El Ministerio de Relaciones Exteriores (Minex) informó este jueves 6 de octubre que “sufrió una intrusión a su infraestructura tecnológica, lo cual llevó a que el sistema estuviera inoperable temporalmente” y que actualmente los servicios están restablecidos.

Afirmó que efectuó un protocolo de seguridad en el que se descubrió una falla en los servicios informáticos, por lo que hizo un análisis forense y se detectó la intrusión mencionada.

Por lo sucedido tomaron acciones habiéndose establecido medidas de mitigación y prevención que incluyeron la suspensión temporal de algunos de los servicios que presta.

Según Cancillería, actualmente los servicios están funcionando, lo cual les ha permitido brindar atención de “manera ininterrumpida a todos los connacionales”.

Afirmó que hasta este 6 de octubre, han entregado más de 1 mil 536 documentos apostillados y han atendido unas 4 mil 557 citas, además de contar con 8 mil 59 citas programadas para esta semana.

Aseguró que sigue trabajando en reforzar los sistemas informáticos, esto con la ayuda de asesoría nacional e internacional, por lo que “se cuenta con mayores medidas de seguridad para la protección de la infraestructura tecnológica”.

Agregó que seguirán trabajando en la adhesión de Guatemala al Convenio de Budapest, el cual establece una política penal orientada a la protección contra la ciberdelincuencia.

Reporte de problemas técnicos

El 19 de septiembre recién pasado, el Minex informó en su cuenta de Twitter a los usuarios de la apostilla electrónica en línea de que estaban enfrentando problemas técnicos que esperaban resolver a la brevedad.

Al día siguiente, el Minex informó que también tenía problemas con la legalización de documentos y que los usuarios estuvieran atentos a la información en redes sociales.

El 28 de septiembre, Cancillería informó que, luego de que se diera una falla técnica en uno de los servidores generales, la Red Consular había comenzado a regularizar la prestación de servicios de documentación a los connacionales en el exterior, así como sus servicios de programación de citas.

Añadió que los consulados priorizarían a los connacionales que ya tenían una cita programada, por lo que se comunicarían con los usuarios por medio de correo electrónico y confirmando con llamadas a los afectados, para garantizar que no pierdan su espacio gestionado con anterioridad.

Para leer más: Dos guatemaltecos se declaran culpables de tráfico de personas en EE. UU. y esto se sabe del caso

Suspensión de 10 días

La falla técnica del servidor causó la suspensión, por 10 días, de los servicios que el Minex presta.

Aseguró, que este tiempo sirvió para dar mantenimiento a todo el sistema y remplazar los equipos, lo cual era necesario para la reactivación.

El 23 del mismo mes, Comunicación del Minex afirmó que hacían las pruebas y esperaban reanudar pronto el servicio; además agregó que las citas programadas no se perdieron y serían atendidas en el mismo orden en que fueron solicitadas.

Respecto de los consulados móviles, informó que estos mantenía comunicación directa con los usuarios para reprogramar.

Today, the Ministerio de Relaciones Exteriores de Guatemala (Ministry of Foreign Affairs of Guatemala, @MinexGt) confirmed that it suffered a #cyberattack causing the disruption of public services. The announcement comes 9 days after #Onyx disclosed the breach… https://t.co/vrKjp5Ubq6 pic.twitter.com/6hQqJYG9qA

— VenariX (@_venarix_) October 6, 2022

Verifican si hubo robo

Comunicación del Minex informó este jueves 6 de octubre que aún se verifica si hubo robo de información y que es importante mencionar que los software de pasaportes y DPI son de Migración y del Registro Nacional de las Personas, no de esa institución.

Agregó que Ransomware es robo de información y eso se está verificando.

Grupo se atribuye hackeo

La cuenta de Twitter @_bettercyber_ publicó que el grupo Onyx publicó archivos presuntamente sustraídos del Minex de Guatemala.

Agregó que el grupo afirma haber pirateado al Minex, la agencia gubernamental encargada de conducir las relaciones internacionales de Guatemala.

Destacó que este jueves 6 de otubre, Cancillería confirmó que sufrió un ciberataque provocando la interrupción de los servicios públicos. “El anuncio llega 9 días después de que Onyx revelara la violación”, resaltó.

Son más de 52 documentos que supuestamente fueron vulnerados, entre estos hay información de guatemaltecos temporales en Estados Unidos, hospitalizados, privados de libertad y listado de menores no acompañados en 2021.

También repatriaciones, asuntos contables, listas de abogados, boletines informativos y estadísticas.

Se consultó al Minex sobre qué estatus tienen los documentos que habrían sido hackeados, pero aún se espera la respuesta.

#InformaciónImportante pic.twitter.com/amsfVe4Uc4

— MINEX Guatemala (@MinexGt) September 20, 2022

#InformaciónImportante pic.twitter.com/7DUIdNInz9

— MINEX Guatemala (@MinexGt) September 19, 2022

Foto principal: Getty/iStockphoto

Ahora ya le exigen 20 millones y las amenazas no cesan.

“Estamos en guerra y eso no es una exageración”, dijo esta semana el nuevo presidente del país, Rodrigo Chaves, que ordenó un estado de emergencia nacional tras un mes de ciberataques contra los sistemas de las instituciones del país.

Los autores son un grupo de delincuentes cibernéticos con base en Rusia que se les conoce como Conti, el nombre de la plataforma informática con la que realizan sus ataques.

Su negocio consiste en penetrar en los sistemas informáticos de corporaciones, instituciones y gobiernos para extorsionarlos.

Recientemente atacaron al servicio de inteligencia de Perú, pero donde realmente han sembrado el caos es en Costa Rica.

Aquí te explicamos en cinco claves qué está pasando con el ciberataque masivo al país centroamericano.

1. Qué ocurrió

El 18 de abril Conti dirigió a organismos e instituciones de Costa Rica su ciberataque masivo en forma de ransomware, fusión de los términos en inglés ransom (rescate) y software.

Un ransomware es un software malicioso que secuestra la información de un sistema (como datos, archivos o claves) para pedir un rescate.

El grupo atacó a 30 instituciones costarricenses como el Ministerio de Trabajo, el de Ciencia, Tecnología y Telecomunicaciones, el Seguro Social o el Instituto Meteorológico Nacional.

Pero el más afectado fue el Ministerio de Hacienda, donde los ciberdelincuentes entraron a los servidores y usurparon todo tipo de información.

“Puede que hubiera un interno que conocían, o estaban escaneando puertos, o alguien en Hacienda entró en un enlace que no debía”, indica a BBC Mundo el abogado costarricense José Adalid Medrano, especialista en Derecho informático y Ciberdelincuencia.

Los hackers de Conti secuestraron los sistemas de declaración de impuestos y de comercio exterior del país pertenecientes al Ministerio de Hacienda.

Así, las aduanas dejaron de procesar los impuestos de las importaciones y exportaciones, se paralizaron los sistemas de recaudación y se suspendieron pagos de salarios de empleados del sector público.

Un mes después del mayor ataque, parte de los servicios aún no han podido ser restaurados.

“Al día de hoy los sistemas no se han restablecido. Sin embargo, el Ministerio de Hacienda mantiene sus servicios, entre ellos el cobro de impuestos para mantener la recaudación; la atención de exportaciones, importaciones y tránsito de mercancías para no afectar el comercio internacional”, dijo a BBC Mundo en un comunicado Nogui Acosta Jaén, ministro de Hacienda de Costa Rica.

Expertos calculan las pérdidas en decenas de millones de dólares.

2. Quién está detrás

Si bien Conti es una plataforma rusa, el origen del ataque podría estar mucho más cerca.

“Hay indicios muy claros que gente dentro del país está colaborando con el grupo cibercriminal Conti”, dijo el presidente Chaves.

El informático y empresario Esteban Jiménez, que fue uno de los artífices de la estrategia de ciberseguridad de Costa Rica, avala esta hipótesis.

“El grupo madre se encuentra en Rusia, tiene la herramienta y el financiamiento principal, pero hay células afiliadas a Conti en otros países”, afirma a BBC Mundo.

Explica que, por lo general, estas células pasan a formar parte de Conti a través de contactos en la red profunda o simplemente rentan su plataforma de ataque: “Pagan con criptomonedas entre US$5.000 y US$20.000 por usarla un mes”.

Y menciona algunos indicios que apuntan al origen del ataque en la región o incluso en la propia Costa Rica, como “el tipo de redacción” de los extorsionadores.

Los ciberdelincuentes también “citan particularidades muy específicas el país, son personas que tienen conocimiento del ambiente local”, conocen “los procesos internos del gobierno y el estado de la tecnología y los sistemas que usa el país” y aseguran tener contactos en la administración pública.

“Esto no es normal en un ataque internacional, que suele ser más genérico”, asegura Jiménez.

3. Por qué Costa Rica

Llama la atención que este Estado centroamericano de poco más de cinco millones de habitantes haya sido el objetivo de uno de los mayores ciberataques dirigidos a un país en los últimos años.

Para Esteban Jiménez, la clave está en el desarrollo tecnológico que ha experimentado Costa Rica, superior al de sus vecinos centroamericanos pero sin la madurez de los países europeos o Estados Unidos.

Para estos últimos, asegura el experto, amenazas como la de Conti “son el pan de cada día” y por tanto están preparados para responder.

Le preguntamos qué pasaría si el grupo dirigiera por ejemplo a Alemania un ataque como el sufrido por Costa Rica.

“Probablemente hubieran tenido cierta afectación, pero los mecanismos de recuperación habrían sido mucho más maduros y el proceso de respuesta más coordinado”.

Costa Rica, explica, “se ha perfilado en los últimos años para desarrollarse como una de las grandes economías de la región; al digitalizar un país se amplía la superficie de entrada y esto es una motivación para Conti, que la ve vulnerable”.

José Adalid Medrano, por su parte, cree que es la escasa seguridad de los sistemas costarricenses lo que invitó a los hackers a atacar.

“Recordemos que, según los informes locales, nos encontramos ante servidores y sistemas débilmente protegidos“, afirma el abogado.

En el caso de Hacienda, considera que “no es posible que un Ministerio que brinda tantos servicios a la sociedad y tiene información sensible de los costarricenses no tenga un plan de contingencia“.

Un informe de la Contraloría en 2019 ya señaló 250 vulnerabilidades críticas y alertó de la ausencia de este plan de contingencia que, de existir, habría facilitado recuperar la continuidad de los servicios tras el ataque.

4. Cuáles son los motivos

Los objetivos de los ransomware suelen ser empresas privadas, ya que es muy difícil que un gobierno -y más en un país democrático- acceda a pagar un rescate a un grupo de ciberdelincuentes.

¿Realmente es el dinero lo que motivó a Conti a atacar a Costa Rica o podría haber razones políticas o de otra índole?

El ataque se produjo en un momento significativo: la transición de la presidencia de Carlos Alvarado a Rodrigo Chaves, cuya reciente mención a una “guerra” ha sido interpretada por algunos como una alusión a posibles motivaciones políticas de los atacantes.

“Aunque haya indicios de colaboración dentro del país, no quiere decir que haya una motivación política”, asegura Medrano.

El abogado cree que los ciberdelincuentes tienen objetivos más ambiciosos.

“Una empresa privada es una víctima más ideal pero, si la víctima que cae es un Estado, te da propaganda, hace parecer que es un ataque más planificado, más grande, y Conti se fortalece en imagen como grupo criminal”.

“Aunque el ataque a Costa Rica no sea rentable a nivel económico, sin lugar a dudas pone al grupo en el mapa, lo ayuda a agrandar su nombre y apresionar a otros para que no les pase lo mismoque al gobierno de Costa Rica”, explica el abogado.

Y advierte: “Las naciones latinoamericanas tienen que prestar atención porque Costa Rica está siendo parte de un experimento que van a tratar de aplicar en otros países y puede contar con la ayuda de personas locales”.

En esta línea, Esteban Jiménez considera el ataque “una demostración, un despliegue de poder, una intimidación completa”, por lo que anticipa la apertura de “un nuevo capítulo a nivel latinoamericano” en el que se intensificarían este tipo de ataques en la región.

5. Cómo ha respondido Costa Rica y quién le ayuda

Emitida casi un mes después del primer ataque, la declaración del estado de emergencia sirvió para agilizar las medidas encaminadas a recuperar la normalidad y fortalecer la protección ante próximas acometidas cibernéticas, informó esta semana el gobierno.

Aseguró que, para ello, cuenta con asistencia técnica de países como España e Israel, y empresas como Microsoft y GBM.

Mientras, el departamento de Estado de Estados Unidos ha ofrecido una recompensa de US$10 millones a quien aporte información que permita identificar o ubicar a los integrantes de Conti.

También pagará hasta US$5 millones a cambio de “información que conduzca al arresto o condena de cualquier persona, en cualquier país, que conspire para participar o intentar participar en un incidente de Conti”.

El FBI (Oficina Federal de Investigaciones de EE.UU.) estima que hasta enero de este año el grupo ruso ha extorsionado a más de 1.000 víctimas que han pagado más de US$150 millones en rescates, lo que convierte a Conti en el grupo de ransomware “más dañino jamás documentado”.

Por otra parte, las autoridades de Costa Rica han iniciado una investigación para dar con los responsables del ciberataque que, como hackers expertos, se han preocupado de limpiar cualquier rastro incriminatorio.

“Cuatro semanas después muchas de las trazas, de las bitácoras del sistema, ya no existen”, afirma Esteban Jiménez.

Por tanto, explica, “va a ser muy complicado utilizar la ciencia digital forense para poder dar con algún tipo de evidencia, por lo que tendrá que ser una investigación formal o clásica” la que permita, al menos, averiguar si hubo algún ciudadano costarricense implicado.

Ahora puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.

• ¿Ya conoces nuestro canal de YouTube? ¡Suscríbete!

El FBI aseguró este domingo que “ningún actor” ha accedido o comprometido algún dato de su red, después de que piratas informáticos usaran un servidor externo operado por esa agencia de investigación de EE.UU. para enviar correos electrónicos con advertencias falsas de un posible ciberataque.

“Ningún actor pudo acceder o comprometer ningún dato o PII (información de identificación personal) de la red del FBI”, indicó el Buró Federal de Investigaciones en un comunicado difundido este domingo.

Puntualizó, sin embargo, que está al tanto de que una “configuración incorrecta del software” permitió temporalmente a un “actor” que no identificó aprovechar un portal utilizado por esa agencia para comunicarse con sus “socios policiales y estatales locales”.

En concreto, según la nota, los correos fueron enviados desde el Portal Empresarial de Aplicación de la Ley (LEEP, en inglés).

Según el FBI, aunque “el correo electrónico ilegítimo se originó de un servidor operado” por esa agencia, el mismo “estaba dedicado a enviar notificaciones para el LEEP” y no formaba parte de su servicio de correo electrónico corporativo.

La agencia agregó que, una vez conoció del incidente, remedió “rápidamente la vulnerabilidad del software” y advirtió a sus socios para que ignoraran los correos electrónicos falsos.

Además, dijo haber confirmado la “integridad” de sus redes.

La organización internacional sin fines de lucro Proyecto Spamhaus señaló el sábado en su cuenta de Twitter que había sido informada sobre correos electrónicos “aterradores” enviados en las últimas horas que pretendían provenir del FIB y del Departamento de Seguridad Nacional (DHS, en inglés).

Spamhaus, dedicada rastrear correos no deseados y ciberamenazas, aclaró que, pese a que los correos fueron enviados desde el portal LEEP, su investigación determinó que eran “falsos”.

El FBI puntualizó que los mensajes fueron enviados desde una cuenta que identificó como @ic.fbi.gov.

Medios locales citaron informaciones según las cuales los ataques comenzaron la medianoche del sábado en Nueva York.

El presunto pirata, identificado como Pompompurin, indicó al blog especializado KrebsonSecurity que el ataque permitió señalar una vulnerabilidad que dijo haber “varias veces”, pero nunca “en un sitio web del Gobierno, y mucho menos en uno administrado por el FBI”.

Sin embargo, Spamhaus no descartó que la acción estuviese dirigida a atacar a Vinny Troia, autor del libro “Caza de delincuentes cibernéticos” y fundador las compañías de inteligencia NightLion y Shadowbyte, quien es mencionado en los correos.

Cualquiera empresa, ya sea grande o pequeña, puede ser víctima de los delincuentes cibernéticos y pueden ser extorsionados por miles de dólares.

Actualmente, en Latinoamérica, se da el secuestro de información cada 11 segundos. En el caso de Guatemala, la mayoría de ataques son relacionados con amenazas de la publicación de información o con eliminar información y, para evitarlo, se debe pagar una extorsión que puede sobre pasar los US$50 mil.

Para el 2025 los ataques cibernéticos a empresas serán la tercera economía del mundo detrás de Estados Unidos y China, y estarán generando extorsiones mayores a los 10.5 trillones de dólares anuales.

Una nueva y misteriosa modalidad de ciberdelito desconcierta a los expertos.

Se trata del robo de dinero por parte de un grupo de piratas informáticos que luego lo donan a obras de caridad.

Los hackers Darkside -como se autodenominan- afirman haber extorsionado en el pasado a empresas por millones de dólares, pero dicen que ahora quieren “hacer del mundo un lugar mejor”.

• La compañía de Dubai señalada por lavado de dinero que les vende oro a proveedores de Apple, General Motors y Amazon

En una publicación en la internet oscura, los hackers ladrones mostraron recibos por US$10.000 en donaciones de Bitcoin a dos organizaciones benéficas.

Una de ellas, Children International, dice que no se quedará con el dinero.

Cómo funciona el ataque informático

En la publicación del blog del pasado 13 de octubre, los piratas informáticos afirman que solo apuntan a grandes empresas rentables con sus ataques de ransomware.

Estos ataques mantienen como rehenes a los sistemas informáticos de las organizaciones hasta que pagan un rescate.

“Creemos que es justo que parte del dinero que han pagado las empresas se destine a la caridad”, escribieron los ciberdelincuentes.

“No importa lo malo que crean que es nuestro trabajo, nos complace saber que ayudamos a cambiar la vida de alguien. Hoy enviamos las primeras donaciones”, continuaron.

• “El hallazgo del tratamiento está en peligro”: la alerta de EE.UU. de que hackers de China intentan “robar” información sobre el coronavirus

Los ciberdelincuentes publicaron la donación junto con los recibos de impuestos que recibieron a cambio de los 0,88 Bitcoin que habían enviado a dos organizaciones benéficas, The Water Project y Children International.

Children International apoya a niños, familias y comunidades en India, Filipinas, Colombia, Ecuador, Zambia, República Dominicana, Guatemala, Honduras, México y Estados Unidos.

“Si la donación está vinculada a un pirata informático, no tenemos ninguna intención de quedárnosla”, aseguró un vocero de Children International a la BBC.

The Water Project, que trabaja para mejorar el acceso al agua potable en África subsahariana, no ha respondido a solicitudes de comentarios.

¿Ladrones con culpa?

Para Brett Callow, analista de amenazas de la empresa de seguridad cibernética Emsisoft “lo que los delincuentes esperan lograr con estas donaciones no está del todo claro”.

“¿Quizás les ayude a mitigar su culpa? O tal vez por razones egoístas quieren ser percibidos como el personaje encapuchado de Robin Hood en lugar de extorsionadores sin conciencia”, opinó.

“Cualesquiera que sean sus motivaciones, es ciertamente algo muy inusual y, hasta donde yo sé, es la primera vez que un grupo de ransomware dona una parte de sus ganancias a la caridad”, dijo.

El grupo de piratas informáticos Darkside es relativamente nuevo en la escena, pero el análisis del mercado de criptomonedas confirma que están extorsionando activamente a sus víctimas.

• Cómo unos hackers extorsionaron con más de US$1 millón a una universidad de EE.UU. que investiga una cura para el coronavirus

También hay evidencia de que pueden tener vínculos con otros grupos delictivos cibernéticos responsables de ataques de alto perfil contra empresas, incluida Travelex, que fue víctima en enero.

La forma en que los piratas informáticos pagaron a las organizaciones benéficas también es un motivo de preocupación para las autoridades.

Los ciberdelincuentes utilizaron un servicio con sede en EE.UU. llamado The Giving Block, que lo utilizan 67 organizaciones sin fines de lucro en diferentes de todo el mundo, incluidas Save The Children, Rainforest Foundation y She’s The First.

The Giving Block se describe a sí mismo como “la única solución sin fines de lucro para aceptar donaciones en criptomonedas”.

La compañía se creó en 2018 para ofrecer a los “millonarios” de las criptomonedas la capacidad de aprovechar el “enorme incentivo fiscal para donar Bitcoin y otras criptomonedas directamente a organizaciones sin fines de lucro”.

The Giving Block le dijo a la BBC que no sabía que estas donaciones habían sido hechas por ciberdelincuentes.

“Estamos trabajando para determinar si estos fondos fueron realmente robados. Si resulta así, por supuesto, comenzaremos el trabajo de devolverlos al propietario legítimo”, afirmaron.

• Por qué es importante aclarar qué hay detrás del “mayor hackeo de la historia de Twitter”

La compañía no aclaró si esto significa devolver el dinero robado a los delincuentes, o intentar averiguar a cuál de las víctimas criminales pretendía reembolsar y cómo.

The Giving Block, que también es un defensor de las criptomonedas, agregó: “El hecho de que hayan usado criptomonedas hará que sea más fácil, no más difícil, atraparlos”.

Sin embargo, The Giving Block no dio detalles sobre la información que recopilan sobre sus donantes.

La mayoría de los servicios que compran y venden monedas digitales como Bitcoin requieren que los usuarios verifiquen su identidad, pero no está claro si esto se ha hecho aquí.

Como experimento, la BBC intentó donar de forma anónima a través del sistema en línea de The Giving Block y no se le hizo ninguna pregunta de verificación de identidad.

Complicado y peligroso

Los expertos dijeron que este caso muestra la complejidad y los peligros de las donaciones anónimas.

“Si entras en una tienda de caridad con una máscara, donas US$10.000 en efectivo y luego pides un recibo de impuestos, probablemente deberían hacerte preguntas. Esto no es diferente”, describió el experto en criptomonedas Philip Gradwell de Chainanalysis.

“Los investigadores y las fuerzas del orden se han vuelto expertos en rastrear fondos en criptomonedas a medida que se mueven de una billetera a otra. Pero encontrar quién es el propietario de cada billetera es mucho más complicado“, analizó.

“Al permitir donaciones anónimas de fuentes potencialmente ilícitas, abre el peligro de lavado de dinero“, dijo Gradwell.

“Todas las empresas de criptomonedas necesitan una gama completa de medidas contra el lavado de dinero, incluido un programa “Conozca a su cliente” (KYC, en inglés) de verificaciones de antecedentes básicas, para que puedan comprender quién está detrás de las transacciones que facilita su negocio”, detalló.

• Así funciona y se expande el millonario y competitivo negocio de las ciberextorsiones

La BBC consultó a otras organizaciones benéficas que aceptan donaciones a través de The Giving Project.

Save the Children dijo a que “nunca tomaría dinero obtenido a través del crimen a sabiendas”.

She’s the First, una organización benéfica para la educación de las niñas en todo el mundo, afirmó que no se sentiría cómoda aceptando dinero de fuentes anónimas, posiblemente criminales.

“Es una pena que los malos aprovechen la oportunidad de donar criptomonedas para fines personales. Esperamos que incluso los donantes anónimos compartan los valores de nuestra comunidad”, aseguraron.

Ahora puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.

• ¿Ya conoces nuestro canal de YouTube? ¡Suscríbete!

https://www.youtube.com/watch?v=chAeHyV7aSA

Ningún “dato sensible” de la cancillería fue publicado, precisó Martina Fietz, una portavoz del gobierno, quien confirmó el caso.

“Los primeros análisis dan a entender que los datos fueron recuperados a través de un uso fraudulento de las contraseñas de acceso en servicios de almacenaje en la nube informática, en cuentas de correos electrónicos y de las redes sociales”, aseguró el ministro del Interior, Horst Seehofer, en un comunicado.

El gobierno dijo que se tomaba este caso muy en serio y la ministra de Justicia, Katarina Barley, denunció un grave ataque llevado a cabo por personas que quieren sabotear la confianza en la democracia y las instituciones.

Unas mil personas se han visto afectadas, indicó el responsable del organismo alemán encargado de la seguridad informática, Arn Schönbohm. Aún no se ha identificado a los responsables de esta difusión, de una amplitud sin precedentes en el mundo político alemán.

Cuenta de Twitter bloqueada

La fuga de datos fue orquestada desde una cuenta de la red Twitter a partir del 20 de diciembre, pero el gobierno no lo anunció hasta el viernes. Twitter bloqueó la cuenta.

Entre las informaciones difundidas, hay listas de personalidades con centenares de números de teléfonos móviles y direcciones postales, además de documentos internos de los partidos, como listas de sus afiliados. Algunos de estos documentos no son actuales.

Sin embargo, no fue revelada ninguna información hipersensible de las autoridades alemanas. En los documentos publicados, aparecen dos correos electrónicos de la canciller alemana y su número de fax.

El gobierno aún no sabe si difundieron los datos como resultado de un ciberataque, como ocurrió varias veces en el pasado, o de una fuga interna. La policía criminal (BKA) y los servicios de inteligencia están a cargo de la investigación.

Ataque grave

Por su parte, la ministra de Justicia alemana denunció un grave ataque  de los que quieren sabotear la confianza en la democracia y sus instituciones.

El líder del grupo parlamentario de la izquierda radical alemana, Dietmar Bartsch, también dijo que estaba profundamente conmocionado por este grave ataque a la democracia en el país.

Además de políticos, periodistas, presentadores de televisión y otras celebridades fueron blanco de estos ataques, según varios medios, entre ellos el canal público RBB que habla de piratería.

Según el ministerio del Interior, resultaron víctimas del ataque los principales partidos alemanes, desde los demócrata-cristianos hasta los Verdes, con la única excepción de la formación ultraderechista Alternativa para Alemania (AfD).

En los últimos años, el Bundestag y varios partidos políticos fueron el blanco de ciberataques que, según Berlín, son realizados por los servicios de inteligencia extranjeros.

Fuente: AFP

En este documento, titulado “El Departamento de Defensa está apenas comenzando a darse cuenta de la amplitud de las vulnerabilidades”, GAO (oficina de cuentas del Congreso de EEUU)destaca que el equipamiento militar del país está cada vez más conectado.

Los cazas están repletos de programas informáticos y sensores, el comando operativo se lleva a cabo en pantalla gigante, los soldados se ubican en tierra  gracias a su GPS y los barcos de la Marina de Estados Unidos están cada vez más computarizados, indica el informe.

Estos programas y sensores hacen que los militares sean más eficaces, pero también más vulnerables a ataques informáticos.

Especialistas del Pentágono que hicieron las veces de piratas informáticos mostraron a qué punto les fue fácil piratear los nuevos equipos producidos entre 2012 y 2017.

“En un caso, tan sólo una hora le insumió a un equipo de dos personas penetrar en el sistema informático de un armamento y una jornada para controlar por completo su funcionamiento”, indica el GAO, sin precisar, por razones de seguridad, a qué armamento hace referencia.

En otro caso, los examinadores del Pentágono tomaron el control de las terminales utilizadas durante un ejercicio. Un equipo no sólo pudo controlar el sistema sino que lo manipuló al punto tal que los operadores vieron en su pantalla aparecer una ventana en la que se les pedía que introdujeran una moneda para poder continuar.

El Departamento de Defensa “no conoce la amplitud de las vulnerabilidades de sus sistemas de armamento porque, por un determinado número de razones, el alcance y la sofisticación de las pruebas fueron limitados”.

El Pentágono comenzó a darse cuenta de la gravedad de los peligros y de la necesidad de aumentar la protección de los sistemas informáticos pero tiene problemas para reclutar a expertos, a los que se les paga mejor en el sector privado que en el ejército, subraya el documento, el primero sobre este tema del GAO.

Uno de los planes consiste en contratar a jóvenes diplomados antes de que terminen la universidad, para ofrecerles una primera oportunidad profesional y aprovechar sus saberes.

En momentos en que los países occidentales acusan a Rusia de haber llevado a cabo ciberataques de gran envergadura en los últimos meses, el secretario de Defensa de Estados Unidos James Mattis anunció que Estados Unidos decidió poner a disposición de la OTAN sus capacidades en materia de ciberdefensa.

¿Qué pasó?

Según Facebook, los hackers aprovecharon la conjunción de varios errores (bugs) que datan de julio de 2017 y estaban alojados en la función “Ver como”, que permite ver el perfil propio tal como lo ve otro usuario.

En algunos casos, el uso de esta función generó “por error” claves de conexión digitales, llamadas “tokens de acceso”, que son los que permiten mantenerse conectado sin tener que ingresar la contraseña cada vez.

Los piratas informáticos lograron apropiarse de estas claves, que dan acceso a las cuentas como si fuéramos los titulares.

El 16 de septiembre, Facebook vio un aumento inusual en el número de conexiones y decidió investigar. El 25 de septiembre, descubrió  el ataque y la falla. El grupo ha declinado decir cuánto duró el ataque.

¿Para qué se hizo?

Debido a que podían acceder a las cuentas como si fueran los propietarios, potencialmente los hackers podían ver toda la información e incluso modificarla, publicar, comentar…

Facebook dijo que no saben exactamente para qué accedieron los hackers o si hicieron algo con las informaciones.

Según los primeros hallazgos, los piratas informáticos no parecieron acceder a mensajes privados ni postear publicaciones. Las contraseñas no estuvieron comprometidas y tampoco la información bancaria.

A menudo sucede que los piratas informáticos revenden información en la “dark web”, una parte oculta de internet cuyo contenido no está indexado por los motores de búsqueda.

¿Quienes se vieron afectados?

“Hasta 50 millones de cuentas” se vieron directamente afectadas, lo que significa que los hackers obtuvieron sus claves de acceso. Según la Comisión Europea, hay alrededor de 5 millones de usuarios europeos.

Hay incertidumbre aún acerca de 40 millones de cuentas más, en las cuales se ha utilizado la función “Ver como” en el último año.

Los hackers también pudieron usar el mismo subterfugio para acceder a cuentas de Messenger e Instagram (ambos también propiedad del grupo) que estaban vinculadas a las cuentas de Facebook afectadas. En cambio, la tercera plataforma del grupo, WhatsApp, no se vio afectada.

En teoría, los piratas informáticos también han podido utilizar estas claves para conectarse a sitios y aplicaciones externas a las cuales uno puede conectarse a través de sus credenciales de Facebook, lo que abre un acceso potencial a una cantidad de información difícil de cuantificar.

Sin embargo, Facebook aseguró el martes que ninguna señal ha indicado que realmente accedieran a estos perfiles externos.

¿Qué medidas se tomaron?

El grupo dijo que reparó la falla la noche del 27 de septiembre y advirtió al FBI, así como al regulador del sector en Irlanda, país donde se encuentra su sede europea.

A partir de la noche del 27, el grupo ha reiniciado por precaución los tokens de acceso de los 90 millones de cuentas afectadas con certeza o potencialmente, para lo cual cerró las sesiones, lo que obligó a los usuarios a volver a conectarse introduciendo su contraseña. También recibieron un mensaje en sus noticias.

Facebook suspendió la función “Ver como”.

¿A qué se arriesga Facebook?

Es difícil responder a esta pregunta, que gira en torno a dos puntos y depende de una gran variable de leyes y regulaciones: ¿Facebook ha desprotegido los datos de sus clientes? ¿Les informó demasiado tarde?

En Estados Unidos, a nivel federal, es la Comisión Federal de Comercio (FTC, siglas en inglés) la responsable de verificar si las compañías han protegido de manera deficiente la información personal de sus clientes contra la piratería. Puede imponer multas.

Los datos personales también pueden estar protegidos por leyes a nivel estatal, más o menos vinculantes. Todos los estados ahora están obligados a revelar cualquier fuga de datos.

Las autoridades estatales o particulares pueden entablar acciones legales para reclamar por daños.

En Europa, desde que se creó en mayo el reglamento europeo sobre la protección de datos (RGPD), las empresas pueden ser multadas hasta por un 4% de su facturación anual global si no cumplen con las normas, lo que en el caso de Facebook se traduciría en 1.600 millones de dólares.

El grupo parece, en cualquier caso, haber cumplido el plazo europeo de 72 horas máximo para hacer pública una filtración de datos.

El equipo técnico de la red social dijo que trabaja para determinar “si estas cuentas se usaron incorrectamente o si se accedió a la información” de sus usuarios, según un comunicado.

El cofundador de la red social Mark Zuckerberg explicó que tras una primera revisión “no hay ninguna evidencia que sugiera que estas cuentas han sido comprometidas”

“Nos enfrentamos a constantes ataques de personas que quieren tomar cuentas o robar información en todo el mundo. Aunque me alegra que hayamos encontrado esto, reparado la vulnerabilidad, y asegurado las cuentas que pueden estar en riesgo, la realidad es que tenemos que seguir desarrollando nuevas herramientas para evitar que esto ocurra en primer lugar”, dijo Zuckerberg en su perfil.

• 8 razones que muestran que Facebook alcanzó su punto máximo y ahora puede estar perdiendo influencia

“Nuestra investigación aún está en sus primeras etapas. Pero está claro que los atacantes explotaron una vulnerabilidad en el código de Facebook”, informó la compañía estadounidense.

Como medida de seguridad, los usuarios de 90 millones de cuentas -40 millones más que las que se cree fueron vulneradas- fueron puestas bajo aviso sobre la intrusión.

Según Facebook, después de que hayan vuelto a iniciar sesión, los usuarios recibirán una notificación explicando lo sucedido.

La falla en “Ver como”

La investigación de Facebook indica que el ataque ocurrió a través del código que usa la red social en la función “Ver como”.

Esta característica permite a los usuarios tener una vista previa de cómo ven otros su perfil.

El código fue vulnerado por los ciberatacantes que “robaron tokens”de acceso a Facebook, los cuales son claves digitales que mantienen a los usuarios conectados a la red social sin tener que volver a poner sus contraseñas.

• El informe que revela que Facebook sabe incluso cómo mueves tu mouse

Esos tokens “podrían ser utilizados para acceder a las cuentas de las personas”, explicó la compañía.

“Hemos desactivando temporalmente la función ‘Ver como’ mientras llevamos a cabo una revisión de seguridad exhaustiva”, añadió.