Los detalles secretos del intento de secuestro de datos que sufrió el Dane

Martes 9 de noviembre, 11:35 de la noche. El ingeniero Ninroth Espinosa recibe un correo de alerta que indica que un servidor de la infraestructura de red del Departamento istrativo Nacional de Estadística (Dane) se ha caído. Minutos después, además de la caída de ese servidor Windows, se observa que se van cayendo “máquina por máquina”.

Luego, un grupo más amplio de nueve ingenieros registran cómo se van eliminando las máquinas virtuales almacenadas en el sistema de virtualización Vmware 7.0 y también se evidencia eliminación de servidores Linux.

(Lea también: Así tumbaron la plataforma digital del Dane y exigieron rescate)

Una de las ingenieras recomendó reportar el incidente al Csirt (Equipo de Respuesta ante Emergencias Informáticas) de la Policía Nacional, que pasó a apoyar la operación y cuya prioridad era aislar el ataque.

A través de un correo institucional que pertenecía a un excontratista del Dane, el cibercriminal envió mensajes en los que pedía 25.000 dólares por el rescate de 130 terabytes de información que supuestamente tenía en su posesión y también solicitaba hablar con el director de la entidad, Juan Daniel Oviedo.

(No deje de leer: La historia de las placas: en el futuro van a ser digitales)

El panorama era complejo. Eran 230 terabytes de información eliminados, la página web y el correo electrónico institucional caídos y los sistemas de procesamiento estadístico y bases de datos con información confidencial afectados. Además, una posible eliminación del backup y la afectación de aproximadamente 420 servidores.

Esta es la magnitud del ataque informático que sufrió el Dane esta semana y se recoge en la denuncia penal que hizo la entidad, a través de su subdirector, Ricardo Valencia, a la Fiscalía General de la Nación. EL TIEMPO habló con el director Juan Daniel Oviedo sobre el incidente que ha afectado la operación de la autoridad estadística.

Si bien en principio se había hablado de un supuesto ataque ransomware, una modalidad cibercriminal que presupone que hay un secuestro de datos y un atacante que pide una suma de dinero por el rescate o la liberación de esos datos secuestrados, Oviedo aseguró que no hubo “secuestro”. Explicó que si bien hubo un abusivo a los sistemas de la entidad, no hubo robo de información, pues no registraron señales de salida.

Es decir, el criminal entró, pero no pudo sacar información, aunque sí logró eliminar hasta 230 terabytes de información. “Esa información no la tiene nadie diferente al Dane”, sentenció Oviedo.

En el reporte del caso enviado a la Fiscalía, el subdirector expuso el deseo del atacante de hablar directamente con Oviedo. Esa conversación no se dio. Así lo confirmó el mismo director de la entidad. Esto se debe a la poca credibilidad de la comunicación enviada por el atacante. “Es un correo de falso origen. Un correo estandarizado. Tiene un logo antiguo del Dane” fueron los detalles que el director le contó a EL TIEMPO.

(Le puede interesar: Las innovaciones que buscan potencializar el agro del país)

Oviedo fue enfático en aclarar que varios días después del ataque “no hay nadie distinto al Dane que tenga control sobre la página”.

Hasta la noche de este sábado, el sitio web oficial de la entidad estadística seguía fuera del aire. Esto se debe, explicó el funcionario, a que están reconstruyéndola desde ceros. No hubo robo de datos y el incidente logró aislarse. Eso es lo que rescató Oviedo de la operación del grupo de ingenieros con apoyo de las autoridades para contrarrestar el ataque informático.

Al no tratarse de un ransomware o secuestro de datos, el director del Dane espera que las bases de datos no corran ningún peligro adicional a la información borrada, que en todo caso se encuentra también guardada en copias de seguridad físicas.

A pesar de la contingencia, el Dane continuó cumpliendo con el cronograma de entrega de sus estadísticas, a través de Twitter y redes sociales.

Según datos de la Cámara Colombiana de Informática y Telecomunicaciones (Ccit), los s abusivos a sistemas informáticos vienen en aumento (véase gráfico). En este tipo de ataques, explica el Ccit, los cibercriminales “necesitan acceder a través de puertas traseras, escritorios remotos o robo de credenciales” a los sistemas que quieren vulnerar.

TECNÓSFERA