No se sabe a ciencia cierta cuánta información se vio comprometida por el hackeo a los servicios digitales de 32 entidades del sector público del país, pero lo claro es que la información de todos los colombianos quedó en riesgo esta semana por cuenta de un ataque cibernético al proveedor de los servicios web de varias entidades del Estado.
Se trata de IFX Networks, una multinacional de servicios tecnológicos que atiende a clientes tanto del sector público como del privado, la cual fue blanco de una violación a su seguridad digital por la que quedaron, literalmente, en las nubes los datos de millones de usuarios.
Tras el hackeo a IFX Networks, el censo de afectados es un interrogante que las autoridades aún no consiguen responder. Y para recabar esa información están haciendo una investigación digital que requiere encontrar una llave maestra virtual: el malware (software malicioso) por el que entró el delincuente cibernético.
La cuestión es que esa pesquisa, si bien tiene a varias entidades del Gobierno trabajando sin descanso en alianza con IFX para detectar al responsable, no depende solo del sector público. El problema de fondo de este ataque es que llegó al proveedor de los servicios cibernéticos y solo IFX Networks puede conseguir la clave para dar con la solución del problema.
¿Y mientras tanto, qué? Los ingenieros están pescando, no en río revuelto, sino en la nube, para detectar en qué punto se violó la privacidad de la compañía y tapar así ese “hueco” virtual que abrieron los hackers. El hoyo negro puede estar en Colombia, Chile, Ecuador o Panamá, que fueron los otros países donde los clientes de la firma se vieron afectados por el ataque. O, incluso, en cualquier parte del mundo.
IFX es hermética y su único pronunciamiento ha sido un comunicado que publicó a las nueve de la noche del martes 12 de septiembre en el que confirmó que desde las 5:50 de la mañana de ese mismo día había sufrido un “ataque de ciberseguridad externo tipo ransomware” (un software malicioso que se utiliza para bloquear el acceso a sistemas informáticos y luego exigir un rescate) que había afectado sus máquinas virtuales.
Se necesitaron 16 horas para que el problema que tenía en riesgo sus operaciones, que se extienden por 17 países, se hiciera público.
Los enredos del hackeo
Primero, que pese a ser un ransomware, no se trata de un secuestro de datos, sino de un bloqueo para acceder a la información; segundo, que los delincuentes cibernéticos no han pedido dinero a ninguna de las entidades; tercero, que el directamente afectado es IFX y, como consecuencia, sus clientes y los usuarios de estos.
Todo un coletazo nacional que hizo que la Rama Judicial suspendiera los términos de los procesos judiciales ante la dificultad para acceder a los sistemas; que la página de la Superintendencia de Industria y Comercio quedara bloqueada y que otras entidades como la Superintendencia de Salud también vieran afectaciones en el acceso a sus portales web, lo que le llevó a suspender los términos de los procesos jurisdiccionales y los de una serie de acciones administrativas. El estamento público tuvo que trabajar a media máquina.
En el Ministerio de Salud, 14 de sus más de 150 aplicaciones reportaron problemas de funcionamiento, algunas que son de uso diario por funcionarios públicos en todo el territorio nacional, como los dos aplicativos en los que se reportan los nacimientos de nuevos colombianos y las defunciones en el país. En esa cartera la situación es crítica porque 55 millones de datos fueron afectados.
La grave situación despertó la ira del Gobierno nacional. Es tal la incomodidad que ya están pensando en expedir una reglamentación con los parámetros que deberán seguir las entidades públicas cuando contraten a empresas privadas que les presten el servicio de la nube. Mejor dicho: van a tirar línea con los estándares de seguridad que deben seguir estos proveedores para que puedan continuar contratando con el sector público.
“Este no es un ataque al Gobierno. Es un ataque a una empresa privada que no previó todos los mecanismos de seguridad que se habían puesto, es un fallo de la compañía. Si no se logra resolver el problema para este domingo, invitaré a un comité de expertos internacionales a que lo resuelvan”, detalló el ministro de las TIC, Mauricio Lizcano a la espera de una respuesta.
Mientras se liberan los datos, la solución a la crisis es que cada entidad busque el backup de su información. Pero ese respaldo (que se almacena en la nube o en medios magnéticos) depende de qué tan juiciosos hayan sido los funcionarios públicos con tener una copia de los datos.
En el Ministerio de Salud detallaron que ya están considerando liberar la copia de su información para ver qué tantos datos de esos 55 millones que terminaron en manos de delincuentes virtuales quedaron respaldados en sus sistemas. Las entidades atribuyen la responsabilidad al proveedor y este, IFX, asegura no tener voceros disponibles que les den respuestas a los colombianos sobre qué va a pasar con su información.
“La compañía se encuentra trabajando ante la incidencia y precisa que no ha evidenciado vulnerabilidades en la información, privacidad y seguridad de los datos en la nube, dado que estos están protegidos con protocolos de seguridad de la información”, detalló la firma en el único mensaje que enviaron el martes a sus clientes latinoamericanos. SEMANA los buscó, pero no obtuvo respuesta.
Los expertos advierten que ya es momento de mejorar la inversión en ciberseguridad para evitar otros casos como este. “Hay que hacer una revisión, tener unas políticas de seguridad fuertes y no confiar todo en un tercero. Es probable que esta empresa no conozca aún la dimensión del ataque”, dijo Rafael Páez, experto en ciberseguridad de la Universidad Javeriana.
Quieren revivir Agencia de Seguridad Digital
Colombia recibe 20.000 millones de ataques cibernéticos al año y este es, tal vez, el que ha comprometido más servicios en el país. Pero sin ir muy lejos, hace unos meses la información médica de los pacientes quedó en juego con el ataque cibernético a Audifarma, la Fiscalía también denunció un ciberataque en su contra y la Superintendencia de Salud ya había presentado otras afectaciones.
Los delincuentes virtuales están en todas partes esperando que los usuarios abran un chat desconocido o un correo malicioso, mientras que el Congreso y el Gobierno no se han puesto de acuerdo sobre cómo mitigar ese riesgo virtual.
El presidente Petro culpa a la oposición por las consecuencias del ataque porque esta frenó un artículo del Plan Nacional de Desarrollo (PND) con el que el mandatario quería tener facultades extraordinarias para crear la Agencia de Seguridad Digital. Pero Petro no es preciso en ese señalamiento porque, a fin de cuentas, el atacado fue el proveedor del Estado y no el Estado mismo.
La queja del Legislativo es que esa agencia debe crearse mediante un proyecto de ley independiente y no con un mico en el PND, mucho menos dándole facultades especiales al jefe de Estado.
Mientras se resuelve el debate sobre cómo conformar esa agencia, Saúl Kattan, consejero digital de la Presidencia, deja las alarmas encendidas: “Se puede considerar este ataque como el mayor a las infraestructuras en Colombia en los últimos años”.