La precaria ciberseguridad de Colombia

Se identifican como soldados de la libertad pero tienen técnicas de extorsionistas. Un grupo anónimo de hackeo llamado RansomHouse nació en marzo de este año con un doble discurso sobre la ciberseguridad. Dicen querer proteger a los usuarios de las grandes empresas alrededor del mundo que no cuidan su información personal. Pero luego hacen un ataque informático a estas para demostrar que pueden robar sus datos privados y extorsionan a la empresa a que pague a cambio de no publicarlos (o venderlos). Ransom, en inglés, se traduce a ‘rescate’. En ese sentido, RansomHouse no oculta su objetivo: roba datos privados para pedir una coima.

A finales de noviembre el grupo atacó el sistema informático de la empresa Keralty, que opera servicios de salud en 11 países. En Colombia es dueña de la EPS Sanitas y de la empresa de medicina prepagada Colsanitas, que administran la salud a más de cinco millones de colombianos. Los ciudadanos de repente no podían agendar o acceder digitalmente a citas médicas, exámenes, o realizar trámites administrativos. Y el 19 de diciembre RansomHouse hizo público, a través de la red social Telegram, que ellos estaban detrás del hackeo. “Las víctimas son usuarios pobres”, les escribió un usuario de Telegram que vive al lado de un centro de Sanitas donde se acumulaba una fila interminable de personas mayores. RansomHouse le respondió que, “desafortunadamente”, estaban aún negociando con Keralty. “¡Liberen la página de Sanitas!”, les escribió otra usuaria.

“Desde el momento que nos enteramos del ciberataque contratamos a expertos cibernéticos y auditores forenses a nivel nacional e internacional”, dijo en rueda de prensa Sergio Martínez, CEO global de Keralty, que negó estar negociando una coima con el grupo de extorsionistas. Aseguró que están investigando qué información podría estar expuesta —RansomHouse dice que consiguió obtener 0.7 terabytes de información, y mostró en la deep web 13 documentos para demostrar que no estaban mintiendo— y añadió que están en proceso de volver más robusto su esquema de ciberseguridad. “En otras palabras teníamos una valla de forja que protegía nuestra casa, y ahora hemos puesto un muro de concreto”, dijo Martínez .”Sabemos que algunos trámites no son tan sencillos como lo eran antes y en algunos casos volvimos al papel y al bolígrafo: puede parecer que volvimos a los 90. ¿Pero saben? A esta organización se la valora por las personas que la conforman”, añadió.

Aunque RansomHouse es un grupo que delinque a nivel internacional —en los últimos nueve meses ha hackeado empresas desde el sur de África hasta Filipinas—las autoridades colombianas ya están investigando el caso. Ese ciberataque es el más reciente de una creciente vulnerabilidad en Colombia a este tipo de delitos. De acuerdo al Centro Cibernético de la Policía Nacional, en todo el 2021 hubo 11.223 denuncias de ciberataques, mientras que de enero a octubre del 2022 la cifra se había multiplicado a 54.121 denuncias.

Muchos de esos ciberdelitos son robos a ciudadanos a través de sus móviles: cuando, por ejemplo, hacen clic en un enlace desconocido que les llega por mensaje de texto. Pero otros son casos más emblemáticos. En noviembre, por ejemplo, una persona hackeó una transmisión virtual del Senado de la República para transmitir un video pornográfico en el que un hombre se masturbaba. Otro ejemplo ocurrió en febrero de este año, cuando un hackeo al Invima (Instituto Nacional de Vigilancia de Medicamentos y Alimentos) paralizó al puerto de Buenaventura porque los alimentos y otras mercancías no podían transportarse sin Certificados de Inspección Sanitaria.

“El sector más afectado [por estos ciberdelitos] en los últimos seis meses ha sido el de salud, por ser el más vulnerable y el que más tiende a pagar rescates”, dice a EL PAÍS el senador David Luna, quién fue Ministro de Tecnologías y de la Información (TIC) del 2015 al 2018. Son más vulnerables porque las empresas de salud tienen información privada de casi todos los colombianos (99% de los ciudadanos están afiliados a una), y no cualquier información: saben sus enfermedades, hábitos o ingresos. Entre los hackers, una historia clínica vale oro.

El senador Luna añade que en los últimos años se han debilitado las instituciones encargadas de luchar contra los ciberdelitos. “Colombia era uno de los países más preparados, con una institucionalidad fuerte, como un comando conjunto sobre delitos cibernéticos, un centro cibernético policial, un sistema de respuesta rápida, y lamentablemente entre el pasado Gobierno y lo que va de este se ha disminuido personal, capacidades, y la situación es bastante critica”, dice el senador. “Ahora en el nuevo Gobierno dicen que quieren crear una nueva agencia [un “observatorio de ciberseguridad”], pero yo recomendaría fortalecer lo que ya hay”. El senador prepara un debate en el Congreso sobre las consecuencias que tienen los ciberataques.

Bayron Prieto es un experto en el país en temas de seguridad cibernética. Fue director de informática forense de la Superintendencia de Industria y Comercio, y es director de la empresa de seguridad informática Ediligence. Concuerda con el senador Luna en que falta fortalecer el sistema de protección informática desde el Estado, como en la Fiscalía o en el Ministerio de TIC. “No es que no existan instrumentos de política, se han hecho muchos documentos, pero se han quedado en el papel y el Estado se ha quedado cojo”, dice Prieto. “Un ejemplo muy claro es que el presidente Petro no ha nombrado aún a su Superintendente de Industria y Comercio, que es el máximo órgano de protección de nuestros datos personales. Eso, en mi opinión, demuestra un desinterés”.

Prieto explica que las empresas también tienen, obviamente, una responsabilidad: mientras los hackers aprenden nuevas rutas para llegar a información privada, las empresas deben estar actualizando sus medidas preventivas para evitar hackeos. Pero eso debe ir paralelo a los esfuerzos del estado para perseguir esos delitos o apoyar a las empresas más vulnerables (como las de salud, que son más atractivas que, por ejemplo, una empresa de cemento) para prevenir hackeos.

“Si alguien roba una casa, el Estado no puede solo decir: ‘es que usted tenía que poner una alarma’, sino que tiene que proteger el cuadrante, tiene que fortalecer a la policía, a la Fiscalía, y eso no veo que ocurra”, dice Prieto.

Suscríbase aquí a la newsletter de EL PAÍS sobre Colombia y reciba todas las claves informativas de la actualidad del país.