Un ciberataque contra IFX Networks, una proveedora de telecomunicaciones que ofrece servicios en la nube en gran parte de América Latina, afectó el funcionamiento de ministerios en Colombia y empresas de Chile el martes de la semana pasada. El hackeo alcanzó, también, a un grupo de pymes y empresas grandes de Argentina que contrataban los servicios de IFX para atender a sus clientes.
El ataque fue, según comunicó la propia empresa, un ransomware, un tipo de virus que encripta información para extorsionar y pedir un rescate en criptomonedas a cambio para devolver los datos. Si la víctima se niega a pagar, los ciberdelincuentes publican además la información robada en la dark web a través de una segunda extorsión, para afectar la reputación de la empresa.
El problema principal es la gran cantidad de servicios, tanto estatales como privados, que están alojados en de IFX, que se dedica también a lo que se conoce como MSP: Proveedor de Servicios Gestionados, esto es, gestión remota de infraestructura bajo un modelo de suscripción. Su sitio, incluso, se encuentra caído y sólo se puede acceder a una página donde actualizan comunicados sobre el estado del incidente.
En Colombia se habla de cerca de 65 entidades con sus sistemas caídos, desde superintendencias y ministerios hasta el Consejo Superior de la Judicatura, el órgano que administra la Justicia en el país.
En Chile, sitios como Mercado Público y Chile Compra (páginas de ecommerce como Mercado Libre), siguen caídos hasta el momento de publicación de esta nota.
Y en Argentina, según pudo corroborar Clarín, diversas pymes que desarrollan software para terceros, y empresas más grandes, están teniendo problemas para operar por este ransomware que entró a los sistemas de IFX.
IFX Networks: la situación en Argentina
“El pasado 12 de septiembre, en IFX Networks tuvimos una afectación en algunas de nuestras máquinas virtuales a raíz de un ataque de ciberseguridad externo conocido como ransomware”, explicó la compañía en un comunicado oficial.
Clarín se contactó con diversas empresas argentinas de distinta envergadura que contaron cómo los está afectando. “El martes de la semana pasada, a las 5 de la mañana, se cayó toda la red IFX. Mis clientes empezaron a llamarme porque no podían operar en la nube”, contó el presidente de una compañía local que fabrica software para facturación, cuya identidad pidió ser reservada.
La pyme presta servicios a más de mil abonados y una pequeña parte de ellos usa los servicios de IFX. “Apenas me llega el primer mensaje me puse en contacto con el canal oficial de IFX que se llama CARE. Empezamos a hablar por WhatsApp pero dejaron de contestarme. En Argentina hay representación, pero es más bien comercial, no aportan información ni resuelven el problema”, agregó.
Clarín se contactó con la representación local de IFX, pero no recibió una respuesta localizada, sino el comunicado que, desde el 18 de este mes, la empresa comparte en su web. En realidad, a lo único que se puede acceder es a la página del comunicado, ya que todos los sitios oficiales de IFX arrojan error 404.
“Lo que es complicado es que da la sensación de que perdieron información: cuando pedís una actualización, te mandan un comunicado genérico que viene desde Colombia, donde dicen que están contactando con los clientes para recuperar los backups. Mi sensación es que pueden haberla perdido y no la pueden recuperar”, arriesga el director de la compañía.
Otra empresa de desarrollo de software, que contrata los servicios de IFX desde hace 10 años, confirmó que los problemas empezaron en la madrugada del martes de la semana pasada.
“Tenemos una parte de las operaciones en la nube con diferentes proveedores. Hace tiempo que nos veníamos yendo de IFX, porque veníamos teniendo muchos problemas con ellos -no de este estilo- y empezamos a mudar a otros servicios de cloud computing”, cuenta el director de desarrollo de una compañía que brinda ERP (Enterprise Resource Planning, gestión de recursos para empresas).
“Lo más complicado es que no explican qué pasó e, internamente, sabemos que el CEO bajó la orden de no entregar los backups a los que se los pedimos. Cuando los solicitamos, no nos los dan, y esto es un problema porque necesitamos levantar los sistemas para seguir operando”, agrega. “Por lo menos que me dejen llevarme los datos y las configuraciones en un pen drive”, se queja.
“Por esta situación tengo clientes que no pueden facturar, andá a explicarle a la AFIP que se cayó IFX”, dice. “Estamos a jueves, pasó más de una semana y no podemos estar en línea con estos clientes”, remata.
Esta empresa trabaja, además, con dos grandes compañías: “No puedo decir cuáles son, pero también hay grandes jugadores afectados por este problema”, aseguró.
Clarín supo de dos compañías más afectadas en Argentina que están judicializando el reclamo.
“Supply Chain Attack”: qué es y qué son las “máquinas virtuales”
IFX cayó en lo que se conoce como “ataque a la cadena de suministro”, esto es, un efecto dominó que afecta no sólo a la empresa sino a quienes la contratan. Y ahí es donde lo están sufriendo algunas compañías argentinas, en la virtualización de sus sistemas en la nube.
“La virtualización es la creación de una versión virtual de algo, como una computadora o un servidor, almacenamiento o red, utilizando software especializado conocido como hypervisor (VMWare, Hyper-V, OpenVZ, etc.)”, explicó a Clarín Santiago Pérez Montaño, analista de seguridad de la empresa de ciberseguridad Birmingham Cyber Arms.
Para entender qué pasó con IFX es necesario ir un poco más hacia lo técnico: ¿por qué virtualizaría un servicio una empresa?
“Virtualizar un servicio facilita la administración, escalabilidad y disponibilidad del servicio, además de permitir la consolidación de múltiples servicios en un mismo hardware. Imaginemos que tenemos toda la estructura de una aplicación (software, sus bases de datos y otros servicios) en un servidor físico y este falla: el resultado puede ser fatal”, hipotetiza.
Es por esto que “virtualizar estos servicios por separado segmenta el problema y mejora nuestra capacidad de respuesta y diagnóstico: tareas que en entornos físicos pueden ser más demandantes como los backups y la recuperación se vuelven triviales en entornos virtualizados y mucho más amigables para administradores de sistemas nuevos”, cierra.
Por supuesto, cuando fallan o son víctimas de un ciberataque, las consecuencias también tienen un alcance mayor que en un equipo local.
“En el contexto de una estructura como la de IFX Networks, un ataque destructivo como es el ransomware logra paralizar operaciones, causar pérdida de datos y tener consecuencias financieras y reputacionales significativas no sólo para la organización comprometida, sino para todas las que dependen de o directamente utilizan sus servicios”, explica Pérez. Esa es la parte más grave de un ataque a la cadena de suministro: la cantidad de víctimas que se ven afectadas por el problema.
IFX Networks: el alcance y cuándo podría resolverse el problema
IFX aseguró este miércoles que “todos los sistemas recuperados están siendo sometidos a un proceso de validación y garantía antes de volver a ponerlos en línea”. Sin embargo, en Argentina, Chile y Colombia hay una enorme cantidad de servicios sin funcionar.
El titular del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, Mauricio Lizcano, aseguró en Twitter que son 762 las organizaciones afectadas por este ataque en América Latina.
Como IFX no da un dato oficial, es imposible saber con exactitud si esta cifra que arroja el funcionario es certera.
“El problema de este tipo de ciberataques es que puede desbaratar toda una red y, en cuanto al comité de recuperación, se establecen prioridades: por la escala Colombia es la preocupación número 1 de IFX. Argentina estaría en el último escalón”, piensa uno de los empresarios consultados.
Además, la escasa información cuando se piden explicaciones, junto a lo genérico de los comunicados, no contribuye a aclarar el panorama. “IFX Networks no ha permitido entender qué pasó; mi hipótesis es que algo ocultan”, dijo el ministro Lizcano en declaraciones al diario El País.
En cuanto al actor de amenazas, se cree que quien está detrás es Ransom House, a partir de información que circuló en grupos privados de directivos de distintas empresas de América Latina. Sin embargo, el cartel no confirmó el ataque en su sitio hasta el momento de publicación de este artículo.
Sólo circuló una imagen de MarioLocker, nombre que la empresa de ciberseguridad Trend Micro le dio a un ransomware que es usado por Ransom House.
Que los ciberdelincuentes no hayan subido la información a su sitio puede llegar a significar que las negociaciones, todavía, están abiertas para el pago del rescate.
El paso del tiempo dirá si los sistemas afectados de IFX, además de haberse visto interrumpidos, tienen datos de los clientes filtrados por los ciberdelincuentes en la dark web, en lo que sería el paso a la acción de la segunda fase de la extorsión que plantea el modelo del ransomware.
Mientras tanto, los clientes de IFX siguen sin poder proveer servicios a quienes los contrataron y se preguntan quién pagará esa indemnización por los problemas ocasionados.