El pasado 13 de julio, la Corporación Nacional de Telecomunicaciones (CNT) registró inconvenientes en los servicios de atención al cliente, agencias, Contact Center y agencias, a causa de un ataque informático. Los usuarios del servicio reportaron estos inconvenientes, incluso a nivel de la comunicación Estatal.
Nuestra fuente, un Ingeniero en sistemas y desarrollador, que prefirió mantener el anonimato, explica que se trató de una incidencia de ransomware, o “secuestro de datos»”, en español.
¿Qué pasó con el sistema informático de CNT?
Un ataque de este tipo lo que hace es infiltrarse en las máquinas, se propaga a través de la red local entre las máquinas que están interconectadas y secuestra la información.
Toma toda la información del disco, la empaqueta, lo encripta, generan una clave y de esta forma toda la información queda secuestrada. Esto a los atacantes les permite exigir un pago a cambio de revelar la clave con la cual accedieron a los datos.
Aún no se tiene claro qué tipo de información fue comprometida, CNT no quiere revelar eso. Los equipos que están interconectados en la red cumplen diferentes funciones, más aún, siendo CNT una de las empresas más grandes del país tienen diferentes servicios como facturación, ventas, soporte técnico y call center. Estos servicios sí estaban afectados, según el conocimiento del experto.
Desde el punto de vista del experto, CNT nunca va a dar información sobre los datos de sus clientes que fueron comprometidos. Sin embargo, la Corporación dejó de facturar, por lo tanto las pérdidas económicas de una empresa tan grande pueden ser considerables.
Imposible negociar con hackers
Eso es imposible. Negociar con los hackers es lo peor que se puede hacer. No se aconseja realizarlo porque ellos, por lo general, hacen avisos de pago y proponen efectuar el pago a través de la “Darkweb”. En este sitio no hay ninguna forma de garantizar seguridad de que si ellos realizan el pago con bitcoins que es la moneda de cambio de la “Darkweb”, que una vez recibido el pago desaparezcan sin dar la clave.
Hay un alto riesgo de que aun pagando no se obtengan las claves. Lo más grave es que si ellos accedieran a dar la clave no hay seguridad de que la información ya la respaldaron en otra máquina, de tal manera que pueden volver a usar esa información y hacerse pasar por otras personas para emitir una nueva amenaza. Se vuelve un círculo vicioso.
El caso de Banco Pichincha “fue desastroso”
En el caso de Banco Pichincha ellos nunca pagaron la información. Esa información fue subastada en foros de la “Darkweb” y al parecer sí hubo gente que pagó algún valor por cierto tipo de información.
Fue desastroso. Cuando los medios de comunicación se encargan de ocultar este tipo de cosas y hay la relación “Medio de comunicación – Banco” es mucho más complicado.
El pasado 9 de febrero, una cuenta internacional publicó en redes sociales sobre un supuesto robo a la información de los clientes de Banco Pichincha en Ecuador. El 12 de febrero, otra cuenta anunció un segundo lote de información que, esta vez, incluye datos de familiares de los clientes de Banco Pichincha. Entre ellos se encuentran menores de edad.
Responsabilidad en el ámbito público y privado
Estamos dentro de una sociedad en la que no tenemos conciencia de lo que significa la protección de datos, tanto de quienes deberían fungir como guardianes de la información hasta nosotros como usuarios.
Cuando sucedió en Banco del Pichincha recién se empezó a hablar del Proyecto de Ley de Protección de Datos, hace unos meses atrás ya se aprobó, ya está en el Registro Oficial.
Esta normativa ha tratado de tomar las “mejores prácticas de países vecinos”, pero se ha hecho a saltos y a brincos. La Ley no es muy justa en el sentido de forjar esta responsabilidad de la tenencia de datos por parte de estas empresas porque las sanciones todavía no son muy punitivas y deberían serlo.
Se habla, además, de la creación de la Dirección de Protección de Datos donde a las empresas les darán un tiempo de 1 a 2 años para que se articulen a lo que expone la Ley. Todavía estamos en pañales.
Si bien la Ley ya está aprobada seguimos igual y así estaremos dentro de uno a dos años más. Todo dependerá del tema burocrático en el proceso de formación de la entidad y una vez conformada habría que ver quiénes la van a dirigir.
La respuesta del Gobierno “cae en una demagogia”
El Gobierno pretende mantener contenta a la gente con un bono para que no pida más explicaciones y eso es una irresponsabilidad por parte del Estado, en este caso porque es una empresa pública.
Si fuese una empresa privada, como el Banco del Pichincha, debería estar el órgano accionante que sería la Superintendencia de Telecomunicaciones y la de Bancos quienes debieron haberle exigido al Banco si la Ley hubiese estado totalmente establecida.
El Gobierno debería dejar de jugar con la demagogia y dejar de insultar la inteligencia de la gente. Este tipo de ataques van a continuar porque somos una sociedad digitalizada y los hackers están regados por el mundo, esto es parte de la guerra cibernética que existe.
Debería haber mucha honestidad para asumir sus equivocaciones. Pero cada vez que el Estado salga a mentir tal vez pueda convencer a la gente que no pasa nada, pero desde la parte técnica sabemos que el problema no es como ellos lo pintan.
