El pasado 28 de junio la Universidad del Bosque reportó que sufrió un ciberataque contra plataformas virtuales, el cual produjo que un grupo de hackers accediera a datos personales de la comunidad estudiantil y directiva.
Según reveló la institución académica, los atacantes lograron tomar el control del correo institucional y posteriormente enviaron un email a los estudiantes, egresados, docentes y demás funcionarios en el que anunciaron que las bases de datos que incluían datos con calificaciones e información financiera de la universidad habían sido eliminadas.
En diálogo con La FM, David López, vicepresidente de ventas para Latinoamérica de Appgate, explicó algunos detalles sobre cómo se pudo generar este ciberataque y las afectaciones que causó a sus víctimas.
¿Qué tipo de ciberataque se produjo?
López precisó que se trató de un ataque a los sistemas informáticos tanto académicas como financieros. En dicho ataque fueron vulnerados correos electrónicos, Google Drive, redes sociales y plataformas de la institución como ‘Campus Virtual’ y ‘Sistema Salas’, fue un ataque simultaneo que involucra infraestructura interna y externa de la universidad.
«Se trata de un ataque muy bien orquestado que permitió al atacante moverse lateralmente a través de toda la red y sus componentes críticos».
El experto precisó que hasta ahora se desconoce con certeza el origen del ataque, pero se debe resaltar que las redes sociales son atractivas para los ciberdelincuentes porque es la manera más rápida para acceder a la información de los usuarios, por eso este tipo de aplicaciones no deben tomarse a la ligera.
«Este tipo de aplicaciones son muy usadas por los cibercriminales para recopilar información para ataques de ingeniería social, hacer seguimiento a personas, entre otros. Y es así como fácilmente a través de un ataque dirigido “spear phishing” se pueden obtener credenciales de acceso para comprometer rápidamente la organización», agregó.
David López sostiene que es importante que las instituciones tengan en cuenta que los ciberataques hoy en día no solo se están dando a grandes empresas, cualquier entidad sin importar su actividad económica puede ser blanco de un ataque cibernético. La ausencia de protocolos de contención y minimización de daños es uno de las grandes preocupaciones en las empresas, incluido el gremio educativo.
¿Cómo se produjo el ataque?
López precisó que por las características y herramientas vulneradas, lo más probable puede ser un ataque dirigido “Spear Phishing” que pudo comprometer las credenciales de la victima o incluso sembrar un troyano, de esta manera se genera la persistencia del ataque y afectación de diferentes sistemas (Movimiento lateral sin control).
Igualmente puede tratarse de la combinación de varias amenazas, como por ejemplo:
Ransomware las organizaciones a causa de las cuarentenas han tenido que acceder a sus recursos en la nube, lo que expone de manera crítica a las entidades que no tengan suficientes medidas de ciberseguridad.
El phishing es el método más popular para realizar ciberataques, ya que es efectivo y permite a los estafadores alcanzar una amplia red. Sus ofensivas se volverán más sofisticadas y se dirigirán especialmente a los usuarios a través de estafas relacionadas con el coronavirus.
Recursos expuestos en la red que pudieron ser accedidos y comprometidos una vez que el atacante tuvo acceso a la red
¿Cómo afectó a la universidad?
Inicialmente podemos hablar de una crisis reputacional y operacional a todo nivel, la universidad aún está en una etapa de revisión para así entender la real la magnitud del impacto y sus afectaciones.
¿Corren otros riesgos los afectados?
David López recalcó que es importante señalar que el robo de credenciales también puede derivar en la creación de algún carnet falso, pasaporte, comprobante de identidad etc. «Si creemos que las credenciales han sido comprometidas, es necesario avisar a las autoridades para deslindar responsabilidades».
Cuando un atacante obtiene las credenciales de las víctimas, las primeras alertas se mandan aproximadamente 3 minutos después de que se accede ilegalmente a una cuenta. Por lo tanto, los primeros minutos son de vital importancia para poder realizar acciones de mitigación y de contención.
La indisponibilidad de servicios e información que aparece en diferentes publicaciones, deja entrever que el alcance del ataque va mas allá de lo que se podría suponer, considerando que un ataque se puede “sembrar” y dejar en pausa algún tipo de artefacto que permite el control de recursos dentro de la red.
¿Qué pueden hacer los afectados?
López también recomendó cinco pasos que pueden ser de utilidad para las personas en su protección de ciberseguridad:
En el caso de que haya habido una afectación financiera, reportar a las entidades bancarias aliadas. Si el ataque compromete información financiera (usuarios, claves, número de tarjeta, etc) o en el caso de ser red social, realizar el proceso establecido por cada plataforma para su recuperación.
Recordar no modificar, borrar o destruir la información de dicho dispositivo. Aislar los recursos permitiendo mantener conexiones controladas y autorizadas, evitando que usuarios o recursos no permitidos accedan a los activos críticos o que puedan generar compromiso.
En caso de tener comunicación con ciberdelincuentes, tomar capturas de pantalla a conversaciones, horario y fechas.
Informar a sus contactos que no tiene acceso a alguna de sus redes, y así evitar que el atacante pueda realizar solicitudes en su nombre.
En el caso de menores de edad el llamado es a informar a sus padres o acudientes adultos.
Si en algún momento una persona considera que ha sido víctima de un ciberataque, en el caso de Colombia se debe de comunicar al Centro Cibernético Policial https://caivirtual.policia.gov.co/, en donde ofrecen una asesoría rápida por parte de funcionarios expertos. Finalmente, si pertenece a una organización siga los protocolos internos establecidos por la empresa para sus colaboradores.
¿Cómo protegerse de este tipo de ataques?
En Appgate insistimos que es importante entender que los ataques no todos van dirigidos solamente a la obtención de dinero, algunos tienen como propósito la información personal, por lo que se debe blindar en cada uno de estos aspectos, la forma como la persona actúa con sus equipos y las conexiones que tiene. Para las empresas y las personas en general, además de elegir con un proveedor de seguridad informática líder en el mercado, con herramientas sólidas y aplicables a cualquier negocio, recomendamos tener en cuenta los siguientes pasos:
- No cambiar los parámetros por defecto de seguridad de sus dispositivos de cómputo, tabletas, smartphones y computadores.
- Filtrar la información personal que desea compartir, evitar compartir direcciones, fotos, información sensible y privada.
- Identificar el tipo de interlocutor.
- No compartir movimientos y extractos de productos financieros, igualmente, revisar periódicamente estos movimientos en busca de algún anómalo.
- A los computadores, instalarle un antivirus. Aplicar parches de Windows, Android, iOS y Mac.
- Evitar publicar cosas personales en sus redes sociales.
- Estar atentos con los supuestos mensajes que pueden enviar por SMS o por correo electrónico.
- Haga uso de las opciones de seguridad y/o privacidad que ofrecen diferentes servicios o aplicaciones, entre ellas están:
- La autenticación de dos pasos (Uso de un segundo factor de autenticación para acceder desde ubicaciones o dispositivos no registrados).
- Habilitar los servicios de notificaciones de actividades asociadas a los servicios o aplicaciones digitales a las que tiene acceso.
Finalmente David López recalcó que las empresas deberían adoptar el sistema Zero Trust, como una solución sólida de protección que existen en la industria de la ciberseguridad, ya que protege contra el error humano, específicamente al usuario que no sabe cuidarse a sí mismo, que deja expuestos recursos propios y, por ende, expone los recursos de la organización.