Un grupo de hackers de origen ruso secuestra información confidencial de la Lotería Nacional

La Lotería Nacional se ha convertido en la última víctima de Avaddon, un grupo de hackers de origen ruso con un historial de más de 170 empresas infectadas. El ciberataque a la institución mexicana tuvo lugar hace dos semanas, pero esta no lo ha admitido hasta el lunes. “Se detectó una sustracción de información en el área administrativa de Lotería Nacional, antes Pronósticos Deportivos, por parte de delincuentes que operan a nivel internacional”, apunta e...

La Lotería Nacional se ha convertido en la última víctima de Avaddon, un grupo de hackers de origen ruso con un historial de más de 170 empresas infectadas. El ciberataque a la institución mexicana tuvo lugar hace dos semanas, pero esta no lo ha admitido hasta el lunes. “Se detectó una sustracción de información en el área administrativa de Lotería Nacional, antes Pronósticos Deportivos, por parte de delincuentes que operan a nivel internacional”, apunta el comunicado. Entre los datos robados se encuentran documentos financieros, legales y de recursos humanos, así como contratos firmados desde 2009 hasta ahora. Los hackers también tienen en su poder información sobre un caso de acoso sexual dentro de la compañía.

Este tipo de ataque, conocido como ransomware, se trata de un secuestro de información, equipos y servidores; a cambio de recuperar el control, los delincuentes piden un rescate. En este caso, los hackers están chantajeando a Lotería Nacional con hacer públicos los documentos comprometidos si no pagan en los próximos cinco días. Hasta el momento no se ha revelado la cuantía económica exigida, pero según un documento del Centro de Ciberseguridad Australiano por este tipo de ciberataques se suele pedir alrededor de 0,73 bitcoins, que se traduce en 40.000 dólares, unos 800.000 pesos mexicanos.

Hiram Camarillo, director de Seguridad de la Información en Seekurity, fue quien dio la voz de alarma la semana pasada. Los hackers habían difundido el ciberataque en su blog, ubicado en la deep web (la llamada internet profunda, a donde no llegan los buscadores regulares). Adjuntaron como pruebas correos internos y capturas de pantallas de contratos, reuniones y pagos. Durante días, la institución mexicana no hizo comentarios. Y los delincuentes insistieron: “Aparentemente la empresa no entiende la seriedad de esta situación y quiere esconder el hecho de que fueron hackeados y robamos datos de sus servidores”.

“Tenemos muchos datos confidenciales como casos de acoso sexual, incidentes desagradables y mucha suciedad asociada a vuestra compañía. Si continuáis mintiendo a todo el mundo y no os ponéis en contacto con nosotros, estamos listos para sorprender a todos los que sigan las noticias”, amenazó Avaddon en su última actualización. Mientras el contador sigue en rojo y bajando: quedan cinco días y unas horas para que filtren la información.

Camarillo asegura a EL PAÍS que Avaddon “es un grupo serio” y que no miente en sus amenazas. Registrado por primera vez en 2019, está entre los cinco grupos de ransomware más grandes y activos. En su listado de víctimas se encuentra las operaciones de AXA Group en Asia, Cuatro Barras en Brasil, Grupo Active y Fornesa SL, en España, el fondo Febancolombia en Colombia o compañías de Canadá y de Arabia Saudí. Se ubica su origen en Rusia puesto que se han identificado herramientas en ruso y también porque no atacan a empresas localizadas en la llamada Commonwealth of Independent States, que incluye a Rusia, Ucrania y Bielorrusia, detalla este experto en ciberseguridad.

“Es un incidente muy grave”, constata Atul Narula, investigador de ciberseguridad del International Institute of Cybersecurity. Las recomendaciones a la empresa después de este ataque incluyen limpiar la red, mejorar la protección de datos y, sobre todo, averiguar cómo entró el virus. “Tienen que saber cómo se metieron. Hoy es Avaddon, mañana puede ser otro grupo”, señala este experto. Por el tipo de datos que fueron filtrados —entre los que se incluyen las actas de varias empresas—, Narula asegura que Lotería Nacional debería avisar a las compañías afectadas porque con los datos comprometidos se puede robar la identidad de una persona o empresa.

La institución mexicana ha asegurado que cuenta con la asesoría y apoyo de la Coordinación de Estrategia Digital Nacional (CEDN) y que el sistema de sorteos y concursos no se ha visto afectado por el ciberataque.

El ataque empieza con un correo electrónico

Los ataques de tipo ransomware suelen llegar a las empresas por correo electrónico. Los trabajadores reciben un email que contiene algún truco —desde a amenazas de fotos comprometidas a imágenes o textos atractivos— que consiguen que algún empleado clique y descargue los archivos. Esta técnica se conoce como phising. A partir de ese momento y en cuestión de unos minutos el virus se expande e infecta ordenador y servidores. A partir de ahí, cifra la información de la red y la bloquea. “A veces aparece en las computadoras una nota de rescate en la que explican quiénes son y las instrucciones que tienes que seguir. Te dejan un ID, para que entres en la página de los grupos”, relata Camarillo, “hay grupos de ransomware que tienen su propio customer service. Ahí empiezas a ver cuánto dinero les vas a pagar y si están abiertos a negociar”.

Ninguno de los expertos recomienda pagar. De hecho, el propio FBI disuade de hacerlo a las empresas hackeadas. Por un lado, el pago del rescate sirve para fortalecer al grupo delictivo, y además, porque la información ya ha sido robada y no hay ninguna garantía de que no la filtren en otro momento.

Este ciberataque es una prueba más de la vulnerabilidad de las empresas y organismos mexicanos. La cultura de la ciberseguridad es nula, apunta Caramillo, que refiere, por ejemplo, más de 16 páginas del Gobierno de México que están abandonadas y atacadas por hackers. “Hay muchas malas configuraciones, el Gobierno no responde, jamás se contacta con nosotros”, explica.

En 2019, el blanco del ciberataque fue Pemex. En un ataque más grave que el de ahora secuestraron el 5% de los equipos, afectaron a la refinería de Veracruz y Tabasco y a servidores centrales. Al año siguiente fue el turno de la Comisión Nacional de Seguro y Finanzas, a quien le robaron más de 10 gigas de información confidencial por la que pedían un millón de dólares. “Está muy mal la situación”, resume el investigador del International Institute of Cybersecurity, “se están atacando a muchas empresas mexicanas”.

Suscríbase aquí a la newsletter de EL PAÍS México y reciba todas las claves informativas de la actualidad de este país