El chantaje a empresas en la Internet profunda prospera como negocio en plena pandemia

Los ciberdelincuentes secuestran datos y extorsionan a compañías brasileñas como Cosan, Aliansce Sonae, Arteris y CPFL. Los ataques aumentaron más de un 300% entre febrero y abril

Un hombre 'hackea' una computadora.
Un hombre 'hackea' una computadora.Getty Images

Un nuevo brote se ha sumado a la tormenta perfecta provocada por la pandemia de la covid-19 en el día a día de las empresas: la escalada de ciberataques. Varias compañías ya han sido víctimas de una extorsión doble: los ciberdelincuentes invaden los sistemas, secuestran datos y encriptan la red interna. Luego, solicitan un rescate para liberar los datos y evitar que la información robada se venda a la competencia o se haga pública en la Internet profunda, la capa a la que los motores de búsqueda como Google no llegan. Los especialistas en ciberseguridad advierten que, con la pandemia, las empresas se han vuelto todavía más vulnerables debido al acceso remoto a los sistemas que realizan los empleados que teletrabajan.

Un estudio realizado por Kaspersky, una empresa rusa de ciberseguridad que opera en Brasil, muestra que, solo en ese país, los ataques que están dirigidos a herramientas de acceso remoto aumentaron un 333% entre febrero y abril. De este porcentaje, no se puede saber cuántos cometieron el delito de doble extorsión. En cualquier caso, los ataques ocurren en todo el mundo y contra los objetivos más variados: desde un destacado abogado de famosos en Estados Unidos hasta compañías de salud, agroindustria o energía. Entre ellas, se encuentran las brasileñas CPFL Energia, Cosan, Aliansce Sonae y Arteris, además de la empresa portuguesa EDP, que opera en el sector eléctrico en Brasil.

EL PAÍS ha seguido las páginas de la Internet profunda que utilizan seis grupos de hackers internacionales, aunque los estudios realizados por webs especializadas muestran que hay al menos 11 bandas que actúan en este tipo de delito cibernético. Los hackers a los que ha seguido el periódico atacaron al menos a 100 empresas, de las cuales al menos 22 no quisieron pagar el rescate y sus datos se subastaron en tiempo real.

Según los anuncios, por una oferta inicial de 600.000 dólares se podía participar en la subasta de los datos de la estrella del pop Mariah Carey. Esos datos son solo una parte de la información que secuestraron de Grubman Shire Meiselas & Sacks, un bufete de abogados con sede en Nueva York que tiene otros clientes estrella, como Madonna, Lady Gaga y Elton John.

El negocio ha crecido en los últimos meses y Brasil está entre los objetivos. Kaspersky ha demostrado que, solo en abril de este año, Bras fue blanco de más del 60% de los ataques que la empresa identificó que se realizaron en América Latina. El segundo país más afectado fue Colombia, con 11,9 millones de ataques, seguido de México (9,3 millones), Chile (4,3 millones), Perú (3,6 millones) y Argentina (2,6 millones). En Brasil, una de las empresas atacadas fue CPFL Energia. Para demostrar que habían robado sus datos, los hackers del grupo Maze publicaron una pequeña parte de la información —otra práctica común en estos grupos—, como si fuera una especie de muestra gratuita. CPFL Energia no ha querido hacer comentarios al respecto.

La página Corporate Leaks, que pertenece a una banda llamada Nefilim, publica datos secuestrados de las empresas brasileñas Cosan, Aliansce Sonae y Arteris. “La negligencia de Cosan en ciberseguridad nos ha permitido entrar en su red y movernos libremente durante meses”, provocan los secuestradores, que no han revelado cuánto cobran por devolver los datos.

Cosan es uno de los mayores conglomerados empresariales de Brasil e incluye empresas de las áreas de energía, logística, infraestructura y agricultura. Entre los brazos del grupo se encuentran Raizen (una filial conjunta entre Cosan y Shell), que distribuye combustibles, y Comgás, que genera y distribuye gas y electricidad. Desde 2005, el grupo cotiza en la Bolsa de Valores de São Paulo (B3) en la categoría Nuevo Mercado, donde se encuentran las compañías con el más alto nivel de gestión empresarial.

Las reglas de la Comisión de Valores Mobiliarios (CVM) establecen que, “en caso de que se filtre información o si los papeles de emisión de la compañía oscilan atípicamente”, la empresa debe avisar inmediatamente a la bolsa de valores, “aunque la información se refiera a operaciones en negociación (no concluidas), negociaciones en fase inicial, estudios de viabilidad o incluso la mera intención de hacer negocios”. Por medio de una nota, Cosan llegó a anunciar, el 11 de marzo, que tuvo que interrumpir sus operaciones debido a un “ataque criminal de hackers”.

Sin embargo, la compañía no ha vuelto a informar a sus accionistas sobre las consecuencias del ataque, que continuó con la divulgación de los datos de la compañía en la Internet profunda. Siguiendo la estrategia de dar tiempo para negociar, los secuestradores publicaron el 20 de marzo el primer paquete de información de la compañía. Todo indica que se trata de archivos que se utilizaron en la planificación fiscal, los controles de procesos y riesgos fiscales, entre 2014 y 2020.

Como no obtuvieron respuesta, el 1 de abril los hackers dieron otro paso: publicaron la base de datos del departamento jurídico, que contiene información sobre los procesos laborales, civiles e incluso penales a los que la empresa se enfrenta. El anzuelo es apelar a los principios éticos de los visitantes de la página, enfatizando las condenas que se han impuesto a la empresa por trabajo análogo a la esclavitud. “Si no estás de acuerdo con el trabajo esclavo, entra en contacto con estas personas, que son los responsables directos”, publicaron los hackers en la página Corporate Leaks, donde divulgan los correos electrónicos y teléfonos celulares de los principales ejecutivos de la compañía. Hasta el 25 de junio, el grupo había publicado seis paquetes de datos de la empresa.

Carlos Sampaio, gerente de TI del Centro de Transformación e Innovación Digital (CESAR), advierte que el aumento del número de ataques durante la pandemia no es una coincidencia. “Mandamos a los trabajadores a casa de manera desordenada, que es diferente de establecer un sistema de teletrabajo, y esto ha puesto a las empresas a merced de todo tipo de escenarios”, afirma.

Esto se debe a que las empresas no estaban preparadas para ofrecer, en casa de los empleados, la misma estructura de seguridad que tienen en sus oficinas. Redes sin certificado, enrutadores abiertos, un mayor volumen de conexiones en el vecindario, todo esto puede convertirse en la puerta de entrada de personas con malas intenciones. Incluso las empresas que han ofrecido a sus empleados una VPN (red de comunicación privada) no son completamente seguras. “La VPN es un túnel que va directo al corazón de la red de una empresa”, advierte.

Los ataques ransomware son viejos conocidos de las empresas. “En el 99,9% de los casos, el atacante no quiere quedarse los datos, solo encriptarlos, lo que significa mezclar la información con una clave que solo él tiene y extorsionar a la compañía para que compre esa clave”, explica Sampaio. “La puerta de entrada del ransomware es el punto más débil de la tecnología: el ser humano. No solo enviamos a los empleados a casa durante la pandemia, sino que también enviamos a los CEO, directores, responsables que a veces llevan la base de datos completa en sus portátiles con el argumento de que facilitará su trabajo”.

Thiago Giantomassi, socio de fusiones y adquisiciones y mercados de capitales de Demarest, explica que las empresas que cotizan en bolsa son los objetivos principales, precisamente porque están obligadas a cumplir las reglas de divulgación de hechos considerados relevantes. “La información tiene valor, fíjate en las compañías de Internet que trabajan con información en su negocio, como Facebook e Instagram”, dice.

Sin embargo, a pesar de las reglas, todavía es poco común encontrar hechos relevantes de compañías de capital abierto que tratan sobre invasiones cibernéticas. Giantomassi explica que las compañías generalmente evalúan si el ataque tiene un impacto relevante en los negocios antes de informar al mercado. “A menudo, la compañía no es consciente de las consecuencias de lo sucedido, e incluso si lo es, puede tratarse de información confidencial y estratégica que no quiere ver en los medios para proteger sus intereses y los de sus accionistas”.

Este puede ser el caso de Aliansce Sonae, la mayor administradora de centros comerciales de Brasil. Como sufrió una invasión y no aceptó negociar, los hackers ya han publicado tres paquetes de datos que pueden bajarse en la Internet profunda. La información abarca desde presentaciones a inversores hasta informes de auditoría, hojas de facturación y de cobro. La compañía no comunicó a la CVM que había sido hackeada. Por medio de un comunicado de prensa, Aliansce ha confirmado que sufrió el ataque de un virus durante la madrugada del 3 de mayo, pero que la acción “no causó ningún impacto material en las operaciones de la compañía”.

Otro gigante que sufrió un ataque fue Arteris, del grupo español Abertis y de la gestora de fondos canadiense Brookfield, que opera en el segmento de concesión de carreteras. “La compañía sufrió un intento de ciberataque el 13 de abril, pero pudo tomar todas las medidas de protección necesarias para seguir funcionando y garantizar la seguridad de los datos de sus empleados y de los vehículos que circulan por sus carreteras”, dijo en un comunicado. Aun así, ya hay cuatro paquetes de datos publicados en la Internet profunda. Una parte son documentos legales sobre litigios, muchos relacionados con el Instituto Chico Mendes para la Conservación de la Biodiversidad (ICMBIO). Aunque no lo ha notificado a la CVM, la compañía dice que lo ha denunciado a la policía y está colaborando en las investigaciones.

“Muro de la vergüenza”

A pesar de estar en un momento de mayor vulnerabilidad, la Policía Federal ha informado que no existe una estadística específica sobre estos delitos cibernéticos. A través de una nota de prensa, la Policía Federal ha explicado que, aunque se les informa de los ataques, llamados ransomware —un software malicioso instalado en la red atacada que hace imposible que sus usuarios tengan acceso a la información—, “para que podamos actuar debería producirse algún daño a un bien o servicio de la Federación [la competencia para investigar estos casos la tiene la Policía Civil]”.

Mientras tanto, las empresas son expuestas de forma muy evidente. El blog de Ragnar Leaks llama “muro de la vergüenza” el lugar donde publica los datos de las compañías “que desean mantener en secreto la información filtrada, exponiendo a sus clientes, socios y a sí mismos a riesgos aún mayores que una recompensa por la caza al tesoro”. En el muro está EDP - Energias de Portugal, una compañía de energía eléctrica que tiene una sucursal en Brasil y opera en España, Francia y Bélgica. “¡Un gigante de este tipo no puede permitirse el lujo de tener una red tan débil y vulnerable, en nuestra opinión!”, escriben los hackers. Por medio de una nota de prensa, la compañía ha confirmado el ataque, ha enfatizado que no se ha filtrado información relacionada con sus clientes y ha declarado que “no ha recibido ni pagado ningún pedido de rescate”.

Más información

Lo más visto en...

Top 50