Empresas peruanas pagan a “hackers” para que no filtren información

De acuerdo a Palo Alto Networks, en 2023, el número de empresas peruanas notificadas por los sitios de filtración de ransomware creció 49%, en comparación a 2022. Pero, ¿cuáles fueron los sectores más afectados?

El 22% de las filtraciones de información afectó al sector agrario, y en menor medida a los sectores gubernamentales (gobiernos locales), energía, manufactura, servicios financieros, salud (servicios hospitalarios), alta tecnología y construcción.

Asimismo, precisó que los ataques dirigidos buscan afectar a la organización y tener una remuneración económica por medio de la extorsión. Incluso, hay grupos que enfocan sus recursos para afectar a sectores específicos.

LEA TAMBIÉN: Ransomware: ¿cuáles son los sectores más vulnerables a los ciberataques?

De acuerdo a Fortinet, en 2023 el Perú recibió 5,000 intentos de ciberataques, aunque fue menor en comparación al 2022, la tendencia indica que cada vez son más dirigidos y sofisticados.

“Los grupos de cibercriminales han creado un modelo de ransomware como servicio (raas), es decir, el cibercriminal pone a la venta o renta dicho software malicioso en la Dark web y así se crean grupos de afiliados que tienen acceso a ella”, explicó Arturo Torres, consultor de Seguridad de Fortinet a Gestión.

LEA TAMBIÉN: Ciberdelincuencia secuestra datos de empresas peruanas y pide millonarias sumas para recuperarla

Ransomware: empresas pagan a los “hackers” para recuperar sus datos

Para Kenneth Tovar, country manager Palo Alto Network para Perú -Bolivia muchos de los ciberataques no se hacen público y se resuelven entre “cuatro paredes”, ya que implementan medidas de ciberseguridad para recuperar la información robada por los grupos de ransomware.

“Hemos tenido que negociar con los secuestradores para que un hospital con bajos recursos, que sobrevivía con donaciones, puedan librarse de los ciberataques, ya que le dijimos al grupo activista que eran muy vulnerables”, contó Tovar a Gestión sobre la operación que realizó UNIT-42, la Unidad de Investigación y Amenazas de Palo Alto Networks.

Sin embargo, algunas empresas peruanas terminan pagando a los hackers para que no filtren su información sensible. ¿Por qué? porque podrían perder su reputación y sentirse vulnerable ante la competencia. Por lo tanto, tampoco lo hacen público.

“Lamentablemente terminan pagando a los criminales para evitar que hagan pública la filtración, debido a que esto les generaría una gran pérdida reputacional frente a sus clientes y stakeholders, posibles anulaciones de contratos e incluso denuncias y multas”, explicó Tovar.

Pero, ¿cuánto terminan pagando? El experto comentó que han habido pagos de hasta US$ 10 millones en el mundo, ya que algunas empresas consideran que su información vale mucho más dinero.

Además de exigir una cantidad de dinero importante por el rescate principal, también pueden pedir una tarifa estándar de US$ 10,000 por una prórroga para evitar que los datos se publiquen en el sitio web, y otras cantidades de dinero para que sus datos sean borrados o que puedan descargarse.

“Te damos la llave con la que vas a poder desencriptar esta información para que puedas recuperar tus datos, pero debes pagar por ellos”, así lo explicó Tovar como extorsionan estos grupos de ransomware a las empresas.

LEA TAMBIÉN: IA, phishing y troyanos ponen la mira en billeteras digitales: las 8 ciberamenazas del 2024

Ransomware Medusa

El ransomware Medusa, que convierte la información en piedra, viene amenazando a empresas de Bolivia, Brasil, Chile y Argentina; y está poniendo en la mira a nuestro país.

¿Cómo funcionan? Instalan programas maliciosos que controlan los servidores web y ejecutan comandos no autorizados. Luego de instalarse, Medusa sobrevive sin que los antivirus convencionales y los equipos de TI puedan percatarse de su actividad maliciosa, porque hace uso de la técnica “Living off the land” (LOTL), que imita el comportamiento normal del sistema.

“Una vez dentro del sistema, el grupo Medusa secuestra la información confidencial de la empresa encriptándola a nivel militar, renombrándola bajo la extensión “.medusa”. En ese punto los archivos están convertidos en piedra, son completamente inaccesibles y la llave solo la tienen los criminales. Terrible es la sorpresa de las empresas cuando les llega un archivo de texto indicándoles que tienen que pagar para recuperar su información o que de lo contrario será publicada en el blog oficial de la agrupación criminal”, detalló Kenneth Tovar Roca.

LEA TAMBIÉN: La temporada del año en que las empresas son más vulnerables a los ciberataques

Lockbit, el grupo cibercriminal más temido

De acuerdo con una investigación realizada por UNIT 42 de Palo Alto Networks, Lockbit es el grupo cibercriminal responsable del 67% de las filtraciones de información empresarial de empresas peruanas en sitios ransomware durante ese año. Además, ha generado el mayor número de filtraciones a industrias a nivel internacional, afectando a 928 empresas en 2023, el 23% del total.

¿Cómo las empresas pueden hacer frente a estos grupos de ransomware?

Para Tovar de Palo Alto Network, una empresa debería tener una política de Backup, es decir, un programa que recupera o restablece la información pérdida. “Si pierdo los archivos, implemento el Backup y recupero la información de ayer”, explicó el experto.

Asimismo, recomendó aplicar dicho programa de manera recurrente como forma de precaución.

Por su parte, Arturo Torres de Fortinet comentó que, antes de hacer una estrategia de Backup, se debe realizar un análisis de riesgo para considerar “si estoy altamente expuesto a ciberataques”.

LEA TAMBIÉN: Once razones que explican porqué los cibercriminales quieren tus datos personales

SOBRE EL AUTOR

Edgar Velito Limaylla

Periodista digital con foco en carreras del futuro, tecnología, startups e internacionalización de empresas. Exredactor de Economía en Diario El Gobierno. Desde el 2023 es parte de Gestión.