Gracias a un informe interno que desde EPM se filtró a algunos medios de comunicación, se supo que el grave ciberataque que sufrió la compañía en la tarde del pasado lunes 12 de diciembre fue ejecuado por Blackcat (Gato negro en español), un grupo de ciberdelincuentes cuyo origen es desconocido y que se especializa –vendiéndose al mejor postor– en atacar la infraestructura tecnológica de empresas de energía como EPM.
En ese documento, la compañía presentó un diagnóstico inicial del impacto del ataque: pérdida de control de la plataforma, información encriptada (secuestrada), pérdida de respaldos y de información, y el contagio del 25% de la infraestructura de sus sistemas y equipos de trabajo.
Sin embargo, ni este informe, ni ningún otro hasta la fecha, se ha publicado oficialmente. Al parecer, el motivo por el cual se filtró fue sembrar la tesis según la cual el ataque se habría generado desde la Central de Hidroituango y su objetivo sería entorpecer la puesta en marcha de las dos primeras hidroeléctricas que comenzaron a operar el pasado miércoles, dos días después del ataque.
Para probar esta teoría, desde la empresa se filtró el pantallazo del log –el término técnico para referirse al historial– de uno a uno de los servidores llamado CONSORCIO 20 y que, según EPM, fue el paciente 0 que después contagió al resto de la organización. Es decir, un usuario de ese servidor fue el que le dio clic al enlace o descargó el archivo prohibido que infectó todo.
Sin embargo, este diario consultó a varios expertos en ciberseguridad, quienes coincidieron en que si bien el pantallazo sí muestra que ese servidor estaría bajo ataque, no hay prueba de que haya sido el primero. De igual forma, el consorcio CCC Ituango, constructor del complejo hidroeléctrico, tuvo que salir a aclarar que sus empresas no usaban los mismos servidores de EPM y que ya no tenían equipos en Ituango.
En lo que sí coinciden los expertos con el informe de EPM es en que la ciberbanda criminal es Blackcat.
Los ciberdelincuentes
Desde finales del 2021, decenas de compañías en todo el mundo han sido víctimas de Blackcat, que trabaja como un equipo de mercenarios cibernéticos. Su modelo de negocio se llama Ransomware bajo servicio. Ransomware significa secuestro de información, y bajo servicio quiere decir que quien quiera hacer el ataque puede pagarles y compartir con ellos las ganancias de las extorsiones por la información en una proporción que, según los expertos, es generalmente 70/30.
De acuerdo con los expertos consultados, que prefirieron no dar su nombre –pues el secretismo es mandamiento en el ecosistema de la ciberseguridad–, los sobornos pueden darse en tres niveles. La primera extorsión se debe pagar a cambio de la liberación de los equipos y de la información que el ataque logró secuestrar; el segundo consiste en pagar para que la información sensible que fue robada y por la cual la empresa responsable podría pagar multas no sea difundida públicamente; y el tercer nivel es cuando los criminales descubren información sensible de terceros a quienes pueden también pedirles rescate con la amenaza de filtrar lo encontrado.
Luego del ataque, los hackers le enviaron un mensaje a EPM por medio de un bloc de notas, pero este ya ha sido difundido en grupos y redes sociales de especialistas en el tema. Como si se tratara de las instrucciones para el rescate de una persona secuestrada, en la nota se lee la advertencia de que información importante de la red de EPM fue encriptada y que para recuperarla se deben seguir algunas instrucciones. Entre ellas, actuar rápido antes de que la información sea publicada. Sin embargo, medios especializados han confirmado que no se trata de un mensaje personalizado sino de una advertencia general que Blackcat les hace a todas sus víctimas.
La filtración
En la tarde del viernes pasado, Germán Fernández, quien trabaja en una compañía de ciberseguridad chilena llamada CronUp, alertó en su cuenta de Twitter que la información de algunos de los computadores de EPM ya estaba cargada en un servidor que fue creado el pasado 10 de diciembre, y que incluso había estado disponible en línea durante algunas horas, probablemente como una estrategia de extorsión.
Fernández publicó una imagen en la que se ve una lista de más de 40 carpetas nombradas como “EPM”, en las que estaría contenida la información robada del mismo número de equipos de la empresa.
Las soluciones
Sobre qué tan cerca está EPM de reponerse del ataque se sabe oficialmente tan poco como sobre el ataque mismo. Decenas de miles de familias de escasos recursos en todo el departamento llevan ya seis días sin agua y sin luz, pues los medios para recargar sus servicios no están disponibles. Por otra parte, hasta el viernes pasado la mayoría de los empleados del edificio inteligente seguían trabajando desde sus casas y la página web y el aplicativo de la empresa siguen caídos. Se sabe que a la mayoría de los empleados les alcanzaron a pagar la última quincena; sin embargo, les consignaron el salario pleno, sin las deducciones de la seguridad social o del fondo de empleados.
La epidemia
Son varios los casos de empresas e instituciones colombianas que han sido víctimas de ciberataques que han hecho estragos. El más reciente, antes de EPM, fue el de la EPS Sanitas, que después de más de dos semanas desde el ataque todavía no recupera sus servicios informáticos. En los últimos meses también fueron atacadas la Fiscalía General de la Nación y el Invima, este último, según fuentes no oficiales, también a manos de Blackcat.
Poco se sabe sobre las consecuencias y las soluciones de esos casos, pues el hermetismo no es exclusivo de EPM. Sin embargo, estudios de distintas organizaciones demuestran que Colombia vive una epidemia de ciberataques y expertos aseguran que el de EPM, que parece ser el más grande hasta ahora, puede ser el punto de inflexión para que la curva de este tipo de delitos se dispare.
De acuerdo a un estudio reciente de la Cámara Colombiana de Informática y Telecomunicaciones, los ciberdelitos denunciados en Colombia crecieron un 20,5% en el último año y el país ocupa el puesto 65 en el ranking global de seguridad cibernética. En cuanto a los casos de ransomware, con corte a octubre de este año se denunciaron 318 casos, 90 más que el año pasado, en los cuales se impidió total o parcialmente el acceso a un sistema o red .
25%
de la infraestructura de sistemas de EPM fue afectada por los hackers.
Familias llevan 6 días a oscuras y sin agua
Seis días han pasado desde el ciberataque a EPM, que en un principio parecía que no afectaría la prestación de los servicios de agua y energía y gas de los usuarios. Sin embargo, pronto se supo que los usuarios de los servicios de agua y energía prepago, que son más de 300.000 familias, estaban en problemas, pues se cayó el sistema por el cual recargan los servicios con pequeños montos desde $5.000 que les alcanza para un par de días.
Ante la imposibilidad de recuperar sus sistemas, la empresa ha buscado soluciones que lamentablemente han sido insuficientes. Dispusieron de una línea telefónica que está colapsada y han enviado tanques con agua a algunas de las zonas más vulnerables. Pero son cada vez más las quejas de usuarios que van a completar una semana entera sin poder bañarse de sus duchas o vaciar sus sanitarios, sin conectarse a internet, sin guardar comida en la nevera, sin cargar los celulares en sus casas.
Así se ha vivido esta última semana en el barrio El Pesebre, en la Comuna 13. Rosalba Piedrahita, presidente de la Junta de Acción Comunal del barrio, cuenta que hay casi 100 familias que desde el martes pasado están sobreviviendo a punta de la solidaridad de la comunidad. Dice que cuando las familias no están buscando a un vecino que pueda llenarles un balde con agua o prestarles un toma corriente o la clave del wi-fi, están llamando a los números de atención que dispuso la empresa.
Quienes llaman, dicen que dar con una solución es una lotería. La mayoría de las veces les toman los datos personales y les dicen que pasadas unas horas o incluso días a sus celulares les enviaran un pin con el cual podrán reestablecer el servicio, pero desafortunadamente para la mayoría de ellos primero se terminan de derretir las velas antes de que llegue el anhelado pin.
Asimismo, desde el viernes, la empresa anunció en sus redes sociales que en los puntos Gana ya era posible hacer la recarga, pero las respuestas a esas publicaciones no son más que quejas de cientos de usuarios que cuentan que hacen filas durante horas y que cuando llegan al punto les dicen que el sistema está caído, o peor aún, pagan por la recarga y el pin tarda más de un día en llegar. Muchas veces, lo que gastan en pasajes hasta el punto Gana donde ocurre el milagro de la recarga es más costoso que la recarga misma.
Leidy Manco es una de esas madres cabezas de hogar que hasta ayer llevaba una semana “peor que en los tiempos de la pandemia, porque al menos uno podía bañarse o usar el celular y ver televisión”. A ella no solo se le dañó la comida, también su insulina. Leidy vive en Santo Domingo con dos personas mayores de 80 años y un niño de 18 meses. Visitó durante tres días todos los puntos Gana a los que pudo llegar a pie, se gastó los minutos que tenía en el celular, y al final no encontró otra salida que pagarle a alguien para que la conectaran ilegalmente al poste de luz de su cuadra. $25.000 pesos le costó la instalación. Y como ella, casi todos sus vecinos han hecho lo mismo
