Varias entidades financieras locales fueron atacadas por los hackers que crearon WannaCry entre el viernes y lunes de esta semana. También fueron víctimas algunas entidades del Gobierno y más de un par de empresas del sector comercial. Así lo detallaron hackers locales que prefieren mantener su nombre en reserva.
-
No todas las empresas que fueron atacadas terminaron siendo infectadas -dijeron-, pero un buen porcentaje sí terminó con archivos o sistemas secuestrados. Las víctimas se incrementaron el lunes, a diferencia de lo que ocurrió en Europa, que tuvo el viernes el mayor volumen de implicados.Representantes de empresas de seguridad tecnológica confirmaron que entidades peruanas fueron atacadas con WannaCry, pero se negaron a comentar lo sucedido.Se supo también que una semana antes, un ataque similar ya se había registrado en el Perú. Una entidad financiera fue infectada con el mismo sistema y aprovechando, por primera vez, la vulnerabilidad que se uso en el mundo con WannaCry. Debido a ello, se sospecha que el programa fue creado en el Perú y luego compartido a hackers de todo el mundo (entre los hackers el difundir éxitos y compartir herramientas es algo común). Pero esa teoría es muy difícil de probar.La Asociación de Bancos (Asbanc) dijo a El Comercio que no se pronunciarán sobre los delitos informáticos. La Cámara de Comercio de Lima señaló que no han recopilado información entre sus asociadas sobre la incidencia del ataque en cuestión. En la Presidencia del Consejo de Ministros no respondieron las consultas de El Comercio.
MUCHO RIESGOAl respecto, Fabio Assolini, investigador de Kaspersky, explicó que en países como el Perú los riesgos de infectarse por este tipo de ataques son bastante altos pues existe mucha informalidad en la contratación de software (se usan muchas copias piratas) y no se siguen todos los protocolos de prevención. Ahora lo urgente, resaltó, es que se actualicen los programas porque es inevitable que surjan nuevas versiones de gusanos que aprovechen la misma vulnerabilidad encontrada por WannaCry. En el caso de la institución financiera atacada, Assolini señaló que el problema fue atendido siguiendo los protocolos debidos, y no fue hecho público en los medios de comunicación a pedido de los afectados, por el temor a que su reputación se vea dañada.Este suceso no es el primero ocurrido este año. Gabriel Lazo, gerente general de enHacke, comentó que en el verano hubo una campaña de phishing con ransomware (secuestro de datos) parecida a la ocurrida el viernes pasado que fue dirigida a instituciones del sector educación y el retail. Los criminales, detalló, no secuestraban todas las bases de datos de las víctimas, sino aquellas que tienen datos críticos para poder cobrar rescates más elevados. En aquella oportunidad se llegó a pedir hasta US$10 mil a una de las víctimas.
FALTA PREVENCIÓNLa ejecución de secuestros de datos es un delito que viene creciendo en forma acelerada en nuestro país desde hace año y medio atrás. Pavel Orozco, director para Latinoamérica de Forcepoint, ha estimado que en el Perú esta práctica crecería un 60% este año, pero lamentó que no existe un alto nivel de prevención a nivel corporativo.Lazo considera que las grandes corporaciones ya tienen mecanismos de defensa implementados y correctamente configurados, pero aún así terminan siendo víctimas de este tipo de ataques porque los usuarios finales no son conscientes del riesgo que conlleva abrir un enlace en un correo infectado. “La prevención más eficiente en estos casos se da mediante buenas campañas de sensibilización a los usuarios de la organización”, resaltó.En eso coincide Assolini, quien resaltó la importancia de contar con un plan preventivo para estos casos. Además de estar convencidos de la importancia de no ceder al chantaje - no hay garantía de que devuelvan los datos - es importante tener un plan de acción, protocolos a seguir, contar con respaldos de la data crucial en servidores que no estén conectados a la red y seguir las recomendaciones de los asesores de seguridad. También es muy útil, añade Lazo, requerir de los servicios de hacking ético o búsqueda de vulnerabilidades (contratar a expertos en seguridad que simulan ataques para ver en donde están las posibles fallas para solucionarlas). Lamentablemente, dijo, esta medida es empleada solo por quienes lo tienen exigido por regulación, como el sector financiero, pero debería ser empleado por otros tipos de negocios antes de que sean atacados por extorsionadores.