Desde la madrugada del 12 de septiembre se encuentra caída la web de Mercado Público en Chile, después de que la empresa que presta servicios a Mercado Público, IFX Networks, sufriera un ataque del tipo ransomware (secuestro de datos por el que se pide un rescate en dinero), por parte de hackers identificados como RansomHouse.

El ataque generó una alerta temprana desde el equipo de respuestas ante incidentes de seguridad informática del Ministerio del Interior (CSIRT), además de recomendaciones a todos los organismos públicos con cuentas ligadas a Mercado Público o a la empresa IFX Networks para que tomaran precauciones con antivirus y hasta desconectaran directamente los computadores con cuentas ligadas a IFX Networks, de capitales colombianos.

Mercado Público dio aviso temprano del ataque a sus usuarios a través de un correo electrónico, advirtiendo que en caso de licitaciones que se cerraran estos días, se podrían extender los plazos de estos concursos públicos. 

“Los atacantes ocuparon una variante de ransomware que infecta a todas las máquinas de la empresa que estaban allí, por eso afectó a varios clientes de Chile, Colombia y otros países. Lo que hace este grupo es disponer de información que tienen secuestrada en la dark web, para seguir con la extorsión, y suelen robar información sensible de las empresas. Es probable que en esa información que hayan robado haya información de accesos de los clientes de IFX Networks” explica a Interferencia Germán Fernández, director del equipo de Ciberseguridad de CronUp.com, quien ha seguido de cerca la historia de este ciberataque.

"Por ahora restablecimos las ocho funcionalidades principales y estamos ampliando la infraestructura del sistema de contingencia para tener la capacidad de procesamiento suficiente para soportar todas las funcionalidades de la plataforma”, señalan desde Mercado Público.

Fuentes del mundo privado que participan en licitaciones comentaron a Interferencia que el hackeo podría ser más complejo de lo que parecía en los primeros días y que las empresas ya se están preparando para participar en licitaciones con entrega de documentos en papel, como se hacía hasta hace algunos años. De hecho, este 22 de septiembre se cumplen diez días desde el ataque sin que Mercado Público pueda funcionar en su totalidad, aunque se han ido restableciendo algunas funciones de su web.

La directora de ChileCompra, Verónica Valle, a través de un comunicado hecho llegar a Interferencia, informó que “aún no se han podido restablecer plenamente los servicios de plataforma de Mercado Público donde se transan más de USD 15.000 millones al año [...] Por ahora restablecimos las ocho funcionalidades principales y estamos ampliando la infraestructura del sistema de contingencia para tener la capacidad de procesamiento suficiente para soportar todas las funcionalidades de la plataforma”.

De todas formas, Mercado Público explica que este ataque no afectará a los usuarios que tienen cuenta en su sitio y que progresivamente todas las funciones de su web irán restableciéndose. Germán Fernández coincide en que el foco del ataque para los hackers es IFX Networks y no los usuarios de los sitios afectados, como Mercado Público.

“Lo único que hemos visto acá es que las empresas clientes de IFX se han visto afectadas en la disponibilidad de sus servicios, de sus páginas, pero no ha habido un ataque de ransomware a los clientes de IFX. De todas formas hay que tomar precauciones, porque seguramente la información que tienen los atacantes puede incluir claves de accesos”, explica Fernández a Interferencia.

IFX Networks es una empresa conocida en América Latina y considerada “grande” en el rubro de proveer servicios digitales a diferentes órganos estatales y empresas privadas. En Chile, además de Mercado Público, se vieron afectadas algunas áreas del Ministerio de Energía, la Subsecretaría de Pesca, la Municipalidad de Providencia y empresas privadas como Sencillito.

“Mi hipótesis es que no han dejado entrar a entender qué pasó porque algún pecado tienen”, dijo sobre IFX Network el ministro de las Tecnologías de la Información y las Comunicaciones (TIC) de Colombia.

Pero el ataque afectó, principalmente, a varios servicios y entidades públicas de Colombia, clientes de IFX Networks, interrumpiendo el funcionamiento hasta de tribunales, entregas de certificados de defunción y hasta fichas de pacientes de hospitales, información a la que podrían haber accedido los ciberdelincuentes. El ataque en Colombia incluye a los servicios de la rama judicial de ese país (Tribunales y otros), Superintendencia de Salud, Ministerio de Cultura de Colombia, Biblioteca Nacional de Colombia y hasta al Instituto de Hidrología, Meteorología y Estudios Ambientales.

“En opinión de MuchoHacker.lol es una situación gravísima ya que muestra la fragilidad del Estado colombiano y debería poner en el tapete la discusión sobre la soberanía tecnológica del país y su dependencia a servicios de terceros que de forma irresponsable manejan los datos de millones de personas” publicó el medio especializado MuchoHacker, quienes han seguido por días esta noticia. 

La situación requirió el pronunciamiento del mismo ministro de tecnología de Colombia, quien manifestó su molestia y desconfianza hacia la actitud que ha tomado IFX Networks para resguardar los datos privados de los ciudadanos colombianos del mismo Estado.

“Mi hipótesis es que no han dejado entrar a entender qué pasó porque algún pecado tienen”, dijo sobre IFX Network el ministro de las Tecnologías de la Información y las Comunicaciones (TIC) de Colombia, Mauricio Lizcano, en una entrevista con El País de España.

“Hemos pedido a la empresa que nos entregue la forma del ataque, el malware que se usó y sus indicadores de gestión para, con todo eso, ayudarles a resolver el ataque. Más de 50 empresas se han acercado a ofrecernos su ayuda para solucionar el problema. Pero hasta ahora ni nos entregan la información ni resuelven ellos el problema”, agregó Lizcano en la misma entrevista.

Según expertos informáticos, es habitual que este tipo de atacantes como RansomHouse soliciten un rescate de la información secuestrada a las empresas y que para ello, expongan algo de la información robada en la dark web, como una muestra de “su botín”. Hasta el momento parte de la información secuestrada no se ha subido.

La misma falta de información sobre los detalles del ataque, por parte de la empresa colombiana, aduce la directora de Mercado Público en Chile, servicio que tuvo que usar un respaldo que tenía con otra empresa tecnológica para poner en funcionamiento nuevamente la web.

“Nosotros contamos desde el primer minuto con una plataforma de respaldo que tenemos alojada en otra empresa de data center, TIVIT Chile SpA y que se origina en una licitación adicional (ID 2240-1-LR21). No pudimos “prender” este sitio de contingencia en TIVIT de inmediato porque teníamos que asegurarnos de que este respaldo no estuviese infectado para que no se propague el ransomware a otros sistemas del Estado que se conectan con nosotros. Lo más complejo en este periodo fue que IFX Networks no tuvo una comunicación oportuna y clara, y tampoco nos dieron -por cerca de 1 semana- tiempos de solución respecto a lo ocurrido”, detalló Verónica Valle en un comunicado.

“Ha habido muy poca comunicación por parte de la empresa IFX, con comunicados muy escuetos, con información muy general, y no se habla de cuál es el alcance del ataque, qué tipo de información se vio afectada o qué información de cada cliente está en peligro. Son preguntas que son importantes, y que no se han respondido” comenta Fernández.

En tanto, los ministerios y servicios públicos de Colombia han optado por recuperar la información robada e intentar levantar sus sitios web con otras empresas privadas de servicios cibernéticos, al igual como lo ha intentado hacer Mercado Público en Chile. Desde Mercado Público informaron que en las últimas 24 horas se han emitido 1780 nuevas órdenes de compra a proveedores del Estado, por montos sobre los 11,3 millones de dólares.

“Nuestro equipo está trabajando diligentemente junto con nuestros expertos en ciberseguridad para investigar y responder a este incidente. La investigación sigue en curso”, comunicó IFX Networks desde su página web, sitio que también presentó ataques de virus informáticos.

Según expertos informáticos, es habitual es este tipo de atacantes como RansomHouse soliciten un rescate de la información secuestrada a las empresas y que para ello, expongan algo de la información robada en la dark web, como una muestra de “su botín”. Hasta el momento parte de la información secuestrada no se ha subido, por lo que varios expertos creen que es probable que la empresa esté negociando el pago de un rescate con los atacantes informáticos, quienes pueden llegar a pedir millones de dólares por entregar la información robada.