Foto: Estefanía Leal/Archivo El País.
Redacción El País
El grupo de hackers Crypto24 continúa publicando en la dark web parte de la información sustraída al Banco Hipotecario del Uruguay (BHU) durante un ataque de ransomware. Los delincuentes aseguran tener más de 700 gygabites y si bien ya venció el plazo que establecieron para negociar, la información viene siendo publicada de a poco.
Hasta este martes se llevaban filtrados dos gigas del total que los hackers dijeron haber sustraído. Esta mañana volvieron a subir información, en este caso 250 megas. Según pudo saber El País, entre los documentos publicados en esta oportunidad se encuentran usuarios y contraseñas de empleados del banco, contratos con proveedores, informes legales y crediticios.
Si bien «no hubo afectación financiera», según explicó el BHU en su página web, y no correría riesgo el dinero de los clientes, sí se extrajeron datos personales que podrían ser utilizados para estafas o fraudes.
Además, los delincuentes obtuvieron información vinculada a la configuración de los sistemas del banco, como redes internas. Según explicó a El País el experto en ciberseguridad de Security Advisor, David Pérez, el banco quedó expuesto a nuevos ataques, por lo que debería realizar una «importante reingeniería» para cambiar sus sistemas.
«Hay información de ciudadanos uruguayos y empresas. Esto podría generar un conflicto entre privados», explicó Pérez. Esto se debe a que fueron sustraído informes, algunos incluso de calidad reservada durante años, con información que «podría derivar en chantajes y reclamos para algunas personas».
La información, que se encuentra publicada en la página web de Crypto24, únicamente está visible en la dark web. Si bien el hackeo ocurrió el 30 de setiembre, los delincuentes dieron un plazo de 10 días al BHU para pagar un rescate, lo que no sucedió.
Foto: Captura de pantalla.
«Esta situación puede desencadenar una batería de conflictos legales, tanto entre privados como clientes demandando al banco», explicó Pérez y aseguró que esto último se debe a que «el BHU tendría que haber tomado medidas para proteger la información».
Hasta el momento no se conoce cuál fue la puerta de entrada para los hackers. La principal hipótesis, debido a que es el método más usual, es que hayan ingresado mediante phishing a los datos de uno de sus empleados; también pueden haber explotando alguna vulnerabilidad en los sistemas.
En el primer caso, los delincuentes podrían haber pasado meses sin ser detectados, robando al empleado accesos y claves, expandiéndose dentro de los sistemas del banco.
El hackeo evidencia malas prácticas por parte del BHU, además de falta de seguridad, según explicó Pérez. Un ejemplo de lo primero es que fueron sustraídas contraseñas que los propios empleados tenían guardadas en los escritorios de sus computadoras en archivos de texto (por ejemplo Word).
Por otra parte, el banco no contaba con un sistema DLP (prevención de pérdida de datos, por su sigla en inglés). Esto es útil para detectar cuando hay grandes cantidades de datos salientes, para así poder actuar a tiempo.
El ataque informático al BHU llevó a la institución a dar de baja la red institucional y otras vías de comunicación, tanto internas como externas. Esta situación generó problemas e imposibilidad de pagos.
“Pedimos disculpas por los inconvenientes causados por esta situación. Nuestro equipo técnico se encuentra trabajando para alcanzar un pronto restablecimiento de todos los servicios”, expresaron unos días más tarde. El organismo estuvo con su página caída varios días.
El ataque recibido por el BHU se suma a una serie que han sufrido algunas instituciones públicas (Fiscalía General de la Nación, Presidencia de la República, el Ministerio de Desarrollo Social, la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (Dinacia) y la Dirección Nacional de Migraciones) a fines de marzo de este año. No en todos los casos, como ocurrió con Fiscalía, los ciberdelincuentes pudieron vulnerar la seguridad informática pese al intento.
Aunque existen varios tipos de ciberataques, muchas veces estos implican solo un cambio en los datos de la página principal o home. En estos casos hay un impacto reputacional de la institución afectada, pero la situación es más crítica cuando se accede a datos. Los incidentes de seguridad informática han tenido un crecimiento exponencial en los últimos años.
