Ransomware secuestra

sucursales de
BancoEstado en Chile
Hechos clave:
Ninguno de los clientes del banco perdió su dinero.

El ataque parece haber secuestrado las computadoras de las sucursales del banco.

El día domingo el BancoEstado de Chile anunció a sus clientes que fue víctima de un
ataque cibernético y que se encontraban solucionándolo. No se supo la magnitud del
ataque hasta el día lunes, cuando el banco anunció que sus sucursales no abrirían. El
motivo: un ransomware, que había secuestrado la red de las sucursales del banco.
La historia detrás de este incidente comenzó el día 4 de septiembre, viernes por la tarde.
Hasta donde se sabe, el hackeo fue originado por un documento de Office malicioso que fue
abierto por un empleado del banco desde su equipo. Al abrirlo el archivo instaló una
puerta trasera a la red de banco, la cual fue aprovechada por los hackers para acceder e
instalar el ransomware.

Los primeros en darse cuenta del secuestro fueron los empleados que trabajaban en el
turno del fin de semana. El sábado 5 de septiembre, al llegar a sus puestos de trabajo se
dieron cuenta de que no tenían acceso a sus archivos. Eso es lo que hace un ransomware:
encripta los archivos dentro de unos equipos. Para recuperarlos hay que pagarle
al hacker por las llaves de desencriptación y usualmente el pago se realiza con bitcoin u otra
criptomoneda.
Los empleados informaron al departamento de redes y seguridad informática del banco,
que luego hizo un análisis de los daños: se trataba de un ataque grave y el protocolo
indicaba que debían avisar tanto a la Comisión para el Mercado Financiero (CMF) como a
la policía. La policía envió un comunicado a nivel nacional de Alerta Cibernética Alta y la
CMF a su vez alertó a la banca. De manera coordinada, BancoEstado, la CMF y
la Sociedades de Apoyo al Giro estuvieron trabajando para evitar que el virus atacara a
otra entidad.
El día sábado fue trascendental. Los trabajadores tenían la instrucción de evitar ingresar
a la red del banco. Mientras que los distintos equipos, incluso la policía, intentaban
controlar el problema. Fuentes cercanas al periódico ZDNet indicaron que,
inicialmente, el banco esperaba recuperarse del ataque sin que fuera notado. Pero el daño fue
extenso, ya que el ransomware había encriptado la gran mayoría de los servidores
internos y estaciones de trabajo de los empleados.
Publicidad

El domingo 6 de septiembre, el banco tenía a sus departamentos de operaciones y de

ciberseguridad desplegados, y mantenía comunicación constante con la división de
redes y seguridad informática (CSIRT) de la policía de Chile. Sin embargo, no pudieron
esconder más las interrupciones en sus servicios y decidieron hacer público que habían sido
víctimas del ataque de un software malicioso en un comunicado a través de Twitter.
Hoy, lunes 7 de septiembre, BancoEstado anunció que sus sucursales se encontraban
cerradas. Dadas las características del ataque es posible que el banco trabaje en formatear
las computadoras de sus sucursales y reinstalar el sistema operativo para que puedan volver a
funcionar.
Afortunadamente, en este caso, BancoEstado hizo bien su trabajo y segmentó
adecuadamente su red interna, lo que limitó lo que los piratas informáticos podían
encriptar. Es por esto que las sucursales se encontraban cerradas pero el sitio web, el
portal bancario, las aplicaciones móviles y los cajeros automáticos del banco siguieron
funcionando. Asimismo, ni los clientes ni el banco han visto afectados su patrimonio, es
decir, nadie perdió su dinero.
Otro banco en Chile es víctima del
ransomware

Así funciona el ransomware. Una infografía del

diario La Tercera de Chile. Fuente: latercera / laterceracom.
El ransomware es uno de los ataques más populares que existen en internet. Su
popularidad es tal que en la darknet pueden encontrarse servicios de Ransomware-as-a-
Service, donde se pueden contratar piratas informáticos para que ataquen a ciertas
empresas, cual mercenarios en un ejército.
Fuentes cercanas al proceso indicaron al periódico ZDNet que BancoEstado fue víctima
de un ataque del ransomware Sodinokibi, del grupo REvil. Este ransomware es el mismo que
afectó hace 15 días al fabricante de Whiskey Jack Daniel’s y que le robó 1 TB de
información. También fue el mismo que hackeó al CIBanco en México a principios de
agosto, pero no se sabe si le robó información.
El banco de México comparte eso con BancoEstado de Chile: no se sabe si se les robó
información. El presidente del banco expresó que no hubo una solicitud de dinero para
liberar los equipos. Hasta donde se sabe, los hackers que llevaron a cabo el ataque no han
hecho público ninguno de sus datos, que es algo que estos criminales suelen realizar.
Según el periódico La Tercera de Chile, el ransomware es la principal ciberamenaza de
Chile y este sería el segundo ataque en la historia reciente dirigido a un banco del país
austral. En CriptoNoticias se ha publicado una investigación de los sitios en los que se
comparte la información secuestrada por  ransomware, a la que hay que estar atentos en los
próximos días.