Doménica ­-nombre ficticio- pertenece al área comercial de la Corporación Nacional de Telecomunicaciones (CNT). Trabajó con normalidad hasta la noche del miércoles 14 de julio. Terminó su jornada y apagó la laptop que la CNT le había entregado para que pudiera laborar desde su casa. Al día siguiente empezaron los problemas. Encendió el computador y ya no podía ingresar a su correo electrónico institucional ni al sistema informático de la empresa.

Les contó el problema a sus compañeros a través de un mensaje por la aplicación WhatsApp y se dio cuenta de que la situación era generalizada. Nadie sabía qué sucedía. Al mediodía de ese jueves 15 de julio recibió la orden de apagar la laptop y no prenderla hasta nuevo aviso. No hubo mayor explicación.

Desde entonces utiliza su computador personal para continuar con sus actividades. A falta de correo electrónico se comunica con sus compañeros y jefes a través de WhatsApp. “Cada cual está gestionando las cosas como puede”, comentó.

Falta de sistema en CNT no permite a usuarios hacer reclamos y complica pagos

El problema comenzó el miércoles 14 de julio a las 18:30. Nadie sabe cómo exactamente los cibercriminales entraron al sistema de la CNT y comenzaron a encriptar los archivos paralizando paulatinamente las actividades de la Corporación. Algunos dicen que fue a través de un correo electrónico, pero no hay certeza.

Publicidad

Fuentes de la empresa, que pidieron guardar el anonimato, señalaron que lo único que se sabe es que comenzó en Cuenca y que luego siguió Guayaquil. En algunas computadoras apareció el archivo “¡_GOB_EC_READ ME!”, que era una nota en la que se pedía el rescate de la información robada. Es decir, el pago de dinero para entregar la clave que pudiera desencriptar los archivos.

Otro empleado de la CNT contó que el jueves 15, algunos trabajadores recibieron mensajes de emergencia por WhatsApp: “Por favor, ninguna máquina debe encenderse ni siquiera con internet de sus casas. Enviaron un virus el día de ayer y al parecer está ya en muchos de sus computadores”.

Como siempre sucede, el ataque se dio en un momento de debilidad. La Corporación tiene un gerente general encargado, el arquitecto Byron Zapata. Y un gerente de Producción de Tecnologías de la Información encargado, Pedro Barzallo. Más de media docena de los gerentes anteriores están fuera y con ellos se perdió cierta capacidad de reacción ante la emergencia.

El gerente de la CNT afirmó que ‘ninguna entidad pública y/o privada’ fue afectada por el ataque informático

El jueves 15 se apagaron todos los sistemas, para blindar la información. Cuando existen estos ataques hay que actuar como un submarino, se cierran ciertas esclusas hasta verificar dónde está el daño y aislarlo. Posiblemente se calculó que había pasado demasiado tiempo y que era mejor cerrar todo, explicó un experto. Al día siguiente, la compañía puso una denuncia en la Fiscalía por “ataque a los sistemas informáticos”.

La CNT no es una empresa cualquiera. La Corporación tiene una tajada mayoritaria del mercado de la telefonía fija, compite en el mercado de la telefonía móvil, da servicio de internet e incursionó en el mundo del entretenimiento con televisión de pago y PlayTV. También provee servicios de data center, nube y hosting, y vende transmisión de datos a los proveedores pequeños de provincia porque tiene una gran red de fibra óptica.

El año pasado facturó $ 755,4 millones. Junto con Petroecuador son las joyas de la corona de las empresas públicas ecuatorianas.

Publicidad

El ataque causó daño, pero fuentes de la CNT aseguraron que los delincuentes no llegaron a los data centers. La empresa cuenta con dos centros de datos, uno en Sangolquí (al oeste de Quito) y otro en Guayaquil, donde se almacena la información de decenas de entidades públicas. Son como bóvedas de banco y cada cliente entra con su llave virtual. La mayoría del sector público -ministerios, secretarías, municipios, institutos- tiene guardados ahí sus datos por mayor seguridad. Las excepciones son las grandes instituciones como el Ministerio de Finanzas, Banco Central, Servicio de Rentas Internas, Petroecuador o Superintendencia de Bancos.

El principal daño es al sistema interno de la CNT. Los programas para facturación, cobro de planillas y pago de nóminas, lo que influye también en el servicio de prepago móvil o recargas. Durante varios días no se han podido facturar algunos servicios.

Doménica contó que la recaudación de las planillas a través de bancos se está realizando con normalidad. “A pesar de no poder prender nuestras computadoras, nos mantenemos monitoreando las respuestas que los bancos nos envían para seguir presentando un buen servicio”, indicó.

CNT se ha declarado en emergencia y la noche del miércoles 28 de julio se anunció que se pedirá ayuda internacional. (I)

Grupo de Europa Oriental RamsonEXX está detrás del ataque

El jefe de seguridad informática de Kaspersky para Latinoamérica, Dmitry Bestuzhev, señaló en una entrevista con este Diario que el grupo RamsonEXX, que está detrás del ataque contra la CNT, es de Europa Oriental y ruso hablante. Lo definió como criminales sofisticados que encriptan información de la víctima y piden un rescate para que esta pueda recuperarla. El grupo ha anunciado que tiene 190 GB de información de la Corporación. Kaspersky, también de origen ruso, vende servicios de protección informática en todo el mundo.

Una computadora desprotegida, de cien mil funcionando en un sistema, es suficiente para que los cibercriminales entren y encripten todos los archivos de una red. La encriptación no es mala en sí, no infecta nada, pero le roban información y no la puede recuperar hasta que no se pague el rescate y le entreguen la clave para recuperar sus datos.

Dmitry Bestuzhev, jefe de seguridad informática de Kaspersky para Latinoamérica.

¿Qué es el grupo RamsonEXX?

Es un actor que ataca instituciones de alto nivel en todo el mundo. La primera víctima en Latinoamérica ha sido Brasil, donde en noviembre pasado embistieron contra el sistema de datos de la justicia, que usaba el programa Linux. Anteriormente han atacado Estados Unidos, Francia, Indonesia. Han vulnerado sistemas de aviación civil, instituciones de educación, instituciones financieras, gas y petróleo, transporte y ahora telecomunicaciones. Son experimentados y saben lo que hacen.

¿Son rusos?

Creemos que existe una conexión con el mundo ruso hablante. Todas las víctimas son fuera de países donde se habla ruso, lo que indica que no quieren que se los investigue en los países de Europa Oriental.

¿Qué características tienen?

Son superexpertos. En Brasil ni siquiera se sabe con exactitud cómo entraron al sistema. No trabajan con otros criminales locales, es decir, no comparten la recompensa. Al parecer CNT fue atacado por alguien fuera de Ecuador sin ayuda local. Han utilizado programas de fuentes abiertas como Notepad++ y Sakura, y últimamente Cobalt Strike, que fue desarrollado por investigadores para detectar fallas en sistemas.

Los cibercriminales han publicado alguna de la información de CNT en el servidor TOR, como prueba de que les encriptaron sus archivos.

¿Sabe exactamente qué están pidiendo?

Dinero, siempre es dinero. Hasta lo que sé, CNT ha decidido no negociar y creo que es lo correcto, por eso los delincuentes han comenzado a filtrar información en el servidor TOR, en el que se navega anónimamente. Parece que lo van a seguir haciendo hasta que todo lo que tienen quede expuesto en el Internet. Esa información es pública ahora.

¿Este ataque tiene relación con los anuncios sobre filtración de datos en TOR del Servicio de Rentas Internas, Petroecuador y un banco privado?

No, no tiene relación. Son otras personas. (I)