez.

Sin embargo, para el experto, el tema está cada vez más al alcance de la población. Por ejemplo, comentó que existen algunas iniciativas individuales que se aprovechan de las redes sociales para compartir conocimientos e información.

“Destaco al programa Noches de Ciberseguridad, por Roberto Lemaitre. Todos los sábados transmite vía Facebook y Youtube, invitando a expertos para abordar diferentes temas en el campo de la ciberseguridad. Este programa conecta personas de Costa Rica y otros países para aumentar sus conocimientos”, sentenció.

Marco Marín Las experiencias trascienden a los resultados. Tomar el camino menos transitado siempre hace la diferencia y los errores duelen menos cuando seguimos nuestro instinto. En lo periodístico, las palabras solo son herramientas pero, utilizadas adecuadamente, dan sentido a nuestras vidas. En síntesis: compren el tiquete, ajusten el cinturón de seguridad y disfruten del viaje.

Temas:

Buenas Noticias

Deloitte EE.UU. abre un nuevo centro de servicios en Costa Rica y contratará inicialmente a 100 personas

Feria de empleo en la universidad Fidélitas pone a disposición 1.500 plazas relacionadas con computación.

“Un Muro del Agradecimiento” fue el protagonista del Día de las Buenas Acciones, en San José

Reconocido médico español trae su fundación a Costa Rica para operar a pacientes con tumores aplicando innovadora técnica

Deportes

Atletas costarricenses entran en la recta final para buscar su boleto a los Juegos Olímpicos de París

“Todo el mundo nos daba por muertos, pero el Madrid nunca muere”, afirma Ancelotti

Por penales, el Real Madrid deja en el camino al City, campeón defensor, y pasa a semifinales de la Champions

El PSG y Mbappé ganan en Barcelona para remontar y meterse en semifinales de la Champions

Lo más visto

Regla fiscal se flexibilizará hasta el 2027 y permitiría gastar ¢80.000 millones a la próxima Administración

Visitación en Aeropuerto de Liberia crece a un ritmo de 28,6%, por encima del Juan Santamaría y el promedio nacional

Dos Pinos regalará 4.000 helados en San José este viernes: aquí los detalles

¿Destitución del presidente del Banco Central? Diputados redactan las últimas recomendaciones sobre solicitud de datos a entidades financieras

¿Aceptará Costa Rica a migrantes expulsados de Reino Unido? Esto dice el canciller Arnoldo André

Todo Política

Críticas a Chaves desde el Plenario: “se ve muy mal que ande jugando de chiquito resentido; exigimos que se comporte como adulto”

Diputados quitan obligatoriedad a patronos de proporcionar bloqueador solar a sus trabajadores

Oficialismo, Liberal Progresista y Nueva República en contra de ampliar comisión investigadora del Sinart

Aprueban informe legislativo que recomienda la “urgente” destitución de Roger Madrigal por pérdida de confianza

Lente Mundial

Israel lanzó un ataque con misiles contra Irán, según reportes

EEUU veta en el Consejo de Seguridad petición palestina de adhesión a la ONU

Cómo era el antiguo reptil marino del tamaño de dos autobuses cuyo fósil fue hallado en Reino Unido

Mishka Ben-David, el escritor y exagente de la Mossad que anticipó el ataque del 7 de octubre

Tecnología

Uber: bolsos, sombrillas y ropa son los bienes que más olvidaron los ticos en los carros en el 2023

Uber reveló que los sábados son los días cuando los usuarios olvidaron más artículos en los viajes.
Tecnología

Padre del internet visita Costa Rica: le apuesta a la colaboración entre EE.UU y China para superar retos de inseguridad en línea

Vinton Cerf estuvo de visita en Costa Rica y contó sobre el ambicioso proyecto en el que participa junto a la NASA a sus 80 años.

Tecnología

Intel mete a Costa Rica en la carrera de la IA con los procesadores Xeon 6

Intel centra aquí (para todo el mundo o para buena parte del orbe) sus labores en Investigación y Desarrollo, Ensamblaje y Prueba de Procesadores y el Centro de Servicios Globales, entre ellos finanzas.
Lente Mundial

EE.UU. alerta por participación de China en telecomunicaciones: “Hay riesgo real para costarricenses y sus comunicaciones”

El despliegue de la tecnología 5G ha suscitado polémica en Costa Rica por la decisión de poner requisitos que dejarían fuera a las industrias chinas
El Observador trata de diferenciarse de los demás diarios digitales y consolidarse como un periódico profesional y balanceado, con una agenda propia de temas.
Paute con nosotros | Contáctanos: [email protected]