Avaddon: grupo de hackers de origen ruso secuestra información confidencial de la Lotería Nacional

La Lotería Nacional se ha convertido en la última víctima de Avaddon, un grupo de piratas informáticos nacido en Rusia con un historial de más de 170 empresas infectadas. El ciberataque a la institución mexicana ocurrió hace dos semanas, pero no lo admitió hasta el lunes. «El robo de información fue detectado en el área administrativa de la Lotería Nacional, antes Pronósticos Deportivos, por parte de delincuentes que operan a nivel internacional», se lee en el comunicado. Los datos robados incluyen documentos financieros, legales y de recursos humanos, así como contratos firmados desde 2009 hasta hoy. Los piratas informáticos también tienen información sobre un caso de acoso sexual dentro de la empresa.

Este tipo de ataque, conocido como Secuestro de datos, es una incautación de información, equipos y servidores; A cambio de recuperar el control, los delincuentes exigen un rescate. En este caso, los piratas informáticos están chantajeando a la Lotería Nacional al hacer públicos los documentos comprometidos si no pagan en los próximos cinco días. Hasta el momento no se ha revelado el monto económico solicitado, pero de acuerdo a un documento del Centro Australiano de Ciberseguridad para este tipo de ciberataque, generalmente se piden alrededor de 0.73 bitcoins, lo que se traduce en $ 40,000, alrededor de 800,000 pesos mexicanos.

Hiram Camarillo, Director de Seguridad de la Información en Seekurity, fue el quien dio la alarma la semana pasada sobre lo que pasó con la Lotería Nacional. Los piratas informáticos difundieron el ciberataque en su blog, ubicado en la dirección Red profunda (el llamado internet profundo, donde los motores de búsqueda normales no llegan). Han adjuntado correos electrónicos internos y capturas de pantalla de contratos, reuniones y pagos como prueba. Desde hace días la institución mexicana no se ha pronunciado. Y los delincuentes insistieron: «Al parecer la empresa no comprende la gravedad de esta situación y quiere ocultar que han sido pirateados y les hemos robado datos de sus servidores».

«Tenemos una gran cantidad de datos confidenciales como casos de acoso sexual, incidentes desagradables y muchas cosas sucias asociadas con tu empresa. Si sigues mintiendo a todos y no nos contactas, estamos listos para sorprender a todos los que sigan la noticia. «, Amenazó Avaddon en su última actualización. Mientras el contador sigue en rojo y baja: quedan cinco días y unas horas para filtrar la información.

Camarillo asegura a EL PAÍS que Avaddon «es un grupo serio» y que no miente en sus amenazas. Registrado por primera vez en 2019, es uno de los cinco grupos de ciberdelincuentes más grandes y activos. Su lista de víctimas incluye las operaciones del Grupo AXA en Asia, Cuatro Barras en Brasil, Grupo Active y Fornesa SL, España, el fondo Febancolombia en Colombia o empresas de Canadá y Arabia Saudí. Su origen está en Rusia porque las herramientas han sido identificadas en ruso y también porque no atacan a empresas ubicadas en la denominada Comunidad de Estados Independientes, que incluye a Rusia, Ucrania y Bielorrusia, explica este experto en ciberseguridad.

«Este es un incidente muy grave», dice Atul Narula, investigador de ciberseguridad del Instituto Internacional de Ciberseguridad. Las recomendaciones para la empresa después de este ataque incluyen limpiar la red, mejorar la protección de datos y, lo más importante, descubrir cómo entró el virus. “Deben saber cómo entraron. Hoy es Avaddon, mañana podría ser otro grupo ”, dice este experto. Por el tipo de datos filtrados -incluidos las actas de varias empresas- Narula asegura que la Lotería Nacional debe advertir a las empresas afectadas porque con los datos comprometidos se puede robar la identidad de una persona o empresa.

La institución mexicana ha asegurado que cuenta con la asesoría y apoyo de la Coordinación Nacional de Estrategia Digital (CEDN) y que el sistema de sorteos y concursos no se vio afectado por el ciberataque.

El ataque comienza con un correo electrónico.

Tipo de ataques Secuestro de datos suelen llegar a las empresas por correo electrónico. Los trabajadores reciben un correo electrónico que contiene algunos trucos, desde amenazas fotográficas comprometidas hasta imágenes o texto atractivos, que engañan a un empleado para que haga clic y descargue archivos. Esta técnica se conoce como suplantación de identidad (pescar). A partir de ese momento, y en minutos, el virus se propaga e infecta equipos y servidores. A partir de ahí, cifra la información de la red y la bloquea. “A veces aparece una nota de rescate en las computadoras que explica quiénes son y las instrucciones que debe seguir. Te dejan una cédula, para que puedas entrar a la página de grupos «, dice Camarillo,» hay grupos de Secuestro de datos ellos tienen el suyo Servicio al Cliente. Ahí empiezas a ver cuánto dinero les vas a pagar y si están dispuestos a negociar ”.

Ninguno de los expertos recomienda pagar. De hecho, el propio FBI desalienta a las empresas pirateadas a hacerlo. Por un lado, el pago del rescate sirve para fortalecer al grupo delictivo, y también porque la información ya ha sido robada y no hay garantía de que no se filtre en otro momento.

Este ciberataque es una prueba más de la vulnerabilidad de las empresas y organizaciones mexicanas. La cultura de la ciberseguridad es nula, enfatiza Caramillo, quien se refiere, por ejemplo, a más de 16 páginas del gobierno de México que son abandonadas y atacadas por hacker. «Hay muchas configuraciones malas, el gobierno no responde, nunca nos contactan», explica.

En 2019, el objetivo del ciberataque fue Pemex. En un ataque más grave que ahora, secuestraron el 5% de los equipos, golpearon la refinería de Veracruz y Tabasco y los servidores centrales. Al año siguiente le tocó el turno a la Comisión Nacional de Seguros y Finanzas, que robó más de 10 gigabytes de información confidencial por la que pidieron un millón de dólares. “La situación es muy mala”, resume el investigador del Instituto Internacional de Ciberseguridad, “muchas empresas mexicanas son atacadas”.

Registrate aquí por Boletin informativo de EL PAÍS México y reciba todas las claves de información de la situación actual de este país