3 días, 2 horas y 50 minutos. Esa es la cuenta regresiva -hasta el cierre de esta edición- para que termine una subasta publicada en la dark web por Rhysida. Un grupo de hackers que se adjudicó el último ataque informático al Ejército de Chile en el que aseguran haber extraído más de un centenar de archivos secretos de la institución.
Los hechos se remontan al pasado lunes 29 de mayo, cuando se conoció del ciberataque ocurrido dos días antes que derivó en una orden expresa para no encender computadores. Además prohibieron conectar cualquier dispositivo de almacenamiento interno, incluso pendrives autorizados.
Y pese a que en una declaración oficial desde el Ejército destacaron que los sistemas críticos de información no habrían sido afectados, hoy el sitio oficial del grupo de hackers ofrece información al mejor postor.
La subasta
Entre los documentos que ofrecen figuran varios catalogados como secretos, mapas, cédulas de identidad y coordenadas geográficas de supuestos terminales aéreos de la institución.
BBCL Investiga constató la existencia de esta subasta en la dark web, en la que se puede participar llenando un breve formulario. Para ello, sólo se debe dejar un correo de contacto y la oferta por algún documento de interés. La transacción, de ser aceptada, deberá concretarse vía pago en criptomonedas.
El Ejército de Chile figura en un listado de víctimas que Rhysida asegura haber atacado exitosamente. En todo caso, todas ellas se tratan de instituciones de menor relevancia, principalmente entidades educativas de EEUU y otras de Europa.
De hecho, los datos de uno de los organismos afectados en Francia ya fueron liberados y actualmente son de público acceso.
CronUp, sitio especializado, ya cuenta entre los perjudicados por ransomwares -conocidos en las últimas 72 horas- al Ejército.
Sospechas de un insider en hackeo al Ejército
Pese a que no existe una confirmación oficial del Ejército respecto de la extracción de sus archivos, organismos especializados ya habían advertido sobre las operaciones de Rhysida. Su aparición data al menos de mayo de este año.
Su modus operandi consiste básicamente en “secuestrar” bases de datos mediante un ransomware (misma modalidad que el Ejército detectó tras el ataque). Una vez que se concreta, las víctimas reciben un mensaje a través de un archivo PDF en el que ofrecen un rescate de la información a cambio de dinero.
Para Fernando Lagos, especialista en ciberseguridad y director de la empresa chilena del rubro “Nivel4”, quienes están detrás de estos ransomware “son verdaderas organizaciones, casi como empresas constituidas”.
“Cuentan con especialistas, áreas de soporte, etc. También tienen una área de reclutamiento donde contratan a gente capacitada técnicamente para desarrollar nuevos ataques”, añade.
En esa línea, advierte que “lo más peligroso es cuando estos grupos se contactan en privado con personas que trabajan en empresas o instituciones y compran accesos para ejecutar un ataque. A veces, les pagan para que ellos mismos instalen un software y así poder tomar control de la red”.
Dispositivos offline
En el marco de la indagatoria que sustancia la Primera Fiscalía Militar, detectives de la Brigada de Cibercrimen de la PDI detuvieron a un cabo segundo del Ejército implicado en el ciberataque.
Más allá de conjeturas respecto de un posible insider, fuentes conocedoras del caso descartan -por ahora- un vínculo entre el funcionario castrense arrestado y la organización detrás de la subasta.
De acuerdo a los consultados por BBCL Investiga, la aprehensión obedeció a que militar fue visto trasladando un dispositivo desde donde se habría originado el ataque. Actualmente está en prisión preventiva tras ser procesado por el delito de infracción a la ley de delitos informáticos.
Requeridos por este medio, desde el Ejército remitieron su última declaración pública fechada el 5 de junio de este año. En el escrito señalan, por ejemplo, que continúan desarrollando una auditoría a la red de transmisión de datos. Esto, con la finalidad de controlar “la certificación de la puesta en marcha de la red en forma segura”.
Según conocedores de la interna, hasta ahora dichos canales no están funcionando en completa normalidad y existen equipos que continúan aislados de manera preventiva.
El plazo fatal de la subasta vence este viernes.