12 de febrero 2024
La telefónica y proveedora de internet Claro Nicaragua mantiene en silencio el alcance y las consecuencias que sufrieron los usuarios durante un ciberataque de ransomware, que sufrió a finales de enero de 2024 y que provocó fallas en el servicio de internet, además de complicaciones para hacer recargas electrónicas y pagos en Centroamérica.
CONFIDENCIAL solicitó a Claro Nicaragua más detalles sobre cuál fue la información de los usuarios a la que accedieron los hackers, así como la postura de la telefónica sobre si pagará o no una posible extorsión. La empresa se limitó a remitirnos a su comunicado oficial, en el que solo admitieron haber sufrido un “incidente de ransomware” en algunos equipos, que ya aislaron y desconectaron.
El ciberataque de ransomware se trata de un software o programa que cuando ingresa en un dispositivo puede cifrar por completo el sistema operativo o algunos de los archivos que tenga almacenado para extorsionar a la víctima.
Un consultor en temas de ciberseguridad, quien ha seguido el caso de Claro, pero pidió reservar su identidad, dijo que es difícil saber qué información está comprometida en este ataque.
“Normalmente pueden ser servidores de administración o servidores técnicos de intercambio de tráfico, bases de datos de usuarios”, detalló.
A pesar de los problemas, Claro informó de los inconvenientes hasta el 2 de febrero, varios días después que los entes reguladores de los países afectados alertaron sobre las interrupciones en el servicio.
El consultor destacó que la postura de Claro, ante el secuestro, es válida porque lo principal es mitigar la situación y evitar que un ataque similar se repita.
Un software malicioso
“Un ransomware es un software malicioso, una aplicación dañina que imposibilita que el usuario pueda abrir sus documentos. Si el usuario le da doble clic a cualquier documento le va a aparecer una ventana con un mensaje diciendo que ese archivo está cifrado y que para poderlo abrir necesita pagar un rescate”, explicó el experto.
Normalmente el atacante pide un pago a través de una criptomoneda para que no haya trazabilidad, añadió.
Las vías de infestación por ransomware son muchas, aclaró el especialista. Puede ser a través de una USB, la descarga de un archivo contaminado o de alguna aplicación.
“Esto puede suceder a nivel personal o doméstico y también a nivel organizacional o empresarial. En este último caso, el rescate y la afectación puede ser mayor porque no se trata de infectar una computadora, sino un servidor o inclusive más infraestructura como varios servidores u otro tipo de dispositivos”, alertó.
“Secuestro” no es lo mismo que “filtración”
El consultor aclaró que se debe distinguir entre “el secuestro de información” por ataque ransomware, y una filtración o salida de información sin la autorización de Claro.
En el último caso, “podría filtrarse mi nombre, mi teléfono, mi correo electrónico, mi dirección física o cualquier otro dato sensible”, señaló.
La información de Claro Nicaragua solo indica que hubo secuestro de información, pero no que esta se haya filtrado.
De acuerdo con el experto, los usuarios pueden solicitarle a Claro Nicaragua y a cualquier otro proveedor la información que guardan sobre ellos.
“Si Claro fuera una organización pública estaría en la obligación de transparentar el ataque. Sin embargo, como se trata de una empresa privada —que ofrece un servicio público— no tiene la obligación, pero sí tendría la autoridad moral de comentar cuáles han sido los servicios comprometidos, pero teniendo cuidado de no divulgar demasiada información para tratar de contener y mitigar ese daño”, comentó.
Usuarios de Claro reportan las mismas fallas
En el breve comunicado, Claro Nicaragua aseguró que lograron dar continuidad a sus operaciones utilizando mecanismos alternos. “Esperamos que todos nuestros sistemas estén operando de forma regular en el corto plazo”.
Sin embargo, a 15 días del ataque, registrado el 25 de enero de 2024, los usuarios de esta telefónica siguen reportando fallos y demoras al momento de hacer recargas electrónicas y hacer pagos en línea
“No entiendo como Claro Nicaragua dice que ya es{tá todo bien y nada funciona, si no fuera porque pierdo mi número me pasaba a Tigo”, comentó en X (antes Twitter), un usuario de esta telefónica.
Claro es la segunda operadora más grande de Nicaragua. El primer puesto lo ocupa Tigo que hasta 2020 contaba con más de 3.5 millones de clientes a nivel nacional. De Claro no se conoce esta información.
Se elevan los ataques ransomware
A los ataques de ransomware están expuestas todas las empresas que no guardan un buen protocolo de seguridad. En abril de 2022, hubo un ataque a organismos gubernamentales de Costa Rica. También han ocurrido en Perú y Chile.
Los ciberataques de ransomware han incrementado sostenidamente desde 2020. Según el sitio Statis, en 2023, “más del 72% de las empresas de todo el mundo sufrieron ataques de ransomware”.
Los especialistas recomiendan no pagar el rescate porque no hay garantía de que se recupere la información secuestrada.
El informe de ESET Security Report 2022, publicado en octubre de 2023, identificó a cinco de los grupos más activos de ransomware en Latinoamérica. Estos son:
- Sieged Sec. Extorsiona a cambio de la información y amenaza con venderla en foros de la Dark Web o Telegram.
- Nokoyawase. Es el único grupo en utilizar un cifrado de amplia sofisticación añadiendo su propia extensión de archivo homónima (NOKOYAWA).
- ALPHV. Sus ataques son dirigidos y estructurados previamente. No lo hace de forma aleatoria como otros grupos de ransomware.
- Stormous. Ha hecho ciberataques contra países contrarios a Rusia en la guerra con Ucrania.
- Vice Society. Tienen su propio generador de ransomware personalizado con métodos de cifrado más sólidos.
Ante estos ataques hay empresas que se dedican a recuperar la información comprometida en los ataques de ransomware. La principal recomendación es “apagar o desconectar la computadora infectada de la red”.