Imagina que eres un empleado de bajos ingresos en India a quien se le ofrece un día de trabajo como extra en una película de Bollywood. ¿Tu rol? Ir a un cajero automático y retirar algo de dinero.

En 2018, varios hombres en el estado de Maharashtra pensaron que estaban aceptando un papel secundario en una película, pero en realidad los estaban engañando para que se convirtieran en “mulas de dinero”, recolectando efectivo en un ambicioso atraco bancario.

El asalto tuvo lugar durante un fin de semana de agosto de 2018 y se centró en el Banco Cooperativo Cosmos, con sede en Pune.

En una tranquila tarde de sábado, el personal de la oficina central del banco recibió repentinamente una serie de mensajes alarmantes.

Eran de la compañía de tarjetas de pago Visa, en Estados Unidos, advirtiendo que podría haber miles de demandas por grandes retiros de efectivo en cajeros automáticos, por personas que aparentemente usaban tarjetas del Banco Cosmos.

Pero cuando el equipo de Cosmos revisó sus propios sistemas, no vieron transacciones anormales.

Aproximadamente media hora después, solo para estar seguros, autorizaron a Visa para que detuviera todas las transacciones de las tarjetas bancarias Cosmos. Este retraso resultó extremadamente costoso.

Al día siguiente, Visa compartió la lista completa de transacciones sospechosas con la oficina central de Cosmos: alrededor de 12.000 retiros separados de diferentes cajeros automáticos en todo el mundo.

El banco había perdido casi US$14 millones.

Fue un crimen audaz caracterizado por su gran escala y su meticulosa sincronización.

Los delincuentes habían saqueado cajeros automáticos en 28 países diferentes, incluidos Estados Unidos, Reino Unido, Emiratos Árabes Unidos y Rusia.

Todo sucedió en el espacio de solo dos horas y 13 minutos: una extraordinaria movilización global organizada y criminal.

Eventualmente, los investigadores rastrearían sus orígenes hasta un oscuro grupo de piratas informáticos que habían llevado a cabo una sucesión de estafas anteriores aparentemente ordenadas por Corea del Norte.

Pero antes de tener una idea más amplia del robo, los investigadores de la unidad de delitos cibernéticos de Maharashtra se sorprendieron al ver imágenes de CCTV de decenas de hombres caminando hacia una serie de cajeros automáticos, insertando tarjetas bancarias y metiendo billetes en bolsas.

“No sabíamos de una red de mulas de dinero como esta”, dice el inspector general Brijesh Singh, quien dirigió la investigación.

Un grupo criminal tenía un encargado que estaba monitoreando las transacciones de los cajeros automáticos en tiempo real en una computadora portátil, cuenta Singh.

Las imágenes de CCTV mostraron que cada vez que una mula de dinero intentaba quedarse con algo de efectivo, el encargado lo veía y le daba una fuerte bofetada.

Usando las imágenes de las cámaras de seguridad y los datos de los teléfonos móviles de las áreas cercanas a los cajeros automáticos, los investigadores indios pudieron arrestar a 18 sospechosos en las semanas posteriores al atraco.

La mayoría están ahora en prisión, en espera de juicio.

Singh dice que estos hombres no eran ladrones empedernidos. Entre los arrestados había un mesero, un chofer y un zapatero. Otro tenía un título de farmacia. “Eran gente noble”, afirma.

A pesar de esto, él cree que cuando ocurrió el atraco, incluso los hombres reclutados como “extras” sabían lo que realmente estaban haciendo.

¿Pero sabían para quién estaban trabajando?

Los investigadores creen que el secreto y aislado estado de Corea del Norte estuvo detrás del atraco.

Corea del Norte es una de las naciones más pobres del mundo, pero una parte importante de sus limitados recursos se destina a la construcción de armas nucleares y misiles balísticos, actividad que está prohibida por el Consejo de Seguridad de la ONU.

Como resultado, la ONU ha impuesto onerosas sanciones al país, lo que ha hecho que su comercio sea altamente restrictivo.

Desde que llegó al poder hace 11 años, el líder de Corea del Norte, Kim Jong Un, ha supervisado una campaña sin precedentes de pruebas de armas, incluidas cuatro pruebas nucleares y varios intentos provocativos de lanzamientos de prueba de misiles intercontinentales.

Las autoridades estadounidenses creen que el gobierno de Corea del Norte está utilizando un grupo de piratas informáticos de élite para entrar en bancos e instituciones financieras de todo el mundo para robar el dinero que necesita para mantener a flote su economía y financiar su programa de armas.

Se cree que los hackers, apodados Grupo Lazarus, pertenecen a una unidad dirigida por la poderosa agencia de inteligencia militar de Corea del Norte, la Oficina General de Reconocimiento.

Los expertos en seguridad cibernética nombraron a los hackers en honor a la figura bíblica de Lázaro, que regresa de entre los muertos, porque una vez que sus virus ingresan a las redes informáticas, es casi imposible eliminarlos.

El grupo saltó a la fama internacional por primera vez cuando el entonces presidente de EE.UU., Barack Obama, acusó a Corea del Norte de piratear la red informática de Sony Pictures Entertainment en 2014.

El FBI acusó a los piratas informáticos de realizar el dañino ataque cibernético en represalia por “La entrevista”, una película cómica que representaba el asesinato de Kim Jong Un.

Desde entonces, el Grupo Lazarus fue sido acusado de intentar robar US$1.000 millones del banco central de Bangladesh en 2016 y de lanzar el ataque cibernético WannaCry que intentó chantajear a organizaciones e individuos en todo el mundo, incluido el Servicio Nacional de Salud de Reino Unido.

Corea del Norte niega enérgicamente la existencia del Grupo Lazarus y todas las acusaciones de piratería informática patrocinada por el Estado.

Pero los principales organismos de seguridad afirman que los ataques de Corea del Norte son más avanzados, más descarados y más ambiciosos que nunca.

Para el robo del Cosmos, los hackers utilizaron una técnica conocida como “jackpotting”, llamada así porque hace que el cajero automático derrame su efectivo como ocurre al ganar en una máquina tragamonedas.

Los sistemas del banco fueron inicialmente comprometidos de la manera clásica: a través de un correo electrónico de “phishing” que abrió un empleado e infectó la red informática con un programa maligno.

Una vez dentro, los hackers manipularon el software, el llamado interruptor de cajero automático, que envía mensajes a un banco para aprobar un retiro de efectivo.

Con esto los piratas informáticos tenían poder para permitir los retiros en cajeros automáticos de sus cómplices en cualquier parte del mundo.

Lo único que no podían cambiar era la cantidad máxima para cada retiro, por lo que necesitaban muchas tarjetas y mucha gente en el terreno.

En preparación para el atraco, trabajaron con cómplices para crear tarjetas de cajero automático “clonadas”, utilizando datos de cuentas bancarias genuinas para crear tarjetas duplicadas que se pueden usar en cajeros automáticos.

La compañía de seguridad británica BAE Systems sospechó de inmediato que era obra del Grupo Lazarus.

Los había estado monitoreando durante meses y sabía que estaban conspirando para atacar un banco indio. Simplemente no sabía cuál.

“Hubiera sido demasiada coincidencia que fuera otra operación criminal”, dice el investigador de seguridad de BAE, Adrian Nish.

El Grupo Lazarus es versátil y muy ambicioso, agrega. “La mayoría de los grupos criminales probablemente estarían suficientemente felices saliéndose con la suya con un par de millones y detenerse ahí”.

La logística involucrada en el atraco al Cosmos es asombrosa. ¿Cómo encontraron los piratas informáticos cómplices en 28 países, incluidos muchos que los ciudadanos de Corea del Norte no pueden visitar legalmente?

Los investigadores de seguridad tecnológica de EE.UU. creen que el Grupo Lazarus conoció a un facilitador clave en la web oscura, donde hay foros completos dedicados a intercambiar habilidades de piratería y donde los delincuentes a menudo venden servicios de apoyo.

En febrero de 2018, un usuario que se hacía llamar Big Boss publicó consejos sobre cómo realizar fraudes con tarjetas de crédito.

También dijo que tenía el equipo para hacer tarjetas de cajero automático clonadas y que tenía acceso a un grupo de mulas de dinero en Estados Unidos y Canadá.

Este era precisamente el servicio que necesitaba el Grupo Lazarus para su ataque al Banco Cosmos, y comenzaron a trabajar con Big Boss.

Le pedimos a Mike DeBolt, director de inteligencia de Intel 471, una firma de seguridad tecnológica en los EE.UU., que obtuviera más información sobre este cómplice.

El equipo de DeBolt descubrió que Big Boss había estado activo durante al menos 14 años y tenía una serie de alias: G, Habibi y Backwood.

Los detectives de seguridad lograron vincularlo con todos estos nombres de usuario, ya que usó la misma dirección de correo electrónico en diferentes foros.

“Básicamente, está siendo perezoso”, afirma DeBolt. “Vemos esto con bastante frecuencia: los actores cambian su alias en un foro, pero mantienen la misma dirección de correo electrónico”.

En 2019, Big Boss fue arrestado en Estados Unidos y desenmascarado como Ghaleb Alaumary, un canadiense de 36 años.

Se declaró culpable de delitos que incluyen el lavado de fondos de presuntos atracos bancarios de Corea del Norte y fue sentenciado a 11 años y ocho meses.

Corea del Norte nunca ha admitido ninguna participación en el trabajo del Banco Cosmos, o cualquier otro esquema de piratería.

La BBC presentó acusaciones de participación en el ataque del Cosmos a la embajada de Corea del Norte en Londres, pero no recibió respuesta.

Sin embargo, cuando contactamos previamente al embajador Choe Il respondió que las acusaciones de piratería informática y lavado de dinero patrocinados por el estado de Corea del Norte son “una farsa” y un intento de los EE.UU. de “manchar la imagen de nuestro estado”.

En febrero de 2021, el FBI, el Servicio Secreto de EE.UU. y el Departamento de Justicia anunciaron cargos contra tres presuntos piratas informáticos del Grupo Lazarus: Jon Chang Hyok, Kim Il y Park Jin Hyok, quienes dijeron que trabajan para la agencia de inteligencia militar de Corea del Norte.

Ahora se cree que están de vuelta en Pyongyang.

Las autoridades estadounidenses y surcoreanas estiman que Corea del Norte tiene hasta 7.000 piratas informáticos capacitados.

Es poco probable que todos trabajen desde el interior del país, donde pocas personas tienen permiso para usar internet, lo que dificulta ocultar las actividades de los usuarios. Más bien, a menudo son enviados al extranjero.

Ryu Hyeon Woo, un exdiplomático norcoreano y una de las personas más importantes que abandonaron el régimen, brindó información sobre cómo trabajan los piratas informáticos en el extranjero.

En 2017, trabajaba en la embajada de Corea del Norte en Kuwait, ayudando a supervisar el empleo de unos 10.000 norcoreanos en la región.

En ese momento, muchos estaban trabajando en obras de construcción en todo el Golfo y, como todos los trabajadores de Corea del Norte, debían entregar la mayor parte de sus salarios al régimen.

Dijo que su oficina recibía una llamada diaria de un encargado de Corea del Norte que supervisaba a 19 hackers que vivían y trabajaban en espacios reducidos en Dubái.

“Eso es realmente todo lo que necesitan: una computadora que esté conectada a internet”, afirmó.

Corea del Norte niega haber enviado piratas informáticos al extranjero, solo trabajadores informáticos con visas válidas.

Pero la descripción de Ryu encaja con las acusaciones del FBI sobre cómo operan estas unidades cibernéticas desde dormitorios en todo el mundo.

En septiembre de 2017, el Consejo de Seguridad de la ONU impuso las sanciones más estrictas hasta el momento a Corea del Norte, limitando las importaciones de combustible, restringiendo aún más las exportaciones y exigiendo que los países miembros de la ONU enviaran a los trabajadores norcoreanos a su país para diciembre de 2019.

Sin embargo, los piratas informáticos todavía parecen estar activos. Ahora están apuntando a empresas de criptomonedas y se estima que han robado cerca de US$3.200 millones.

Las autoridades estadounidenses los han llamado “los principales ladrones de bancos del mundo”, que utilizan “teclados en lugar de armas”.

Recuerda que puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.

• ¿Ya conoces nuestro canal de YouTube? ¡Suscríbete!

Son millones de correos electrónicos y documentos militares de México los que han quedado expuestos.

El grupo de hackers autodenominado Guacamaya asegura que se infiltró en un servidor de la Secretaría de la Defensa Nacional (Sedena) y extrajo 6 terabytes de información interna y confidencial.

Eso es aproximadamente el triple de información que la divulgada en los Pandora Papers que expusieron secretos financieros mundiales en 2021.

En el caso de la Sedena, se trata de información militar recopilada a lo largo de la última década, con un nivel de detalle de las actividades operativas y de inteligencia de la milicia que nunca antes se había hecho público en México.

Por la alta sensibilidad y detalles de su contenido, aseguran quienes han tenido acceso a la información, tiene el potencial de generar graves problemas a la seguridad pública y al gobierno de México si los documentos caen en manos equivocadas.

“Lo grave es que no solamente vienen correos del ejército, sino de quienes contestan. De ejércitos de otros países, embajadas, de inteligencia extranjera, muchos gobiernos extranjeros”, le explica a BBC Mundo el periodista especialista en ciberataques Alberto Escorcia.

“Esto es una radiografía de prácticamente cómo funciona un ejército. O sea, creo que si alguien quiere saber cómo funciona un ejército y su relación con el poder, ahí viene detallado minuto por minuto.

“Con lo poco que he visto para la escala que es, siento que es información muy grave. Creo que esto sí puede provocar un colapso de instituciones, por el tema de corrupción que se ve, cómo se mueven los contratos, los operativos militares… hay una radiografía de la historia de la corrupción mexicana y la represión de los últimos 10 años”, asegura Escorcia.

Desde la semana pasada, cuando se supo del hackeo, Escorcia obtuvo acceso -al igual que otros pocos medios y periodistas- al contenido que Guacamaya hackeó.

Nadia Sanders, editora del sitio La Lista que ha tenido acceso a la información, señala que las Fuerzas Armadas y el Estado “literalmente quedaron vulnerados, totalmente vulnerados”.

“Es información muy, muy, muy delicada, que vulnera por muchos lados. Me preocupa quién más puede tener acceso a esto y comercializarla”, señala a BBC Mundo.

• Qué se sabe de Guacamaya, el cibergrupo clandestino que reveló los problemas de salud de AMLO y ha robado secretos a varios de países de América Latina

El presidente Andrés Manuel López Obrador ha reconocido que se dio el hackeo a la Sedena, pero ha minimizado su impacto, pues asegura que en su gobierno “no hay nada que ocultar”.

“Ahora que decían que habían hackeado los archivos del ejército y que había cosas gravísimas, pues lo único grave son mis enfermedades, que no son tantas, son como 10 o 15 achaques”, dijo.

“Sería importante saber quiénes fueron los que hackeron, no para juzgarlos, nada, sino para saber si son los mismos del sistema de espionaje en contra nuestra”.

Mucha información y desordenada

Navegar en los documentos no es sencillo.

Quienes han tenido acceso explican que son millones de correos electrónicos con documentos escaneados que no están ordenados, pues es una mezcla de buzones de la Sedena.

Están las comunicaciones desde el secretario de la Defensa Nacional, el general Luis Cresencio Sandoval, hasta las más básicas oficinas operativas del ejército.

“La mayoría de los correos solamente tienen el título, pero con claves militares. Son indescifrables, a menos que tengas un manual de claves. Entonces la única forma de buscar información es por fechas”, explica Escorcia.

Sanders señala que se ve “muy veraz” la información por el nivel de detalle que tiene, pero periodísticamente requiere mucho tiempo analizarla: “Se tienen que reconstruir muchas cosas, porque un documento per se no te da toda la historia. Es una pista”.

A finales de septiembre, Guacamaya dio acceso a los documentos y desde entonces el análisis de varios periodistas y medios de comunicación ha podido exhibir varias revelaciones.

1. Operaciones contra la delincuencia

Uno de los aspectos más relevantes y delicados es la posible exposición pública de las comunicaciones internas del ejército en labores de seguridad.

En los documentos hay muestra de conversaciones de altos mandos militares, chats de móviles, órdenes, datos personales de la tropa y datos de inteligencia sobre persecución de narcotraficantes y delincuentes.

Y no solo se revela el esquema de seguridad del ejército, sino también los reportes de civiles que contactan al ejército para hacer denuncias sobre problemas de seguridad en donde viven.

Una de las preocupaciones más importantes que han surgido con este hackeo es qué puede pasar si esos datos personales, tanto de militares como de civiles, caen en manos de los propios criminales.

“Yo misma me preguntaba, mientras veía los documentos, ‘caray, ¿quién más está teniendo acceso a esto? Es muy grave no saberlo‘”, señala Sanders.

2. El seguimiento a civiles

En los archivos de la Sedena se expone el seguimiento detallado que hacen los militares de medios de comunicación, periodistas, activistas, defensores de derechos humanos y civiles de interés.

Periodistas como Ricardo Raphael, del diario El Universal, denunciaron en días pasados que fueron víctimas de espionaje por parte del ejército a través del software Pegasus, según se reveló con la filtración de Guacamaya.

Hay listas de periodistas clasificados “a favor” y “en contra” del gobierno.

Al respecto, Escorcia y Sanders explican que es muy llamativo el nivel tan detallado de seguimiento que hace la inteligencia militar sobre las personas.

“Tienen un seguimiento detallado de todas las protestas, desde tres personas en una esquina de una calle, hay información ahí. Eso me impactó, porque yo ya no vivo en México, pero me metí a ver información del barrio donde vivía y hay información sobre protestas que ni yo me había enterado, vienen muy detalladas”, señala Escorcia, quien lo cataloga como un nivel de información “más intrusivo que de intereses de seguridad nacional”.

En un comunicado, la Sedena aseguró que el uso del software de espionaje Pegasus no se dio durante el actual sexenio de López Obrador, sino entre 2011 y 2013.

BBC Mundo solicitó comentarios al gobierno de México, pero no hubo respuesta. Sin embargo, el presidente aseguró en su conferencia de prensa que desde 2018 que tomó el gobierno, no hay espionaje ilegal.

“Ellos tienen labores de inteligencia que llevan a cabo, que no de espionaje, que es distinto. Nosotros no espiamos a opositores y lo que buscan nuestros adversarios es equipararnos con los que gobernaban anteriormente, y no somos lo mismo”, aseveró.

Sanders recalca que lo primordial para el interés público es saber qué es relevante y no los datos personales que hay.

“Nos enfocamos en el tema de rendición de cuentas, de los derechos humanos, en cuanto a corrupción. Pero hay datos personales importantes. En eso no deberíamos metemos”, señala.

3. La salud y seguridad de AMLO

El seguimiento detallado de personas también alcanza al presidente López Obrador.

Las filtraciones de Guacamaya se dieron a conocer en la prensa la semana pasada con la salud del presidente como tema principal, pues documentos del ejército muestran que el mandatario tuvo que someterse a un cateterismo de emergencia en enero pasado debido a sus problemas cardiacos.

La información muestra que la Sedena recopila minuciosamente no solo la salud y visitas médicas del presidente, sino minuto a minuto todas sus actividades, reuniones, conversaciones, traslados, giras por el país y vacaciones.

Los periodistas también han visto que la familia directa del presidente es seguida con gran detalle.

“No hay una vida que valga más que otra, pero por ejemplo, vienen los movimientos de la familia del presidente y me parece muy grave eso”, explica Sanders, pues los informes dan cuenta de todo el dispositivo de seguridad y el nivel de protección para el jefe de Estado.

Y remarca, información como esa podría ponerlo en peligro si cae en manos de alguien que quisiera hacerle daño.

4. Lo vulnerable del software militar

Guacamaya ya se había infiltrado en el servidor de fuerzas armadas de América Latina, en Chile, Perú, Colombia o El Salvador a través de una brecha de seguridad del servicio Exchange.

Esta es una plataforma de Microsoft que es la base de servidores de correo electrónico. La firma estadounidense había pedido a inicio del año que los usuarios aplicaran una actualización de seguridad para evitar una intrusión.

Pero ni la Sedena de México ni los de otros países aplicaron el parche de seguridad, asegura Escorcia: “Lo extraño es que ningún ejército haya notado ese actualización”.

En el caso de México hubo un elemento adicional que ha dejado ver un descuido de Sedena en su información, según los expertos.

Usaban un software llamado Zimbra que es una plataforma para correo electrónico, la cual resultó vulnerada por los hackers.

Escorcia considera que es un servicio de menor seguridad contratado por la política de austeridad del actual gobierno.

“Es una versión más barata del software que deberían tener en el ejército. Antes tenían un sistema más potente, pero por los recortes, utilizaron Zimbra”.

Y el descuido del tratamiento de información sensible también es evidente en los documentos.

“En un correo -cuenta Escorcia-, un general le pidió a un oficial de inteligencia los datos y grabaciones del seguimiento de un narco. Y todo iba bien hasta que el general le dice ‘es que no sé cómo abrir esto’. Entonces el oficial le revela detalles de cómo abrir esa información, datos que tendrían que estar resguardados y no en los correos regulares del ejército”.

Para Sanders, “es grave que no hayan puesto bien los candados en cuanto a seguridad digital para blindar un servidor externo de la Sedena”.

5. Conocimiento de corrupción

La información producida por la Sedena también da muestra del conocimiento que tienen los militares de relaciones entre autoridades y grupos criminales.

Por ejemplo, hay reportes sobre posibles vínculos de 20 alcaldes del estado de Guerrero con grupos y líderes del narco cuando ocurrió la desaparición de estudiantes de Ayotzinapa, según los documentos obtenidos por Escorcia.

Pero la prensa, como el diario El País, también ha expuesto que hay fichas de políticos de todo el espectro político del país, desde legisladores hasta gobernadores y sus posibles vínculos con criminales, cuando hay indicios de ello.

También hay reportes sobre la corrupción y puntos débiles en las aduanas y cómo eso facilita el tráfico de drogas y productos a través de los puntos de entrada y salida del país.

Políticos han buscado a las propias fuerzas armadas para conectar a empresas contratistas y de servicios en los múltiples e importantes proyectos de infraestructura que tienen bajo su control.

Entre ellos está el Aeropuerto Internacional Felipe Ángeles o el Tren Maya.

“Viene bien detallado cómo funciona el esquema de corrupción. Eso puede provocar una ola de escándalos y desestabilización. Quien ya tenga acceso -aparte de los medios, ya que estuvo abierto 11 meses- puede provocar un caos político”, dice Escorcia.

La información ha sido enviada a varios periodistas y medios, pero es imposible determinar cuántas copias se puedan generar a partir de ahí y el destino que tendrán, como ocurre en los hackeos de este tipo.

El cibergrupo clandestino Guacamaya obtuvo comunicaciones e informes clasificados, publicados este jueves por el portal de noticias Latinus, en las que se desvelan problemas de salud del presidente Andrés Manuel López Obrador desconocidos hasta ahora por los mexicanos y otros polémicos aspectos de su gestión y del papel de las Fuerzas Armadas en su país.

Guacamaya se ha especializado en sustraer informaciones de los organismos oficiales de Defensa de países latinoamericanos y difundirlos, lo que ha provocado notables escándalos y los ha convertido en un verdadero quebradero de cabeza para los gobiernos de la región.

Por qué hay tanto escándalo en México

Las comunicaciones reservadas de la Secretaría de Defensa Nacional de México filtradas por Guacamaya van desde 2016 hasta el mismo septiembre de 2022.

Según el medio que las publicó, son un total de seis terabytes de información que revelan que López Obrador sufre gota, hipotiroidismo y una angina inestable de alto riesgo, una afección cardíaca que obligó a realizarle un cateterismo el 21 de enero y que su Secretaría de Comunicación presentó a la opinión pública como una intervención de rutina.

Diás antes, el 2 de enero, según consta en las comunicaciones filtradas, el presidente tuvo que ser trasladado de urgencia en una ambulancia aérea desde su rancho en Palenque, en el estado de Chiapas, hasta un hospital militar en Ciudad de México, donde se le diagnosticó la angina.

Este viernes, el mandatario reconoció en rueda de prensa sus problemas de salud. “Todo lo que se dice ahí es cierto”, señaló.

“Yo tengo varios padecimientos. Sólo hay una cosa que no tengo y es la del alcohol, pero lo otro sí, y otros males”, explicó López Obrador, que declaró que el traslado aéreo desde Palenque a la capital mexicana se debió a que había riesgo de infarto.

Los documentos sustraídos por Guacamaya revelan además que el presidente ordenó detener el operativo desplegado para capturar a Ovidio Guzmán López, hijo del narcotraficante Joaquín “el Chapo” Guzmán, que fue liberado después de que su breve detención en Culiacán, Sinaloa, desatará un enfrentamiento entre fuerzas federales y sus seguidores que se saldó con al menos 8 muertos.

Cómo actúa Guacamaya y por qué

López Obrador calificó a los ciberpiratas de Guacamaya como “gente muy especializada” y dijo que aprovecharon que se estaba llevando a cabo un cambio en el sistema de información del Ejército para apropiarse del material.

Guacamaya resumió su actividad en un comunicado: “Filtramos sistemas militares y policiales de México, Perú, El Salvador, Chile, Colombia y entregamos esto a quienes legitimamente hagan lo que puedan con estas informaciones”.

El grupo ha atacado también a grandes corporaciones mineras que actúan en la región y acusa a los cuerpos de seguridad de ser “la garantía de la dominación del imperialismo norteamericano” y de “la presencia extractivista del norte global” en la “mal llamada América”, a la que el grupo se refiere como Abya Yala, un viejo topónimo indígena.

En un comunicado colgado en la página web Enlace Hacktivista, el grupo condena el dominio colonial iniciado con la conquista española de América, que considera prolongado por Estados Unidos, y se manifiesta contra el capitalismo global por sus efectos sociales y medioambientales. “Nuestra Pachamama, madre de la que venimos, se ha visto contaminada, agotada, extraída, expoliada y, en definitiva, violada”, aseguran.

Para ellos, militares y policías son las “fuerzas represivas” que aseguran que las grandes empresas puedan lleva a cabo la explotación de los recursos naturales y el deterioro de la naturaleza.

Qué hizo Guacamaya en Chile

Aunque ha actuado en varios países, la sustracción de más de 400.000 correos electrónicos del Estado Mayor Conjunto de las Fuerzas Armadas de Chile había sido hasta ahora su golpe más notable.

En uno de los informes filtrados, los militares chilenos se referían a la tendencia del presidente de Argentina, Alberto Fernández, a “inmiscuirse” en la política de los países vecinos y señalaban el riesgo del posible resurgimiento de controversias limítrofes con sus vecinos argentinos.

La filtración obligó a la ministra de Defensa de Chile, Maya Fernández, a suspender una gira por Estados Unidos y provocó la renuncia del general Guillermo Paiva, jefe del Estado Mayor Conjunto chileno.

Ahora puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.

• ¿Ya conoces nuestro canal de YouTube? ¡Suscríbete!

En el mundo hay más de 4 mil 500 millones de usuarios de redes sociales como Facebook, Twitter, o Instagram, personas que se han convertido en el objetivo de los hackers y que están expuestas a la ingeniería social, los impostores, la minería de datos y los ciberataques.

Por eso, con motivo del Día Mundial de las Redes Sociales que se celebra el 30 de junio, algunas empresas de ciberseguridad han aprovechado para dar algunos consejos con los que evitar los ataques más habituales.

Según Cisoverso -comunidad privada de profesionales de la ciberseguridad- uno de cada cinco usuarios será atacado en las próximas 24 horas; y es que las redes se han convertido en una vía habitual de acceso a información personal y laboral que permite a los hackers recopilar datos de contactos para lanzar ataques de ‘phishing’ a través de ‘spam’ o para hacer ataques de fuerza bruta.

Por eso, Cisoverso recuerda que es importante concienciar a las personas para que vigilen la información que comparten en redes sociales y que, en caso de ataque, recomienda que denuncien el delito.

“La forma más fácil para hackear perfiles de redes sociales o para conseguir datos personales sigue siendo el phishing”, destaca Enrique Serrano, fundador de HackRocks y miembro del consejo de Cisoverso.

“Los usuarios reciben un email, un mensaje o una foto de alguien conocido o cercano y acaban pulsando sobre un enlace que contiene algún código malicioso que permite al cibercriminal comprometer la cuenta y hacerse con la información que le interesa”, añade.

Algunos de los ataques más habituales y sencillos en Facebook son un mensaje o enlace desde Facebook Messenger que pide al usuario reconfirmar o actualizar su información personal y preferencias; un mensaje de un amigo que te invita a ver una foto o acceder a una promoción, y un correo de Facebook que avisa de un posible incidente de seguridad y pide que actualices la contraseña.

En Instagram el riesgo está en la sincronización con aplicaciones de terceros (edición de fotos y filtros especiales, análisis de seguidores…) para las que hay que conectarse a través del perfil del usuario. Si esas aplicaciones de terceros son un engaño o no son fiables el usuario entrega fácilmente sus credenciales a los cibercriminales.

En LinkedIn, la dificultad en esta red es que la compañía cuenta con varios dominios válidos que pueden llevar a confusión al usuario. Lo habitual es recibir solicitudes de amistad de perfiles falsos que poco a poco intentarán ir sacando información o bien mensajes de actualización de políticas de seguridad.

Twitter se ha convertido en una popular plataforma para ataques de phishing en la que los hackers usan las mismas técnicas y ataques de phishing que en otras redes sociales, aunque el más habitual es el del profesional o hacker que te promete conseguir muchos followers por un par de euros.

En TikTok y Twitch todavía es habitual la estafa a través de perfiles falsos de famosos para robar dinero a sus seguidores.

Y en WhatsApp, además de mensajes reenviados con promociones y cupones fantásticos que vienen acompañados de un enlace malicioso, también es frecuente el mensaje de un amigo o familiar que escribe por un problema de dinero en el aeropuerto o en un viaje fuera del país.

Para evitar estos ciberataques, la empresa de ciberseguridad Bitdefender aconseja revisar la configuración de privacidad de las redes para controlar quién puede ver, reaccionar o comentar los contenidos que compartidos.

Asimismo, recuerda a los usuarios que todas sus interacciones dejan una huella digital que podría afectar a su reputación online, aconseja proteger su información personal, usar contraseñas seguras y acceder a las redes desde dispositivos seguros, denunciar a los usuarios sospechosos o que puedan estar en peligro y bloquearles, y vigilar los mensajes no solicitados y los anuncios que prometen algo demasiado bueno para ser verdad.

El ya popular “Black Friday”, al que seguirá el “ciberlunes” (“Cyber Monday”), marca el inicio de la temporada de compras navideñas y el consumo masivo, pero es también el anzuelo preferido por los ciberdelincuentes para lanzar sus ataques a través de la red; hay consejos muy sencillos de atender que se lo ponen más complicado.

Cada fallecimiento de una celebridad, cada evento deportivo (un mundial o unas olimpiadas) y cada fecha señalada en el calendario es utilizada por los ciberdelincuentes para aventar sus ataques contra los consumidores y usuarios de la red, y las principales instituciones que velan por la seguridad en internet y las empresas especializadas activan sus baterías de recomendaciones para evitar las trampas.

Entre ellas, la más recurrente cuando se trata de una fecha con un carácter tan puramente comercial, es el “phishing”: la suplantación de una página de internet por otra prácticamente idéntica en la que los usuarios introducen sus datos y realizan transacciones comerciales que en realidad son una estafa.

Primer consejo: antes de completar una transacción, el consumidor debe fijarse en que la página sea segura, y comprobar para ello que la dirección donde está navegando empieza por “https”, y que tenga certificado de seguridad y sello de confianza.

Así lo han expuesto fuentes del Instituto Nacional de Ciberseguridad de España (INCIBE), que han detallado el decálogo de recomendaciones que los usuarios deben tener en cuenta ante el “Black Friday” y la proliferación de ofertas en la red.

El INCIBE ha subrayado la importancia analizar los correos que reciben los usuarios ofreciendo promociones para asegurarse de que es la marca oficial la que lo envía antes de hacer “clic” en un enlace, y ha apuntado que se debe también comprobar que la página tiene un apartado de seguridad y de privacidad que detalle qué datos recogen y cómo los usan.

Hay que desconfiar, según este Instituto, si la página no tiene aviso legal con información sobre la empresa, condiciones de venta, devoluciones o sobre reclamaciones, y hay que sospechar también si los precios están notablemente por debajo del mercado o si todos los productos tienen el mismo importe.

A su decálogo de consejos suman el de buscar en la propia red información sobre la reputación de la tienda en la que se va a hacer la transacción -a través de las valoraciones o reseñas de otros usuarios-, y prestar especial atención al “aspecto” de la tienda, que su diseño sea homogéneo, que las imágenes tengan calidad y que todas las secciones estén completas y bien redactadas.

Numerosas empresas especializadas en la seguridad y autentificación informática han lanzado también sus recomendaciones ante la proliferación de ofertas y promociones con motivo del “Black Friday” y el “Cyber Monday” y para que las compras se realicen con confianza y con seguridad.

La compañía internacional WatchGuard Technologies ha alertado de que la forma “más obvia” usada por los delincuentes estos días es el “phishing” a través del correo electrónico, por lo que sugiere que los usuarios eviten cualquier correo que les resulte sospechoso.

Y ha subrayado además la relevancia de no facilitar los datos de una tarjeta bancaria cuando no hay garantía de protección, de no comprar en cualquier sitio web y de buscar el candado en el navegador o las letras “https://”, que aseguran que la comunicación con ese sitio está cifrada.

La empresa de seguridad informática ESET ha advertido de que los delincuentes han lanzado muchas campañas de correos maliciosos para robar información de los usuarios, en especial la relacionada con sus tarjetas de crédito, y ha precisado que una de las técnicas preferidas por los estafadores es la de suplantar empresas de transportes o de logística para hacer creíbles sus correos.

Especializada en el sector de la seguridad informática, la empresa S21sec ha señalado también al “phishing” como la principal amenaza durante un periodo de aumento de las compras como el que empieza ahora, y la proliferación de contenidos atractivos que incitan a los consumidores a hacer “clic” en un enlace desde el que los delincuentes pueden robar la información personal y financiera.

Y a las recomendaciones más comunes añade la de no rellenar formularios en webs que no resulten fiables y la de mantener actualizados los sistemas operativos de los ordenadores y de las aplicaciones de los dispositivos móviles.

Según datos de la multinacional Kaspersky, el fraude en los pagos digitales se multiplica durante las fechas o las temporadas de rebajas. La empresa ha detallado que sus sistemas han detectado más de 200 mil correos electrónicos “basura” o no deseados (“spam”) que contenían las palabras “Black Friday”.

Las suplantaciones (“phishing”) más recurrentes, según los datos facilitados por esta multinacional, son las que replican las páginas de Amazon, eBay, Alibaba o Mercado Libre.

Como último consejo, las instituciones y empresas coinciden en la importancia de desconfiar de las páginas que ofertan precios muy por debajo del mercado normal y atender una de las más viejas recomendaciones, convertida casi en un aforismo: “demasiado bueno para ser verdad”.

Una falla este lunes 4 de octubre afectó a millones de usuarios de Facebook, Instagram y WhatsApp en todo el mundo, sin que hasta el momento se sepa la razón.

El apagón afectó a usuarios de gran parte del mundo, provenientes de unos 106 países según el sitio web xataca.com, especializado en temas de tecnología.

Otros medios especializados incluso indican que el apagón permitió que los datos de unos 533 millones de usuarios fueran filtrados.

La información podría haber incluido identificadores de Facebook, números de teléfono móvil, direcciones, biografías e incluso dirección de correo electrónico.

Lea más: Los infaltables memes de la caída de Facebook, Instagram y WhatsApp de este 4 de octubre

Esta no sería la primera vez que ocurre un robo masivo, pues en junio de 2020 se conoció que unos 2.5 millones de direcciones habían sido obtenidas por un hacker que luego los puso a la venta.

Facebook no se ha pronunciado al respecto. Únicamente publicó, mediante su cuenta de Twitter, que “algunas personas” estaban teniendo problemas para acceder a las aplicaciones y productos, pero que se trabajaba para que todo regresara a la normalidad lo más pronto posible.

Mike Schroepfer, director de Tecnología de Facebook, indicó que el servicio ha sido interrumpido por “problemas de red” y que los equipos trabajan lo más rápido posible para depurar y restaurar la conexión.

*Sincere* apologies to everyone impacted by outages of Facebook powered services right now. We are experiencing networking issues and teams are working as fast as possible to debug and restore as fast as possible

— Mike Schroepfer (@schrep) October 4, 2021

Expertos en seguridad informática recomiendan a los usuarios protegerse de las eventuales fugas de información y asegurarse que sus contraseñas son robustas y únicas, pues si son robadas no podrán utilizarse en otras redes sociales, sistemas de mensajería, correo electrónico o cuentas bancarias.

También recomiendan activar la autentificación en dos pasos, para que, si los nombres de usuario y contraseña son vulnerados, se le pueda hacer más complicado al hacker acceder a las cuentas.

La caída de Facebook ocurrió un día después de haberse dado a conocer la identidad de la mujer que filtró una serie de archivos correspondientes a investigaciones que la empresa hizo y que no publicó.

Entre ellos, los resultados sobre el daño que puede causar a la salud mental de los adolescentes la red social Instagram.

Descartan ciberataque

Según New York Times, dos integrantes del equipo de seguridad de Facebook, que hablaron bajo condición de anonimato porque no estaban autorizados a hacerlo públicamente, dijeron que era poco probable que un ciberataque causara los problemas. Esto se debe a que la tecnología detrás de las aplicaciones aún era lo suficientemente diferente como para que un ataque no las afectara a todas a la vez.

No te asustes. Quizás sea hora de cambiar de terminal o ajustar tu plan de datos.

Pero ojo, esos síntomas también pueden indicar que un hacker manipula tu celular.

Una brecha de seguridad en tu teléfono puede comprometer tu identidad, privacidad y recursos sin que te enteres.

Y es que los métodos de los hackers cada vez son más efectivos e indetectables.

Por suerte para todos, hay signos para sospechar si nos han hackeado el teléfono y algunos consejos para evitarlo.

¿Cómo saber si te han hackeado el teléfono?

Como te dijimos al principio, si tu teléfono consume datos de navegación demasiado rápido, esta podría ser una señal de alarma.

“Es cierto que hay muchas razones para un alto consumo de datos (por ejemplo, usar más alguna aplicación). Pero si usas el teléfono de la misma forma y tu consumo de datos se ha disparado, es tiempo de investigar”, recomienda Norton, empresa estadounidense de seguridad informática.

Norton, además, pide estar atentos al consumo de batería. Si tus hábitos con el teléfono no han cambiado y la carga te dura menos de lo normal, puede ser que tu teléfono haya sido hackeado.

Kaspersky, otra compañía líder en seguridad informática, da otro posible síntoma de hackeo.

“Un teléfono hackeado puede estar dando toda su potencia de procesamiento a las aplicaciones sospechosas del hacker. Esto puede causar que tu teléfono se ralentice. Otros signos pueden ser congelamientos o reinicios inesperados”, apunta Kaspersky.

Tanto Kaspersky como Norton coinciden en seguir también de cerca cualquier actividad inesperada en tu teléfono.

Estas pueden ser aplicaciones repentinas que no recuerdes haber instalado o llamadas o mensajes que no hayas hecho.

Kaspersky aconseja revisar tus cuentas de correo y redes sociales. Puede ser signo de peligro si te piden modificar la contraseña o te aparecen localizaciones de acceso inusuales.

• Por qué cambiar periódicamente tus contraseñas puede en realidad hacerte más vulnerable ante los hackers

“Cuando un hacker entra en tu teléfono, tratará de robarte el acceso a tus cuentas más valiosas“, dice la compañía, fundada en Rusia.

¿Cómo evitar una brecha de seguridad en tu teléfono?

Tu terminal puede ser hackeado de varias formas.

Debes tener cuidado al descargarte aplicaciones, ya que algunas de ellas pueden contener virus. Lo ideal es elegir aplicaciones de las tiendas de Google o Apple, por ejemplo.

“Si recibes un correo o texto de una persona que no conoces, evita clicar en cualquier link o descargar un archivo adjunto. Estos también pueden incluir malwares”, apunta Norton.

“Es muy fácil para los hackers conectarse a tu teléfono usando wifi o bluetooth, así que desactívalos si no lo necesitas porque el ataque puede llegar sin aviso“, aconseja por otro lado la empresa de seguridad McAfee.

“Si te hackean en un espacio público, si apagas el teléfono puedes detener al hacker. Este es un método de prevención efectivo”, añade.

A lo recomendado, Kaspersky también aconseja mantener tu teléfono todo el tiempo contigo y no perderlo de vista, no guardar contraseñas en tu dispositivo y mantener todas tus aplicaciones actualizadas.

¿Cómo actuar si ya te han hackeado el teléfono?

Si a pesar de seguir los consejos un hacker ha conseguido manipular tu teléfono, es importante tener claros los pasos para deshacerte del atacante.

Primero, Norton recomienda avisar a tus contactos de que tu teléfono fue hackeado. Así pueden evitar hacer click en cualquier link sospechoso que reciban de ti.

Acto seguido, debes desinstalar cualquier aplicación sospechosa.

También conviene activar algún software antimalware en tu terminal que detecte y ataque el agente malicioso que lo infecta.

Resetear tu teléfono puede ser otra solución, aunque esto también implicaría borrar tus datos y archivos.

Por último, es vital que cambies todas tus contraseñas. Es muy posible que esta información se haya comprometido durante el ataque.

¿Cuántas veces has experimentado el frustrante episodio de no recordar una contraseña y acabar poniendo al final la que sí era correcta, para tener que volver a cambiarla?

Las constantes peticiones de cambio de contraseña de los servicios digitales que usamos a diario —desde el email, hasta la cuenta de Zoom o las redes sociales— pueden suponer un verdadero dolor de cabeza (¿cómo recordarlas todas?).

Pero, además, pueden hacernos más vulnerables frente a los hackers, según advierten varios especialistas en ciberseguridad.

¿Cómo es posible que una nueva contraseña comprometa tu seguridad en internet?

Alteraciones mínimas

La clave está en que, cuando cambiamos la contraseña, tendemos a hacer alternaciones mínimas que acaban facilitando enormemente a los ciberdelincuentes la tarea de adivinarlas.

Por ejemplo, cambiamos “CDMX1” por “CDMX2”. O incluimos al final de la consigna el año en que nacimos. O cambiamos la última letra por otra o por el número del mes.

Y si son contraseñas muy complicadas, algunos usuarios las escriben en notas autoadhesivas y las pegan a la computadora.

“Al final, terminamos recurriendo a derivados de una misma contraseña porque no somos capaces de recordar otras nuevas y más robustas para todos los servicios que utilizamos.

Además, es frecuente reutilizar una misma contraseña — o una muy similar—en varios servicios”, le dice a BBC Mundo Juan Caubet, director de la Unidad de IT Security del centro tecnológico Eurecat.

“Eso hace que, si hay una brecha de seguridad o te roban una contraseña en una campaña de phishing [un fraude basado en la suplantación de identidad] los hackers puedan adivinar fácilmente la contraseña que utilizas en otras plataformas añadiendo o cambiándole dígitos a la base que ya tienen”.

El especialista en ciberseguridad dice que, para no ponérselo tan fácil a los estafadores, lo ideal sería que cada vez que nos solicitaran un cambio de contraseña, la cambiáramos por otra totalmente nueva, que además fuera robusta.

“El problema es que esto es poco manejable porque usamos muchas contraseñas”, añade.

CLAVES PARA UNA CONTRASEÑA ROBUSTA

• que tenga al menos 8 caracteres
• que combine letras, números y caracteres especiales
• usa mayúsculas y minúsculas
• no incluyas datos obvios, como tu nombre o tu fecha de nacimiento
• ¡no la uses en otro servicio! si una de tus cuentas se ve comprometida, todas estarán en riesgo

Fuente: Juan Caubet, especialista en ciberseguridad (Eurecat)

“Hace mucho tiempo que se busca resolver cómo hacer más seguras las contraseñas, pero el cambio obligatorio de contraseña es un parche y pronto será algo obsoleto; es mejor una sola contraseña robusta que varias que al final no lo sean tanto”, comenta Caubet.

No es el único que lo piensa.

De hecho, los expertos en seguridad informática llevan tiempo alertando contra del cambio frecuente de contraseña.

Hace unos años, Bill Burr —autor de una influyente guía sobre contraseñas de computadora que fue distribuida por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST, por sus siglas en inglés)— se retractó de algunos de sus propios consejos.

Entre ellos, cambiar la contraseña cada 90 días agregando mayúsculas, números y símbolos, de manera que, por ejemplo, “protegido” podría convertirse en “pr0t3Gid0!”.

Sin embargo, se ha demostrado que las computadoras necesitan más tiempo para descifrar una combinación aleatoria de palabras que adivinar una palabra con sustituciones fáciles de recordar, como “Contr@sseÑ123!”.

“Me arrepiento de la mayor parte de lo que recomendé. Creo que probablemente los consejos eran muy engorrosos para mucha gente”, dijo el experto en 2017, ya jubilado y con 72 años, sobre el manual que publicó en 2003.

• El gurú de las Contr@señas1! asegura que la mayoría de sus recomendaciones fueron erradas

Muchas plataformas e instituciones siguen recomendando (y obligando) a cambiar de contraseña con frecuencia, pero otras ya no recomiendan tales pautas.

Microsoft se sumó al segundo grupo en 2019, cuando anunció que estaba eliminando los cambios periódicos de contraseña tras décadas recomendándolos. “Es una práctica antigua y obsoleta”, argumentó entonces.

Durante el fin de semana, se supo que un pirata informático había publicado en línea una base de datos que contenía la información personal de 533 millones de usuarios de Facebook, incluidas direcciones de correo electrónico y físicas, números de teléfono, fechas de nacimiento y más.

Si bien los datos fueron robados en una violación de 2019 y Facebook hace mucho tiempo que tapó ese agujero, es la primera vez que este enorme tesoro está disponible de forma gratuita.

Si tiene una cuenta de Facebook (o si tuvo una en 2019 que ha desactivado), debería preocuparse. Si tiene duda de cómo averiguar si su información privada se ha hecho pública, aquí le decimos cómo verificarlo.

Have I Been Pwned? (algo así como ¿Me han hackeado?) es un sitio que permite a los usuarios buscar bases de datos de docenas de infracciones. Esta misma semana ha agregado el conjunto de datos de Facebook a su colección. Basta con ir  a la página de inicio del sitio e ingresar las direcciones que usas con Facebook para ver si están incluidas. Y sí, es seguro hacerlo. Have I Been Pwned es un sitio bien establecido y su operador, Troy Hunt, es director regional de Microsoft en Australia.

Hunt pudo encontrar más de 2.5 millones de direcciones de correo electrónico en la base de datos, según los detalles en la página de inicio de Have I Been Pwned.

I’ve had a heap of queries about this. I’m looking into it and yes, if it’s legit and suitable for @haveibeenpwned it’ll be searchable there shortly. https://t.co/QPLZdXATpt

— Troy Hunt (@troyhunt) April 3, 2021

El sitio también te permite buscar para ver si su contraseña se ha encontrado en una violación de datos, y debido a que los datos de Facebook incluyen números de teléfono, Hunt ha estado debatiendo si agregar una función de búsqueda de números de teléfono también.

Hay problemas con eso, uno de los cuales es permitir que los spammers y estafadores confirmen los números de teléfono como reales. Como señala Hunt en el tuit anterior, un malhechor podría apoderarse de toda la base de datos de violación de Facebook y poner nombres junto con números de teléfono confirmados. Personalmente, voté NO en su encuesta.

* En alianza con Forbes Centroamérica, artículo de Forbes Staff.

Se trata de una extorsión en la que un pirata informático busca que una víctima pague por no ser avergonzada con información privada que le fue robada.

Un empleado de una empresa estadounidense fue el objetivo hace poco de este tipo de chantaje.

Los piratas informáticos se jactaron de haber descubierto la colección secreta de pornografía de un responsable de servicios de tecnología.

En un blog en la internet oscura, el mes pasado la banda de ciberdelincuentes nombró al directivo cuya computadora supuestamente contenía los archivos.

• 5 cosas que pueden conseguirse en las redes oscuras de internet

También publicó una captura de pantalla de la biblioteca de archivos de esa computadora, que incluía más de una docena de carpetas con nombres de estrellas porno y sitios web para adultos.

“Gracias a Dios por [nombre del directivo]. Mientras él se estaba [masturbando], descargamos varios cientos de gigabytes de información privada sobre los clientes de su empresa. Dios bendiga sus manos peludas, ¡Amén!”, decían los hackers.

La publicación del blog fue eliminada en las últimas semanas, lo que, según los expertos, generalmente significa que el intento de extorsión funcionó y que se pagó a los piratas informáticos para restaurar los datos y no publicar más detalles.

La empresa no reconoció públicamente que fue hacekada y no respondió a las solicitudes de comentarios.

En tanto, el mismo grupo de piratas informáticos también está tratando de presionar a otra empresa de servicios públicos de EE.UU. para que pague un rescate, publicando el nombre de usuario y la contraseña de un empleado que presuntamente tiene un sitio porno de pago.

“La nueva norma”

Otro grupo de extorsión que también tiene un sitio en la red oscura ha mostrado el uso de tácticas similares.

La banda, relativamente nueva, ha publicado fotos y correos electrónicos privados y está pidiendo directamente al alcalde de una ciudad de Estados Unidos que pague un rescate.

• Cómo actuar si eres víctima de una “sextorsión” en internet

En otro caso, los piratas informáticos afirman haber encontrado evidencias de fraude en un correo electrónico de una empresa agrícola canadiense.

Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft, dice que la tendencia apunta a una evolución de la piratería de extorsión, llamada ransomware.

“Esta es la nueva norma. Los piratas informáticos ahora están buscando en los datos información que pueda ser utilizada como arma. Si encuentran algo que sea incriminatorio o vergonzoso, lo usarán para buscar un mayor pago. Estos incidentes ya no son simplemente ciberataques sobre datos, son intentos de extorsión”.

Otro ejemplo de esto se vio en diciembre de 2020, cuando la cadena de cirugía estética The Hospital Group fue obligada a pagar un rescate bajo la amenaza de la publicación de imágenes de ‘antes y después’ de sus pacientes.

El ransomware está evolucionando

La estrategia ha evolucionado considerablemente desde que apareció por primera vez hace décadas.

Los delincuentes solían operar solos o en pequeños grupos, teniendo como objetivo a usuarios individuales de internet al azar, a través de sitios web y correos electrónicos con links engañosos.

En los últimos años, se han vuelto más sofisticados, organizados y ambiciosos.

• 3 de las estafas más comunes en las aplicaciones de citas online

Se estima que las bandas criminales están ganando decenas de millones de dólares al año, al dedicar tiempo y recursos a atacar a grandes empresas u organismos públicos para obtener pagos enormes, a veces de millones de dólares.

Callow ha estado siguiendo tácticas de ransomware durante años y dice que desde finales de 2019 ha visto otro cambio en las estrategias.

“Solía darse el caso de que los datos solo eran encriptados para causar alterar las operaciones de una empresa”, explica.

“Pero luego comenzamos a ver que los datos eran descargados por los mismos piratas informáticos. Eso significaba que podían cobrar a las víctimas aún más, pues la amenaza de vender los datos a otros era fuerte”.

Algo difícil de combatir

Esta última tendencia de amenazar con dañar públicamente a una organización o individuo ha preocupado especialmente a los expertos porque es difícil tener una defensa.

Mantener copias de seguridad fuertes ayuda a las empresas a recuperarse de los ataques de ransomware, pero eso no es suficiente cuando los piratas informáticos utilizan tácticas de extorsión.

La consultora de seguridad cibernética Lisa Ventura dice: “Los empleados no deben almacenar nada que pueda dañar la reputación de una empresa en los servidores de la compañía. Las organizaciones deben brindar capacitación sobre esto a todo su personal.

“Los ataques de ransomware no solo se están volviendo más frecuentes, sino que también se están volviendo más sofisticados. Identificar factores como el daño a la reputación, ofrece un incentivo mucho mayor para extorsionar a las víctimas”.

La falta de informes de víctimas y una cultura de encubrimiento dificulta la estimación del costo financiero general del ransomware.

Los expertos de Emsisoft estiman que los incidentes de este tipo costaron en 2020 hasta US$170.000 millones en pagos de rescate, tiempo de inactividad e interrupciones.