En momentos de una intensificación de los ciberataques del grupo Conti a entidades públicas, la mejor medida de protección inmediata para una organización, sea estatal o privada, es efectuar respaldo de la información considerada esencial en varios servidores. Incluso que los datos tengan un back up en computadoras sin conexión a Internet.
Esta medida de emergencia se recomendó, por parte de varios especialistas en seguridad informática consultados por La Nación, para periodos de alto riesgo de hackeo, porque efectuar un análisis del nivel de protección y vulnerabilidades en una empresa o entidad pública es un proceso que puede tardar tiempo.
“Sería muy importante saber que están preparados con temas de respaldos, porque el ransomware (programa extorsivo) secuestra los datos, es decir, que cambian un archivo legítimo por uno que no se puede abrir porque está bloqueado. Entonces la mejor protección es tener respaldos en la red y fuera de infraestructura, para que esté lejos del alcance de un potencial atacante”, explicó Mario Robles, fundador de la empresa de seguridad WhiteJaguars CyberSecurity.
Robles agregó que endurecer los mecanismos de seguridad informática es relevante, pero lo recomendado “es estar preparado ante un escenario de desastre lo antes posible”.
Otra opción es limitar el acceso a la información en los servidores por usuarios debidamente identificados. Así como restringir los orígenes de acceso a la información y habilitar múltiples factores de autentificación a los datos.
LEA MÁS: Así opera Conti, el grupo criminal que activó la alerta de ciberataque en el Ministerio de Hacienda
Luis Enrique Mendoza, encargado Ciberseguridad en Centroamérica de Ernst & Young (EY), comentó que es primordial identificar, si aún no se ha hecho, los datos esenciales para garantizar la operación de una institución pública o compañía.
“Para anticiparse a un ciberataque, las organizaciones deben contar con un monitoreo continuo 24/7 de eventos anómalos que puedan estarse ejecutando en una organización. Esas situaciones particulares son las alertas de que posiblemente pasa algo anómalo dentro de su red, para determinar si se puede convertir en un evento o no”, detalló Mendoza.
Algunas de las formas para determinar estos “movimientos” atípicos son, por ejemplo, un incremento en la creación de cuentas de correos electrónicos en la empresa o entidad pública que no fueron originadas por el equipo de tecnología de información (TI).
También cuando se pierde el control de escritorios remotos habilitados. “Los atacantes de Conti utilizan aplicaciones legítimas que se encuentran instaladas, como software de monitoreo y administración remota; y aplicaciones de escritorio remoto que tengan acceso desde Internet”, se explicó, en marzo pasado, en una alerta dada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés).
Por eso, la recomendación de la agencia estadounidense es contar con múltiples factores de autentificación para el ingreso a una red remota, herramienta muy utilizada desde el inicio de la pandemia de la covid-19 que incrementó el teletrabajo.
Presión en sector privado
Robles resaltó que desde su empresa han detectado un incremento de la presión de grupo Conti hacia empresas del sector privado, por lo cual es muy importante elevar la vigilancia.
“Los equipos de monitoreo de las compañías con las cuales trabajamos, detectaron actividad similar a las que se han detectado con Conti. Eso nos permite hacer una correlación de amenazas y vincularlo a este tipo de grupos”, explicó el especialista.
Conti es controlado, supuestamente, por un grupo cibercriminal ruso llamado Wizard Spider, según análisis efectuados por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) y la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés).
LEA MÁS: Carlos Alvarado califica ‘hackeo’ como intento de desestabilizar a Costa Rica en época de transición
Los primeros ataques relevantes del grupo fueron a redes de atención médica y de primeros auxilios, servicios médicos de emergencia, centros de despacho del 911 y municipios, según los informes de CISA y el FBI.
Esteban Jiménez, especialista en ciberseguridad y fundador de Atticyber, dijo que la alerta sobre posibles ataques se hizo desde hace muchos años, y ya está en el país.
“¿Qué se puede hacer? Instituciones críticas para el país como el ICE, Banco Central, la Caja o empresas privadas con redes de abastecimiento deben proteger sus datos porque es el oro moderno, e invertir en tecnología de seguridad. El país debe salirse de malas prácticas como invertir en un software pirata o compra de equipos sin garantía”, comentó Jiménez.
El especialista consideró que el nuevo gobierno debe tener en cuenta la relevancia de la ciberseguridad.