El grupo global de ciberdelincuencia conocido como Rhysida hizo públicos más de 11 mil archivos privados de El Debate tras no recibir el pago de cinco bitcoins, equivalentes a unos 5.3 millones de pesos mexicanos, exigidos al medio de comunicación —nacido en Sinaloa— para evitar la venta o liberación de los datos obtenidos ilegalmente de sus servidores.
Rhysida, en su página dedicada al ransomware, un software malicioso diseñado para bloquear el acceso a sistemas informáticos o archivos hasta que se pague un rescate, afirmó haber liberado el 30% de la información retenida, la única que no pudo venderse a terceros no autorizados.
“La información no vendida fue subida. Disfruten, cazadores de información”
— Rhysida
Según el analista de ciberseguridad Nicolás Azuara, es preocupante que el 70% de los datos hayan sido comprados. Esto ocurrió después de que los ciberdelincuentes otorgaron un ultimátum de solo siete días para hacer el pago en criptomonedas o, de lo contrario, exhibirían los datos de El Debate, lo que finalmente terminó por ocurrir.
De acuerdo con Azuara, quien colaboró con este medio de comunicación para indagar el caso, la situación plantea incertidumbres sobre quiénes adquirieron la información y cuáles podrían ser sus intenciones, potencialmente ilegales.
Para ello, es importante destacar que el sitio de Rhysida solo es accesible en la dark web, es decir, implica un conocimiento más avanzado para acceder, lo que sugiere que los compradores de los datos, que incluyen contratos, información fiscal, cotizaciones y credenciales, probablemente posean conocimientos en informática y, posiblemente, puedan estar relacionados con la ciberdelincuencia.
¿Otros medios están en riesgo?
El caso de El Debate plantea un riesgo potencial para los medios mexicanos, ya que es la primera vez que Rhysida ataca a una empresa mexicana de esta índole. Esta acción se suma a su lista de 87 ataques a compañías de diversos países, donde exige pagos millonarios para no divulgar los datos secuestrados.
Sin embargo, según el sitio Ransomware Live, que emplea inteligencia artificial para identificar posibles víctimas de este tipo de delitos a nivel mundial, al menos 67 entidades mexicanas, entre empresas y gobiernos, podrían estar actualmente experimentando una situación de extorsión similar a la que enfrentó El Debate. Diversos grupos delictivos, tales como Trigona, Raworld, Medusa, Lockbit 3, 8 Base, entre otros, estarían involucrados en estos casos.
¿Qué opinan los hackers de estos delitos?
Para obtener más información sobre la tendencia de ataques de ransomware, Publimetro México se puso en contacto con Buda, un miembro del grupo Mexican Mafia, que recientemente ha perpetrado varias intrusiones en instituciones gubernamentales. Buda comentó:
“Estos ataques, en mi opinión, son únicamente para obtener beneficios económicos. En México, carecen de un propósito social. Respecto a si las empresas deberían pagar o no, eso depende de cada una. La mayoría dirá que no, pero al no pagar, también se expone la empresa, ya que los datos podrían venderse o ser divulgados de forma gratuita. Por lo tanto, la decisión de pagar o no depende del criterio del equipo de seguridad”.
Buda, quien recientemente puso a la venta una base de datos robada de un subdominio del gobierno del Estado de México, también señaló que estos ataques están volviéndose cada vez más comunes hasta el punto de ser considerados ‘normales’. En última instancia, consideró que esto se debe a la falta de blindaje de sus sistemas:
“Al final se lo ganan por no saber proteger bien su infraestructura”
Además, Nicolás Azuara, en relación con los ataques recientes, instó a las empresas, e incluso al gobierno, a prepararse para evitar futuros secuestros de información debido al potencial daño que pueden causar a sus respectivas organizaciones. Azuara dijo: “Es fundamental que las empresas, gobiernos y organizaciones tengan una estrategia de respuesta ante los ataques de ransomware, no solo para la recuperación de los archivos cifrados, sino también para evitar la posterior filtración de datos operativos o personales por parte de los cibercriminales”.
Hasta ahora, El Debate no ha hablado del ataque del que fue objeto. No obstante, es evidente que una parte considerable de sus documentos privados pudo ser comercializada y, el resto, expuesta de forma gratuita a los cazadores de datos. Esta situación plantea un riesgo considerable, ya que cualquier información contenida en estos documentos podría ser utilizada de manera ilícita.
*PUBLIMETRO