OCASA, empresa de transporte y logística, sufrió un ciberataque que dio de baja el sitio web de la compañía. Clarín confirmó que se trata de un ransomware, un programa malicioso (malware) que ingresa a los sistemas, encripta información y pide un rescate en criptomonedas a cambio.
OCASA es conocida por hacer envíos de tarjetas de crédito, débito, documentación como licencias de conducir por correo, además de otro tipo de encomiendas. Por este motivo, los cibercriminales podrían tener en su poder datos personales de ciudadanos argentinos que hayan recibido envíos a sus domicilios.
Su especialidad es lo que se conoce como la distribución “de última milla” (el último tramo hasta el domicilio del comprador), además de la mercadería que pasa por sus dos grandes centros de distribución. Tienen plantas ubicadas en La Plata, Sarandí y Avellaneda, para manejar el proceso conocido como “cross docking”.
Clarín contactó a la compañía durante el jueves para pedir un comentario y consultar en qué estado se encuentran las operaciones, pero no recibió una respuesta. Luego de publicado este artículo, enviaron un comunicado.
“En las últimas horas nuestro equipo de ciberseguridad verificó un intento de vulneración a nuestros sistemas, generando la interrupción de su normal funcionamiento. Activamos el protocolo de seguridad y estamos realizando un análisis exhaustivo al respecto. En función del análisis inicial, no hemos sufrido filtraciones de datos. Nos encontramos monitoreando la situación y tomando las medidas necesarias para resguardar las operaciones y la seguridad de la información”, explicaron.
El impacto del ataque todavía no está claro, en tanto la comunicación oficial asegura que no se filtraron datos, pero este medio supo que los equipos de IT estuvieron trabajando toda la semana para recuperar la información afectada. Hasta el momento de publicación de esta nota, la web seguía caída.
“Reafirmamos la capacidad de evolucionar, innovar y proporcionar soluciones logísticas de vanguardia a nuestros clientes en todo el mundo, desarrollando servicios orientados a impactar positivamente en la vida de las personas, brindando soluciones, cuándo y dónde lo necesiten”, explican desde la propia empresa, destacando entre sus especialidades el ecommerce, la trazabilidad y el almacenamiento.
Además, el ataque impactó a otras empresas del grupo que maneja OCASA como Direxa, una compañía que ofrece “soluciones a medida y exclusivas en servicios integrales de logística, operaciones de importación, exportación y tránsito de mercadería”.
OCASA tiene otros socios estratégicos como Staples, que provee artículos de librería y Brandlive, encargado de proveer a los minoristas de marcas como Wrangler, Lee y Topper, entre otras.
Ransomware como servicio (Raas): cómo operan los cibercriminales
El ransomware como servicio (RaaS) es una modalidad de ataque que se popularizó durante estos últimos años, generando un alto impacto en el ambiente de la ciberseguridad. Funciona con un modelo de desarrolladores y afiliados: unos escriben el código fuente que cifra los datos, otros se encargan de distribuirlo por un porcentaje a cambio.
El partner o afiliado puede ser un empleado de la empresa atacada, o alguien que compró el servicio para depositarlo en una víctima, porque tiene acceso privilegiado, en lo que se conoce como un IAB: Initial Access Broker, el atacante que pone “un pie” dentro de la empresa o institución a ser atacada.
Una vez que se despliega el ransomware y se logra infectar a la víctima, arranca la extorsión propiamente dicha. El modelo cuenta con una doble y hasta triple extorsión: la primera tiene que ver con hacer inaccesible los datos a la propia entidad. La segunda, si el afectado tiene backups, pasa por amenazar con publicar la información interna para generar un dato reputacional. Y en algunos casos hay un tercer paso en el que se contacta a terceras partes que trabajan con la víctima para presionar sobre la cadena de suministro.
Si el ataque es exitoso y la víctima paga un rescate, el botín es repartido entre el grupo cibercriminal y el afiliado. La tajada suele rondar el 20% del beneficio económico para los socios del cibercrimen.
En Argentina, algunos casos resonaron fuerte tanto en el ámbito público como en el privado. En el ámbito privado, Ingenio Ledesma, Grupo Albanesi, La Segunda y OSDE, entre otras compañías, sufrieron ataques que, en algunos casos, expusieron no sólo información interna sino también de clientes.
En lo público, el PAMI sufrió un ciberataque el año pasado que desembocó en una inmensa cantidad de datos de afiliados filtrados, lo que supone un peligro para una población vulnerable que queda todavía más expuesta a ataques de ingeniería social (“el cuento del tío”). También lo sufrió la Universidad de Buenos Aires y la Comisión Nacional de Valores durante 2023.