Supuestos documentos sensibles del banco mexicano CIBanco, una institución financiera con una cartera de 12,246 millones de pesos, se encuentran en posesión de piratas informáticos, que han publicado los archivos en su sitio web, disponible en la llamada “dark web”. El Economista pudo verificar que esos documentos contienen datos de identificación de personas jurídicas, informes de buró de crédito y análisis de sectores industriales, pero no pudo confirmar su autenticidad ni que pertenezcan a CIBanco.

Salvador Arroyo, consejero delegado de CIBanco, confirmó a El Economista que el banco sufrió un intento de ciberataque en la semana del 3 al 9 de agosto del 2020, aunque dijo que el ataque no fue exitoso y que la compañía no sufrió ninguna extracción de información. De acuerdo con el directivo, la institución presentó las denuncias correspondientes ante la Fiscalía General de la República para deslindar responsabilidades y realizó las notificaciones administrativas ante la Comisión Nacional Bancaria y de Valores (CNBV).   

Arroyo dijo que CIBanco carece de certeza acerca de si la información publicada por los piratas informáticos son documentos que pertenecen a la institución o si son imágenes utilizadas para extorsionar a la entidad financiera. “No tenemos certeza de si tienen información o sólo tienen fotos de ciertas pantallas. Se detectó la semana pasada un intento de ataque a nuestra infraestructura; sin embargo, nuestros protocolos de seguridad lo detectaron y de inmediato se aplicaron las medidas de seguridad conducentes”, dijo.

La plataforma de inteligencia de amenazas cibernéticas Cyble publicó que supuestos “operadores del ransomware #REvil han afirmado que están en posesión de documentos sensibles de #CIBanco, una institución financiera privada con oficina principal en México”, refirió Cyble en un tuit, que incluyó imágenes de lo publicado por los presuntos ciberdelincuentes.

El 2 de junio pasado, el especialista en ciberseguridad Brian Krebs escribió en su blog que el grupo criminal ligado a REvil había “comenzado a subastar datos confidenciales robados a empresas afectadas por su software malicioso”. El experto dijo que los presuntos atacantes hacen pública la información de sus víctimas a través de un blog en la dark web llamado Happy Blog.

Estos piratas son identificados como los operadores del ransomware REvil, también conocido como Sodinokibi o Sodin, un software malicioso que utilizan como herramienta para cometer ataques o para prestar servicios criminales a terceros.

La afirmación de Brian Krebs coincide con las imágenes publicadas por Cyble, en las que puede leerse: “Bienvenidos a nuestro happy blog! Personas a las que no les importa su reputación, mienten a sus clientes, y guardan silencio acerca de hackeos y filtraciones de datos. Los usuarios del banco pierden dinero de sus cuentas, no pueden pagar sus facturas y deudas, y la directiva continúa mintiendo sobre ‘problemas en los sistemas’ durante toda la semana. El dinero es más importante que la reputación, ¿cierto?”.

Los presuntos operadores del ransomware afirmaron “contar con toda la información confidencial de clientes y empleados del banco, así como bases de datos y documentos de trabajo”. Dijeron además que de no ser contactados comenzarían a publicar la información en su blog. “Sus clientes estarán felices de ver sus datos hechos públicos”, se lee en una de las imágenes. 

Según la documentación de Cyble, los atacantes habrían contactado a CIBanco en los 10 días más recientes, durante los cuales el banco se ha negado a responder a sus demandas. 

Sin contacto con supuestos piratas: CIBanco

Salvador Arroyo, consejero delegado de CIBanco, los supuestos atacantes no han establecido contacto con el banco para solicitar algún tipo de rescate. En cualquier caso, dijo, “las políticas de cumplimiento de CIBanco impiden negociar con delincuentes”.

Todo indica que no accedieron a nuestros servidores. Entendemos que no hay absolutamente nada. Continuamos con las investigaciones, no tenemos detectado a nadie que pudiera verse afectado”, dijo. 

De acuerdo con Cyble, los piratas informáticos han publicado apenas “la primera parte” de los datos atribuidos a CIBanco y aunque se trata de una pequeña cantidad de información. 

El ransomware REvil es un programa de cómputo malicioso (malware) que encripta la información de los equipos a los que ataca y envía un mensaje para exigir un rescate en la criptomoneda bitcoin. De acuerdo con el sitio Securelist de la firma de ciberseguridad Kaspersky, este ransomware apareció en el primer semestre del 2019 y utiliza vulnerabilidades en las plataformas Oracle Weblogic y Windows de Microsoft para acceder y explotar los sistemas de sus objetivos. 

“Según nuestras estadísticas, la mayoría de sus víctimas se encontraban en la región de Asia y el Pacífico: Taiwán, Hong Kong y Corea del Sur”, refirió Kaspersky.

Las primeras apariciones de este ransomware coinciden con el ataque que CIBanco sufrió en febrero de 2019, cuando la entidad financiera aseguró haber restringido sus operaciones debido a que detectó un “virus” en la computadora de uno de sus trabajadores. La CNBV confirmó este incidente en aquel momento y agregó que el ataque había sido ocasionado por un ransomware que infectó equipos con sistema operativo Windows. Salvador Arroyo aseguró que no se ha detectado ningún vínculo entre el ataque de febrero de 2019 y el intento de la semana pasada.  

Ataques de ransomware y filtraciones

Para Andrés Velázquez, fundador y presidente de la empresa mexicana de ciberseguridad estratégica Mattica, los ataques de ransomware, es decir aquellos en los que se roba y se encripta la información de las víctimas con el objetivo de exigir un rescate para que la recuperen, han sido una constante en los años recientes, sobre todo desde que se popularizó el ransomware WannaCry, en 2017, que provocó afectaciones severas en organizaciones de todo el mundo.

“El tema de ransomware es algo que está siendo muy rentable para los ciberatacantes, ya que es una forma automatizada de efectuar ataques”, dijo.

Según el especialista, las nuevas versiones de ransomware no sólo cifran la información de las víctimas, sino que la exfiltran y la utilizan como botín para realizar una extorsión.

“El afectado no sabe qué tanta información es ni qué información específica es y esto simula los secuestros de personas, cuando se entrega la famosa prueba de vida”, dijo. 

rodrigo.riquelme@eleconomista.mx