Explicaciones acerca del ciberataque a la Cooperativa

Eduardo Borletto brindó detalles acerca del ciberataque a los sistemas y datos de la Cooperativa 16 de Octubre. El jefe del sector informático explicó que el atacante ingresó a los sistemas de la cooperativa a través de Internet, mediante una computadora que estaba realizando un proceso que requería una conexión a la web. Ese ataque afectó a esa computadora y, además, dadas las características del proceso, pudo acceder al servidor y a los dispositivos de respaldo.

Expresó que, según las políticas comunes de backup de datos, hay una parte que se puede ver afectada y una parte que no. Después del ataque, no se pudo restablecer la información de la parte afectada y, por lo tanto, la Cooperativa debió tomar la decisión de acceder a ciertas peticiones del atacante para recuperarla.

Se trata de un ransomware, un tipo de virus que restringe el acceso al sistema. “Estos ataques, una vez finalizados, encriptan los archivos. No se llevan información, no la sacan ni la transfieren, sino que los archivos siguen estando en el mismo lugar donde estaban, solo que reciben un cambio en nombre y estructura que hace que no sean accesibles por las herramientas”, explicó Borletto. “Cuando termina este ataque, aparece un cartel en la pantalla de la computadora que indica una dirección de email y un código que hace referencia específicamente a ese ataque y solicita, para la resolución del problema, un rescate”.

La comunicación se hace a través de correo electrónico, en inglés, y se inicia una negociación. “El atacante, inicialmente, habla de un monto determinado para acceder al rescate. La moneda en que se pide el rescate es en Bitcoin, de hecho, aparece mencionada en el cartel que aparece. El atacante arranca solicitando 2 Bitcoins y, después de una negociación, en la que nosotros le decimos que no podemos pagar ese dinero, cerramos en 0,85 Bitcoins”. En este momento, cada Bitcoin se cotiza en alrededor de 134000 pesos.

Aclaró que un elemento importante para tener en cuenta es la falta de conocimiento del atacante sobre la empresa: “Nunca sabe a quién está atacando, si es la Cooperativa 16 de Octubre, si es una megaempresa, una pequeña casa u hogar, no sabe”. Una vez pagado el rescate, la persona envía un programa y una clave para descifrar los archivos.

Sobre el aumento de la seguridad, declaró: “Por suerte, pudimos recuperar la totalidad de los archivos que necesitábamos para que la Cooperativa vuelva a funcionar normalmente. No obstante, y teniendo los archivos recuperados y asegurados, ahora viene toda una etapa de reinstalar nuestros servidores y de reorganizar nuestra información, nuestros accesos y nuestros sistemas, en principio para que sigan funcionando tal cual, como estaban, y además para aumentar nuestra capacidad de atajar este tipo de ataques”.

Sobre el origen del ataque, Borletto expresó que es muy difícil de determinar: “Estas personas, que hacen este tipo de cosas, tienen, además, ciertas capacidades de enmascararse o de esconderse, no solo desde el email que envían, sino desde la dirección desde donde se hizo el ataque. No se puede saber a ciencia cierta”.

Finalmente, concluyó que el monto fue relativamente bajo en comparación a la posibilidad de tener que volver a generar todos los datos de cero: “Nunca podría cargar los 15 años de historia que tengo: sí podría cargar datos de aquí en adelante, con un costo muy alto. Por un costo que, entiendo yo, es relativamente bajo, pudimos acceder a la totalidad de la información”. Se estima que los servicios normales se restablezcan el próximo lunes.

Mirá el video.