Gracias a un informe interno que desde EPM se filtró a algunos medios de comunicación, se supo que el grave ciberataque que sufrió la compañía en la tarde del pasado lunes 12 de diciembre fue ejecutado por Blackcat (Gato negro en español), un grupo de ciberdelincuentes cuyo origen es desconocido y que se especializa –vendiéndose al mejor postor– en atacar la infraestructura tecnológica de empresas de energía como EPM.
El diario El Colombiano, informó que en ese documento, la compañía presentó un diagnóstico inicial del impacto del ataque: pérdida de control de la plataforma, información encriptada (secuestrada), pérdida de respaldos y de información, y el contagio del 25% de la infraestructura de sus sistemas y equipos de trabajo.
Sin embargo, ni este informe, ni ningún otro hasta la fecha, se ha publicado oficialmente. Al parecer, el motivo por el cual se filtró fue sembrar la tesis según la cual el ataque se habría generado desde la Central de Hidroituango y su objetivo sería entorpecer la puesta en marcha de las dos primeras hidroeléctricas que comenzaron a operar el pasado miércoles, dos días después del ataque.
Para probar esta teoría, desde la empresa se filtró el pantallazo del log –el término técnico para referirse al historial– de uno uno de los servidores llamado CONSORCIO 20 y que, según EPM, fue el paciente 0 que después contagió al resto de la organización. Es decir, un usuario de ese servidor fue el que le dio clic al enlace o descargó el archivo prohibido que infectó todo.
Sin embargo, este diario consultó a varios expertos en ciberseguridad, quienes coincidieron en que si bien el pantallazo sí muestra que ese servidor estaría bajo ataque, no hay prueba de que haya sido el primero. De igual forma, el consorcio CCC Ituango, constructor del complejo hidroeléctrico, tuvo que salir a aclarar que sus empresas no usaban los mismos servidores de EPM y que ya no tenían equipos en Ituango.
En lo que sí coinciden los expertos con el informe de EPM es en que la ciberbanda criminal es Blackcat.
Los ciberdelincuentes
Desde finales del 2021, decenas de compañías en todo el mundo han sido víctimas de Blackcat, que trabaja como un equipo de mercenarios cibernéticos. Su modelo de negocio se llama Rasomware bajo servicio. Ransomware significa secuestro de información, y bajo servicio quiere decir que quien quiera hacer el ataque puede pagarles y compartir con ellos las ganancias de las extorsiones por la información en una proporción que, según los expertos, es generalmente 70/30.
De acuerdo con los expertos consultados, que prefirieron no dar su nombre –pues el secretismo es mandamiento en el ecosistema de la ciberseguridad–, los sobornos pueden darse en tres niveles. La primera extorsión se debe pagar a cambio de la liberación de los equipos y de la información que el ataque logró secuestrar; el segundo consiste en pagar para que la información sensible que fue robada y por la cual la empresa responsable podría pagar multas no sea difundida públicamente; y el tercer nivel es cuando los criminales descubren información sensible de terceros a quienes pueden también pedirles rescate con la amenaza de filtrar lo encontrado.
Luego del ataque, los hackers le enviaron un mensaje a EPM por medio de un bloc de notas, pero este ya ha sido difundido en grupos y redes sociales de especialistas en el tema. Como si se tratara de las instrucciones para el rescate de una persona secuestrada, en la nota se lee la advertencia de que información importante de la red de EPM fue encriptada y que para recuperarla se deben seguir algunas instrucciones. Entre ellas, actuar rápido antes de que la información sea publicada. Sin embargo, medios especializados han confirmado que no se trata de un mensaje personalizado sino de una advertencia general que Blackcat les hace a todas sus víctimas.
La filtración
En la tarde del viernes pasado, Germán Fernández, quien trabaja en una compañía de ciberseguridad chilena llamada CronUp, alertó en su cuenta de Twitter que la información de algunos de los computadores de EPM ya estaba cargada en un servidor que fue creado el pasado 10 de diciembre, y que incluso había estado disponible en línea durante algunas horas, probablemente como una estrategia de extorsión.
Fernández publicó una imagen en la que se ve una lista de más de 40 carpetas nombradas como “EPM”, en las que estaría contenida la información robada del mismo número de equipos de la empresa.
Las soluciones
Sobre qué tan cerca está EPM de reponerse del ataque se sabe oficialmente tan poco como sobre el ataque mismo. Decenas de miles de familias de escasos recursos en todo el departamento llevan ya seis días sin agua y sin luz, pues los medios para recargar sus servicios no están disponibles. Por otra parte, hasta el viernes pasado la mayoría de los empleados del edificio inteligente seguían trabajando desde sus casas y la página web y el aplicativo de la empresa siguen caídos. Se sabe que a la mayoría de los empleados les alcanzaron a pagar la última quincena; sin embargo, les consignaron el salario pleno, sin las deducciones de la seguridad social o del fondo de empleados.
La epidemia
Son varios los casos de empresas e instituciones colombianas que han sido víctimas de ciberataques que han hecho estragos. El más reciente, antes de EPM, fue el de la EPS Sanitas, que después de más de dos semanas desde el ataque todavía no recupera sus servicios informáticos. En los últimos meses también fueron atacadas la Fiscalía General de la Nación y el Invima, este último, según fuentes no oficiales, también a manos de Blackcat.
Poco se sabe sobre las consecuencias y las soluciones de esos casos, pues el hermetismo no es exclusivo de EPM. Sin embargo, estudios de distintas organizaciones demuestran que Colombia vive una epidemia de ciberataques y expertos aseguran que el de EPM, que parece ser el más grande hasta ahora, puede ser el punto de inflexión para que la curva de este tipo de delitos se dispare.
De acuerdo a un estudio reciente de la Cámara Colombiana de Informática y Telecomunicaciones, los ciberdelitos denunciados en Colombia crecieron un 20,5% en el último año y el país ocupa el puesto 65 en el ranking global de seguridad cibernética. En cuanto a los casos de ransomware, con corte a octubre de este año se denunciaron 318 casos, 90 más que el año pasado, en los cuales se impidió total o parcialmente el acceso a un sistema o red .
