Avadon: un grupo de piratas informáticos de origen ruso roba información confidencial de la Lotería Nacional

La lotería nacional se ha convertido en la última víctima de Avaddon, un grupo de piratas informáticos de ascendencia rusa con un historial de más de 170 empresas infectadas. El ciberataque contra la institución mexicana se produjo hace dos semanas, pero no fue reconocido hasta el lunes. «Se ha detectado robo de información en el área administrativa de la Lotería Nacional, antes Predicciones Deportivas, por parte de delincuentes que actúan a nivel internacional», dice el comunicado. Entre los datos robados se encuentran los recursos financieros, legales y humanos, así como los contratos firmados desde 2009. Los piratas informáticos también tienen información sobre un caso de acoso sexual en la empresa.

Este tipo de ataque conocido como Secuestro de datos, es el secuestro de información, equipos y servidores; A cambio de recuperar el control, los delincuentes exigen un rescate. En este caso, los piratas informáticos chantajean a la Lotería Nacional al revelar documentos comprometidos si no pagan en los próximos cinco días. Hasta el momento no se ha revelado el monto económico requerido, pero según un documento del Centro Australiano de Ciberseguridad, este tipo de ciberataque suele requerir unos 0,73 bitcoins, que se convierten en 40.000 dólares, unos 800.000 pesos mexicanos.

Hiram Camarillo, Director de Seguridad de la Información en Seekurity, el fue quien dio la alarma la semana pasada sobre lo que pasó con la Lotería Nacional. Los piratas informáticos difundieron el ciberataque en su blog ubicado en red profunda (el llamado internet profundo, donde los motores de búsqueda comunes no llegan). Como prueba, adjuntaron correos electrónicos internos y capturas de pantalla de contratos, reuniones y pagos. La institución mexicana lleva días sin comentar. Y los delincuentes insistieron: «Obviamente la empresa no comprende la gravedad de esta situación y quiere ocultar que fueron hackeados y robamos datos de sus servidores».

Tenemos mucha información confidencial como casos de acoso sexual, incidentes desagradables y mucha suciedad relacionada con su empresa. Si continúas mintiendo a todos y no nos contactas, estamos listos para sorprender a todos los que siguen la noticia ”, amenazó Avadon en su última actualización. Mientras el contador sigue en rojo y se encoge: quedan cinco días y unas pocas horas para filtrar la información.

Camarillo asegura a EL PAÍS que Avadon «es un grupo serio» y que no miente en sus amenazas. Registrado por primera vez en 2019, es uno de los cinco grupos de ciberdelincuencia más grandes y activos. La lista de víctimas incluye las operaciones del Grupo AXA en Asia, Cuatro Barras en Brasil, Grupo Active y Fornesa SL, en España, el Fondo Febancolombia en Colombia o empresas de Canadá y Arabia Saudí. Su origen está en Rusia, ya que los instrumentos están identificados en ruso, y también porque no atacan a empresas ubicadas en la denominada Comunidad de Estados Independientes, que incluye a Rusia, Ucrania y Bielorrusia, explica este experto en ciberseguridad.

«Este es un incidente muy grave», dijo Atul Narula, investigador de ciberseguridad del International Cybersecurity Institute. Las recomendaciones a la empresa tras este ataque incluyen limpiar la red, mejorar la protección de datos y, sobre todo, averiguar cómo entró el virus. «Necesitan saber cómo entraron. Hoy es Avaddon, mañana podría ser otro grupo ”, dice este experto. Por el tipo de datos que se filtraron -incluidos los protocolos de varias empresas- Narula insiste en que la Lotería Nacional debe notificar a las empresas afectadas, ya que con datos comprometidos se puede robar la identidad de una persona o empresa.

La institución mexicana asegura que cuenta con la asesoría y apoyo de la Coordinación Nacional de Estrategias Digitales (CEDN) y que el sistema de sorteo y competencia no se ha visto afectado por el ciberataque.

El ataque comienza con un correo electrónico.

Tipo de ataque Secuestro de datos generalmente se comunican con empresas de correo electrónico. Los trabajadores reciben un correo electrónico que contiene un truco, desde amenazas fotográficas comprometidas hasta imágenes o texto atractivos, que hace que un empleado haga clic y descargue los archivos. Esta técnica se conoce como suplantación de identidad (pescar). A partir de ese momento, el virus se propaga e infecta equipos y servidores en cuestión de minutos. A partir de ahí, cifra la información de la red y la bloquea. «A veces aparece una nota de rescate en las computadoras que explica quiénes son y las instrucciones que debe seguir. Te dejan con una cédula para que puedas ir a la página de grupos «, dice Camarillo,» hay grupos de Secuestro de datos ellos tienen los suyos Servicio al Cliente. Allí comienzas a ver cuánto dinero les pagarás y si están abiertos a negociaciones.

Ninguno de los expertos recomienda el pago. De hecho, el propio FBI desalienta a las empresas pirateadas a hacerlo. Por un lado, el pago del rescate sirve para fortalecer al grupo delictivo, y también porque la información ya ha sido robada y no hay garantía de que no se filtre en otro momento.

Este ciberataque es una prueba más de la vulnerabilidad de las empresas y organizaciones mexicanas. La cultura de la ciberseguridad es cero, dice Caramillo, quien cita, por ejemplo, más de 16 páginas del gobierno mexicano que han sido abandonadas y atacadas por hackers. «Hay muchas malas configuraciones, el gobierno no reacciona, nunca nos contacta», explicó.

En 2019, el objetivo del ciberataque fue Pemex. En un ataque más grave que ahora, secuestraron el 5% de los equipos, afectando las refinerías y servidores centrales de Veracruz y Tabasco. Al año siguiente, le tocó el turno a la Comisión Nacional de Seguros y Finanzas, que robó más de 10 gigabytes de información confidencial, por lo que exigieron un millón de dólares. «La situación es muy mala», dijo el investigador del Instituto Internacional de Ciberseguridad. «Muchas empresas mexicanas han sido atacadas».

Suscríbete aquí a boletín de EL PAÍS México y recibirás todas las claves de información sobre la situación actual en este país