Online

Hackeo masivo a Cencosud: es un "secuestro virtual" y hay millones de tarjetas argentinas en peligro

La seguridad de la multinacional del retail chilena fue vulnerada. Qué pasó, qué es un ransomware y cómo protegerse.

16 de Noviembre 2020
Hackeo masivo a Cencosud: es un "secuestro virtual" y hay millones de tarjetas argentinas en peligro

Las operaciones del minorista Cencosud se vieron afectadas por un ransomware-as-a-service. La vulnerabilidad es conocida como Egregor y exige un rescate de millones de dólares. El ciberataque sucedió este viernes y paralizó las ventas en múltiples locaciones.

Cencosud tiene injerencia en Chile, Argentina, Brasil, Colombia y Perú, siendo una de las empresas más grandes de América Latina. En la Argentina, la multinacional nuclea los supermercados Jumbo, Disco y Vea y una tarjeta de crédito. En total, cuenta con ocho unidades de negocios en el país. En 2019, su facturación superó los US$ 15.000 millones

El ransomware es una de las principales amenazas en cuanto a seguridad cibernética para las organizaciones a nivel mundial. De acuerdo con datos del ‘Estado del Ransomware 2020’, publicado por Sophos, el 51% de las organizaciones fueron víctimas de ransomware y el 73% de esos incidentes tuvieron éxito al cifrar los datos de las empresas afectadas en 2019.

Qué pasó

El hackeo en Cencosud S.A comprometió dispositivos. Por ejemplo, las impresoras en locales ubicados en Chile y la Argentina comenzaron a imprimir el rescate. El ransomware Egregor imprime automáticamente notas de rescate en impresoras conectadas en la misma red. Miles de rescates fueron impresos en todas las sedes de la organización.

En Twitter, se hizo viral un video en el que se ve una máquina registradora imprimiendo sin parar las notas de los ciberdelincuentes. “Así le está pegando el ransomware a Cencosud SA (Jumbo, Disco y Vea en Argentina) desde el viernes a la noche”, tuiteó Patricio Molina junto al video, cofundador de la plataforma Real Trends de MercadoLibre.

“Todas las webs están caídas. Los delincuentes exigen millones de dólares para no revelar data clave de los clientes (e.g.: tarjetas de crédito). Es muy difícil evitar ataques de ransomware, y mucho más difícil todavía es recuperarse de uno”, tuiteó Molina sobre el hackeo de Cencosud. 

"No deja de sorprenderme. Estos ataques llevan muchísimo tiempo. A la empresa le faltó algún tipo de protección o el sistema que tenían no estaba lo suficientemente actualizado. El video de la impresora imprimiendo el rescate habla la falta de segmentación de las redes operacionales y administrativas de la compañía. Es grave porque deben estar separados los ambientes web y locales. La parte transaccional, tarjetas y online está vinculada. El tema grave es la publicación de la información. Si estos tipos se hicieron de la información es un problema muy grandes", dijo a Infotechnology Sebastián Stranieri, CEO de VU Security.

Frente al ataque, la cadena Disco, Vea y Jumbo anunciaron problemas técnicos. El supermercado Jumbo no realizará descuentos adicionales de tarjeta Cencosud en compras presenciales "por problemas en los sistemas", según puede verse en un banner publicado en su web.

Fuentes cercanas a la situación comentan que están "arreglando por partes". Primero, se asegurarán que las tiendas virtuales y físicas puedan vender y después volverán a adecuar sus procesos más generales. Los empleados no pueden conectarse a las redes para evitar la expansión del virus y perder la menor información posible, según fuentes cercanas a la situación consultadas por Infotechnology. 

Expertos temen que estén en peligro millones de clientes de la tarjeta de crédito Cencosud, tanto los números de tarjeta como datos sensibles pueden haber sido robados. 

 

Disco y Vea abrieron un nuevo canal a través de correo electrónico para que los usuarios se contacten en caso de tener algún inconveniente o duda con alguna compra. 

Según medios argentinos, Cencosud S.A. emitiría un comunicado de prensa en las próximas horas.

Los delincuentes dejaron una nota detallando qué pasó, qué significa el hackeo y cómo evitarlo. “¿Qué pasó? Tu red fue atacada, tus computadoras y servidores fueron bloqueados, tus datos privados fueron descargados. ¿Qué significa eso? Significa que pronto los medios de comunicación, sus socios y clientes se conocerán. ¿Cómo se puede evitar? Para evitar este problema debe ponerse en contacto con nosotros en tres días. ¿Y si no lo contactamos en tres días? Comenzaremos con la publicación de datos”, escribieron. 

En el caso de un acuerdo, los ciberdelincuentes ofrecen “la confidencialidad completa sobre el incidente”, es decir, cómo sucedió, cómo lograron y qué vulneraron. Egregor es conocido por robar archivos sin cifrado. Datos personales de los consumidores, movimientos de compra y venta de la empresa fueron algunos de los datos vulnerados por el ransomware.

Los ciberdelincuentes le otorgaron a Cencosud un plazo de tres días para recuperar la información. Podrían publicar y vender datos sensibles de consumidores y de la empresa. 

Qué es un ransomware

El ransomware es diferente a un virus tradicional porque no destruye o corrompe información sino que busca archivos valiosos para pedir un rescate. El ransomware busca identificar información en formato de bases de datos o archivos, dejan de lado los del sistema operativo que son los que, en general, podrían “romper” tu computadora. El ransomware infecta a las víctimas explotando una vulnerabilidad de los dispositivos Mac: el malware cifra los archivos y afecta a un centenar de equipos.

“La banda de ransomware Egregor se encuentra muy activa en estos momentos y ha enfocado sus ataques originalmente a juegos online y a empresas del sector de consumo masivo. Pertenece a la familia de malware Sekhmet, que ha estado activa desde mediados de septiembre de 2020 y el grupo hackea empresas, roba información y finalmente cifra todos los datos. Es conocida por hackear la popular empresa de venta de libros Barnes & Noble de Estados Unidos, la empresa de juegos conocida como Ubisoft (quien sufrió la filtración del código fuente del juego Watch Dogs: Legion a menos de una semana de su lanzamiento), y también afirmó haber robado archivos y filtrado capturas de pantalla de la Registry de Windows como prueba, vulnerando datos como correos electrónicos, ventas, facturaciones, direcciones e historial de compras”, dijo a Infotechnology Gabriel Zurdo, CEO de BTR Consulting, especialista en ciberseguridad, riesgo tecnológico y de negocios.

El ransomware puede estar en un enlace desconocido que te envían por mail, una aplicación maliciosa o encubierto en un firewall en una computadora. Según datos de la compañía de ciberseguridad y tecnología Check Point, una organización en América Latina es atacada 731 veces por semana. “En la actualidad, nos enfrentamos a la generación de ciberamenazas más avanzadas de la historia. Se destacan por ser multivectoriales, capaces de propagarse a gran escala y lo suficientemente sofisticadas como para evadir las principales medidas de seguridad”, sostiene el ingeniero Francisco Robayo de Check Point. El ransomware Egregor vulneró empresas como Crytek, Ubisoft,y Barnes y Noble.

Por qué no hay que pagar un ransomware

Cuando se trata de un ransomware, se está tratando con delincuentes cibernéticos. Nunca se debe confiar en estas personas porque no se puede estar seguro de que podrían recuperarse los archivos, incluso si se paga. Se supone que si se paga, los ciberdelincuentes entregan “la llave” o “key” para descifrar el sistema hackeado. 

Todo el mundo, desde empresas hasta alumnos de secundaria y universitarios, deben realizar copias de seguridad de sus archivos. En cuanto a las copias de seguridad, aquellos que tienen archivos importantes suelen mantener copias de seguridad. 

“Egregor posee múltiples técnicas anti-análisis como la incorporación de código confuso y código malicioso agregado. El descifrado sólo es posible si se proporciona la clave correcta on-line, lo que significa que el archivo no se puede analizar manualmente. Es primordial tomar las medidas adecuadas de manera proactiva y reforzar la concientización hacia las organizaciones y las personas en general, enfocada en su formación como parte fundamental de la ciberseguridad, además de aplicar soluciones tecnológicas como realizar copias de seguridad, actualizar sus sistemas operativos con los últimos parches y proteger los datos”, explica Zurdo. 

"En general, el costo promedio de recuperación de ransomware es de hasta 1.4 millones de dólares, debido a que muchas empresas optan por pagar el rescate de la información secuestrada. Por este motivo, las organizaciones deben estar alertas a todos los indicios de ciberataques, y apostar a la inversión en herramientas preventivas, ya que el costo de no hacerlo puede ser mucho mayor”, señala Leonardo Granda, gerente de Ingeniería de la compañía de cibersguridad Sophos en América latina

Cómo evitar caer en un ransomware

La compañía de ciberseguridad Malwarebytes recomienda realizar una segunda copia de seguridad de archivos y desconectar la segunda al equipo ya que los ransomware también podrían encriptar los discos externos conectados a la computadora.

Los torrents se descargan desde sitios ilegales y de piratería como PirateBay. Hay que tener especial cuidado a la hora de utilizar Torrent: no descargues archivos adjuntos de direcciones desconocidas, ya que pueden ser virus. Resulta clave estar atento y no descargar archivos de fuentes sospechosas. 

En el caso de caer en el ransomware, la página “No more Ransom” ayuda a las personas a solucionar el problema. “Una vez el ransomware ha sido ejecutado en tu dispositivo, poco puedes hacer sin contar con una copia de seguridad o algún software de seguridad”, explican en la página. Sin embargo la página brinda asistencia y buenas noticias para desbloquear tus dispositivos. La página es promocionada por McAfee, Amazon Web Services, EUROPOL, entre otras organizaciones.

"Es importante adoptar un enfoque que integre la seguridad cibernética en todos los aspectos de la organización, desde el departamento de TI hasta las políticas de seguridad y la capacitación de los colaboradores. Ante este tipo de ataques, es muy importante proteger a los endpoints (puntos finales), además de realizar revisiones periódicas de exclusiones de los proveedores y la autenticación multifactor", señala Granda. 



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Notas Relacionadas