Una “inédita” oleada de ciberataques pone en jaque a Portugal

A primera hora del jueves cientos de portugueses que acudían a hacerse un test de coronavirus intuyeron que algo iba mal. En muchos de los centros los sanitarios no podían establecer conexión con el sistema informático de los laboratorios. Finalmente tuvieron que cancelar todos los test y pedir a los pacientes con cita que buscaran otros medios para realizárselo. La empresa Germano de Sousa, el principal laboratorio de análisis clínicos de Portugal, había sufrido un ciberataque. Uno más, debieron pensar los afectados.

Tres días antes otro hackeo había tumbado la red de Vodafone en Portugal, afectando a cuatro millones de clientes (en una población de 10 millones). Bloqueó los servicios de datos, principalmente 4G y 5G, voz fija, televisión, SMS y contestadores. La compañía lo calificó de “acto terrorista” porque afectó gravemente a clientes como el Instituto Nacional de Emergencia Médica (INEM), departamentos de bomberos o entidades bancarias, que tuvieron que habilitar canales de emergencia para poder operar.

“No es un ataque dirigido a los sistemas. Es un ataque dirigido a la red con el propósito, seguramente voluntario, intencional, de dejar a nuestros clientes sin cualquier servicio”, denunció el director ejecutivo de Vodafone en Portugal, Mário Vaz. Ni la operadora ni los laboratorios Germano de Sousa tienen pruebas de que se hayan producido sustracciones de datos personales de usuarios o pacientes, han asegurado.

Estos dos ciberataques son los dos últimos de una lista de ofensivas que se han intensificado este 2022. “Fuentes de la Policía nos cuentan que es inédito que se produzcan tantos ataques en tan poco tiempo y con tanta repercusión, con cinco o seis compañías muy importantes afectadas”, explica a elDiario.es Hugo Franco, periodista del semanario Expresso. “Esto para nosotros es un fenómeno nuevo, porque el año pasado hubo muchos ataques pero no tan importantes como los que esta habiendo este inicio de 2022”.

Franco lo cuenta de primera mano. Expresso ha sido uno de los varios medios de comunicación afectados por la plaga. A principios de enero un ciberataque tumbó sus sistemas y obligó al semanario a publicar sus contenidos en Facebook. Días después consiguieron habilitar una web provisional, aunque sin contenido audiovisual ni la posibilidad de preparar contenidos solo para sus suscriptores. Es posible que el semanario, cuya primera publicación fue en 1973, haya perdido para siempre su hemeroteca. “Estamos tratando de descubrir si los hackers nos destruyeron también esos archivos”, cuenta el periodista.

El canal privado de televisión SIC, perteneciente al mismo grupo editorial que Expresso, también está operando desde una web de emergencia. Otros medios han sufrido intentos de hackeos, aunque han logrado resistir. El grupo de ciberdelincuentes Lapsus$ se ha atribuido estos ataques, basados en ransomware, que cifra los archivos de la víctima, secuestra su sistema informático y exige un rescate por liberarlo. Se sospecha que la misma organización está detrás del ataque a la web del Parlamento luso, que la paralizó varias horas en la jornada electoral del pasado 30 de enero.

Ataques sin relación aparente

“La Policía judicial cree que en principio no hay relación entre los ataques, aunque no es definitivo. Todavía es muy pronto para tener conclusiones, pero los indicios son que no hay grandes puntos en común entre ellos”, explica Franco. “Los investigadores no creen que sea una campaña organizada contra Portugal”, revela.

Una de las líneas de investigación que están siguiendo las autoridades lusas lleva hasta uno de los principales nidos del cibercrimen y foco de la industria del ransomware. “La Policía judicial está siguiendo una pista, ya que un hacker publicó el 24 de enero en un foro ruso que estaba vendiendo el acceso al sistema informático de una gran compañía telefónica portuguesa. Los investigadores sospechan que puede que se tratara de Vodafone”, expone el periodista.

Los investigadores no creen que sea una campaña organizada contra Portugal

Los expertos consultados por este medio coinciden con la opinión de la policía portuguesa. “No hay ninguna campaña orquestada contra Portugal”, zanja Josep Albors, director de investigación de ESET España, una firma de ciberseguridad internacional con presencia en el país luso.

“Hemos de tener en cuenta que cada vez hay más ataques dirigidos, a todos los niveles y en todos los países. En esta ocasión se ha dado el caso de que a Portugal le han golpeado fuerte varias veces en un espacio de tiempo tan corto que hace que hayan saltado las alarmas, pero no hay correlación entre estos ataques que indique que hay un grupo detrás que tiene a Portugal como objetivo”, detalla.

El único punto de unión es Lapsus$, atacante confirmado en los casos de los medios de comunicación, pero no del resto de ofensivas. “También ha atacado a organizaciones en Latinoamérica, especialmente en Brasil. La coincidencia idiomática hace que este grupo de atacantes haya dado el salto a Portugal”, afirma Albors. Vodafone y los laboratorios Germano de Sousa no han revelado aún si los ciberataques que han sufrido esta semana se han basado en ransomware o en otro tipo de arma.

Amenaza internacional

El idioma es uno de los factores que facilita que los ciberdelincuentes amplíen sus áreas de ataque. Los grupos que operan desde Brasil y su zona de influencia están especializados en los troyanos bancarios y el robo de información, explica el experto. En los últimos tiempos han aumentando la ambición de sus ataques, llegando incluso hasta España con suplantaciones a Correos o empresas de transporte.

“Hasta no hace mucho se les consideraba grupos de segunda porque se movían solo en su región y sus tácticas no eran especialmente avanzadas”, sigue Albors. “Confiaban más que nada en engañar al usuario para conseguir sus objetivos. Pero desde hace un par de años, justo antes de comenzar la pandemia, empezaron a innovar y desarrollar campañas cada vez más elaboradas, que pueden ser también perfectamente identificadas por un usuario que esté más o menos entrenado, pero cuyos ganchos eran cada vez más personalizados”.

No obstante, en los casos de ransomware, el foco “suelen ser los países del este”. Allí están los desarrolladores del malware, que luego lo venden a grupos locales que diseñan los ganchos con los que infectar a organizaciones de su entorno. Es una industria con un alto grado de profesionalización. Y pese a que las autoridades a veces pueden rastrear a esos actores locales y darles caza, eso raramente ocurre con los grupos de desarrolladores, que además cesan su actividad y borran su rastro si se sienten vigilados. Para volver poco después con otro nombre y otro ransomware para vender, claro.

“Uno de los problemas que estamos viendo últimamente es que cualquiera, sin tener ningún conocimiento, puede irse a un foro, comprar un kit e intentar hacer daño a empresas de tamaño pequeño, mediano o incluso grande si no tienen aplicadas las medidas de seguridad recomendados”, revela el experto.

La oleada de ciberataques contra Portugal parece ser una unión de todos estos factores. La ciberseguridad del país no ocupa una mala posición a nivel internacional, logrando el puesto 14 del mundo y colocándose en el top 10 europeo en el último Global Cibersecurity Index, en el que España se colocó en la cuarta posición.