Chile Compra y Mercado Público habilitan sus sitios web luego de estar 20 días con sus servicios caídos tras un ciberataque por un grupo de hackers que se hacen llamar RansomHouse, quienes intervinieron los servidores con un virus llamado "Mario Locker". Este virus fue catalogado como uno de los más grandes en Latinoamérica.

El portal Mercado Público de ChileCompra volvió a estar activo tras el ataque cibernético de ransomware del proveedor de IFX Networks que tuvo a los usuarios inhabilitados más de dos semanas. Desde el organismo público comunicaron que la página que conecta con Mercado Público se encuentra operando con normalidad, alojada en un sitio de contingencia provisto por TIVIT.

En su último comunicado, señalaron que los servicios fueron sometidos a procesos de validación antes de ser puestos en línea otra vez. A pesar de ello, el proceso de investigación respecto al ciberataque continúa en curso.

Desde ChileCompra informan que han estado en contacto permanente con los usuarios que transan en la plataforma, manteniendo una relación directa y apoyo a los proveedores del Estado, en particular con el sector de la salud, el MOP con sus procesos de obras públicas, las Fuerzas Armadas y de Orden, el gobierno con sus entidades principales, municipalidades y universidades.

Actualizaciones constantes

En tanto, Verónica Valle, directora de ChileCompra, explicó que la operación de compras públicas volvió a su normalidad y que se están realizando minuto a minuto procesos de actualizaciones y mejoras del sitio de contingencia que soporta la empresa TIVIT. Respecto de la empresa IFX Networks indicó que se está trabajando en revisar la seguridad de sus sistemas, para garantizar que éstos no estén infectados, y en restaurar los servidores que quedaron dañados luego de su desconexión abrupta.

Debido a esto, IFX Netglobalis, proveedor de ChileCompra y de la plataforma Mercado Público, señaló que producto del incidente, en un inicio, se impidió la entrega de servicios a sus clientes y la web que hasta la fecha llevaba 20 días en mantenimiento se encuentra en trabajos para restablecer sus servicios de manera gradual.

IFX Netglobalis se mantuvo en contacto con sus clientes mediante diversos comunicados para brindar la tranquilidad de sus compradores y proveedores, además de la ayuda entregada a través de la línea de técnico de soporte regional.

No obstante, Valle explica que “lo más complejo en este periodo fue que, durante la indisponibilidad, IFX Netglobalis no tuvo una comunicación oportuna y clara, y tampoco nos dieron -por cerca de una semana- tiempos de solución respecto a lo ocurrido. Estamos trabajando actualmente en revisar los sistemas en IFX Netglobalis, pero hasta ahora éstos no están preparados para poder subir el sitio principal de Mercado Público”.

La directora de ChileCompra indicó que en el sitio de contingencia de Mercado Público actualmente operativo desde el 19 hasta 29 de septiembre se han emitido 68.165 órdenes de compra emitidas por las entidades del Estado, por un monto de 537,4 millones de dólares.

¿A qué se debió la caída de los servidores?

El 12 de septiembre, los servicios de la plataforma de compras públicas que administra ChileCompra quedó inaccesible por el ataque que sufrió el proveedor. En Mercado Público transan más de 850 organismos públicos que compran productos y servicios a proveedores del Estado.

Todo se debió a un malware o código malicioso, denominado “Mario Locker”, desarrollado por el grupo de hackers que se hace llamar RansomHouse e impide la utilización de los sistemas que infecta. El nombre de este virus es producto de una imagen que ha transitado por distintas vías digitales, la que aparece en los ordenadores afectados por este ciberataque.

Segu.info.argentina | Código de error que entra en los servidores una vez que son infectados con el malware.

¿De dónde proviene la falla?

La falla de seguridad comenzó en un servidor de Colombia y escaló de forma gradual, según Germán Fernández, director de Inteligencias Cibernéticas, afectó aproximadamente 330 servidores, los que estaban entregando servicios a 9 países, entre ellos: Colombia (193), Estados Unidos (41), Honduras (13), Argentina (36), Chile (8), Guatemala (3), México (2).

El 26 de septiembre pasado, el Equipo de Respuestas ante Incidentes de Seguridad informática (CSIRT), organismo que depende del Ministerio de Interior, emitió un informe que detalla el análisis realizado sobre la detección de la falla informática en los servidores que hospedan en ChileCompra, los que son administrados por IFX Networks, en donde se observó que la falla comienza con la infección de una entrada, para así extraer la información interna del dispositivo, en que en la actualidad se encuentran en análisis 17 millones de líneas de código.

Las recomendaciones de este documento para los equipos responsables de ciberseguridad y tecnología fueron limitar el acceso a ESXi, utilizar usuarios con privilegios mínimos, minimizar la cantidad de puertos que se encuentran abiertos, monitorear las conexiones de IPS y puertos que no están reconocidos, implementar herramientas de seguridad especializadas en servidores, realizar copias de seguridad de manera regular, en donde se incluya una copia fuera de línea, entre otras.

Sistema de respaldo

Por otra parte, Felipe Mancini Ruiz-Tagle, Ceo de Asimov y ex director de Chiletec, declaró que “la capacidad de la plataforma de ChileCompra no estaba al 100% porque tuvieron que optar por un sistema de respaldo, dado a la contingencia, pero están levantando poco a poco los servicios, ya que hay que asegurarse de que este problema no vuelva a resurgir y no se vuelva a afectar el sistema nuevamente”. Además, anunció que los servicios demoraron en su estabilización debido a la magnitud del ataque.

Junto con ello, IFX Netkworks, concuerda con Felipe Mancini en que éste es el hackeo más grande registrado en Latinoamérica, además de comentar que hace años no se veía algo de este nivel.

Falla catalogada como la más grande en años

En lo que respecta a áreas latinoamericanas, el vocero de la multinacional IFX Networks para el Cono Sur, Carlos Oviedo, comentó que el ataque realizado por RansomHouse afectó a una parte limitada de los sistemas de ESXi, en que las investigaciones establecieron que el malware no tiene la capacidad de autorreplicación, por ende, en ese sentido comentan estar fuera de riesgo en que pueda propagarse por las redes de sus clientes.

Oviedo agregó que ningún antivirus en el mundo podría haber detectado la falla, sin embargo, comentan que el servidor en el que se encontraba la falla todavía continúa en investigación, puesto que aún no cuentan con la claridad de esta.

Cabe destacar que IFX Networks es un proveedor de servicios gestionados, lo que significa que otros clientes pueden estar expuestos aún a nuevos ataques de este incidente, lo que es conocido como cadena de suministro o SupplyChainAttack.

Desde otros medios latinoamericanos destacan que la línea de este ataque se debió en un inicio a diversos archivos adjuntos en formatos comprimidos (ZIM, RAR, ACE, entre otros), los que son de proveniencia internacional.

Es importante señalar que ChileCompra insiste en el caso de las licitaciones que fueron emitidas y abiertas hasta las 23:59 horas del 11 de septiembre, éstas fueron suspendidas para que cada uno de los organismos puedan reactivarlas según sus necesidades.

“A la fecha, el 90% de ellos estas licitaciones están fueron reactivados y sólo un 7% han sido revocados o declarados desiertos y los que quedan pendientes de reactivar, en un 48,6% son por montos menores a 100 UTM”, comentó la directora de ChileCompra.

Respecto a los proveedores, ChileCompra informó que en caso de tener una acreditación en el Registro de Proveedores del Estado en Mercado Público que vencía entre el 01 y el 30 de septiembre de 2023, dicha acreditación se extenderá por un mes.