A principios de mayo, la Subgerencia de Operaciones Comerciales de Copec recibió un llamado preocupante. Un funcionario del Equipo de Respuesta Ante Incidentes de Seguridad Informática del gobierno (Csirt), les advirtió que un tal “Devil Dexter” ofrecía en la red supuesta información sensible de la compañía a cambio de dinero virtual.
En las oficinas de Isidora Goyenechea, las alarmas se encendieron de inmediato y comenzaron la revisión. E hicieron dos cosas. La primera, comprobar si el enlace de twitter compartido por el Csirt era real. Y lo era. Segundo, verificar la dirección de correo que el maleante había dejado como contacto.
Acto seguido, un miembro de la Gerencia de Tecnología de la firma que transa en la bolsa, se hizo pasar por un “cliente”, manifestándole tener interés en adquirir los datos ofertados.
El primer contacto se produjo en inglés a las 17.13 horas del 3 de mayo, donde el supuesto comprador escribió: ¿More Info? (¿Más información?)
Cerca de las 19.00 horas y en el mismo idioma, recibió un lacónico e-mail de respuesta: “1 bitcoin por la “data”. (47 GB). Gracias”. Según los parámetros informáticos actuales, un bitcoin tendría un valor de poco más de 26 mil euros.
Hasta ese momento, lo único claro era que se trataba de un correo electrónico verdadero. Y no cualquiera, sino de la plataforma suiza “protonmail” (https://protonmail.com/es/), reconocida en la industria por los niveles de seguridad que entrega a los usuarios y de difícil detección.
Quienes conocieron el episodio indicaron que el hecho escaló rápidamente a la plana ejecutiva y se decidió seguir adelante con el engaño, obtener más información y contactarse con una empresa experta en ciberseguridad. Había que actuar rápido.
“Estoy dentro”, le escribió a las 12.12 horas del día siguiente a Devil Dexter el empleado de Copec, esperando así obtener instrucciones y realizar una eventual transacción. La respuesta llegó solo seis minutos después.
“Esta dirección bitcoin es solo para esta adquisición”, escribió agregándole un código de 36 caracteres para el depósito.
Y le instruyó: “Cuando reciba la confirmación (del pago) tú recibirás un mail con el password”, agregándole un entramado de números y símbolos.
De hecho, le advirtió que debía usar el browser Tor, uno de los preferidos para navegar en la deep web. Y más: “La información tiene dos semanas de garantía”, escribió Devil Dexter.
Al buscar su cuenta en Twitter, aparece con una supuesta ubicación en Egipto. Se unió a la red social en abril pasado y asegura pertenecer al “Team Pichu”, una suerte de grupo de informáticos expertos en buscar potenciales fallas en sitios de internet (lea el blog https://badblogninja.wordpress.com). Es seguido por expertos en ciberseguridad y activistas de la web libre.
Querella
No está claro si la empresa gastó el dinero para confirmar la filtración, pero lo cierto es que la semana pasada interpuso una querella ante el Cuarto Juzgado de Garantía de Santiago por delitos informáticos, en contra de quienes resulten responsables.
Lea la querella
En la presentación se detalla que la situación era grave, al menos en un principio, por lo que recurrieron a los servicios de la empresa Neosecure, especialista en ciberseguridad. Fue en ese instante en que tomaron conocimiento que la filtración se originó por un ataque (o data leak) que sufrió “Telefónica-Movistar Empresas” el 22 y 23 de abril pasado.
Adjuntando un comunicado enviado a los clientes por esta última firma, Copec aseguró que se vulneraron los protocolos de seguridad.
“Como consecuencia de dicha vulneración, los autores de este ilícito lograron acceder a información estratégica de uso restringido de empresas clientes de Movistar o como es el caso de COPEC (…)”, se lee en el libelo.
En la documentación agregada a la tramitación judicial, la compañía adjuntó dos pantallazos con imágenes donde el cibercriminal se jactaba de la información robada, como también los nombres de quienes -presuntamente- pagaron para acceder a lo sustraído.
Vea cómo se jactaba Devil Dexter
En este sentido, Copec solicitó al Ministerio Público que obtenga una copia de la indagatoria interna que realizó Movistar-Telefónica sobre la vulneración de seguridad. Al mismo tiempo, que a través de la Unidad de Cooperación Internacional (Uciex) del organismo perseguidor, obtenga los datos referidos al incidente a la multinacional BMC Remedy.
Este medio consultó a la compañía. Al respecto, informó que apenas conocieron el data leak a la empresa de telefonía, “operaron todos nuestros protocolos de seguridad”.
A diferencia de lo señalado en la presentación, aseveraron que no habría existido “violación de datos a nuestros sistemas propios, sino a los de un prestador de servicios externo”, luego de tres revisiones.
A su juicio se trató de un caso de extorsión “por la supuesta captura de datos vinculados a nuestra empresa”.
“Creemos que estas amenazas deben ser investigadas por el Ministerio Público para detener su propagación e identificar a los responsables”, concluyen.
No perseverar
Aún cuando se trata de un caso distinto, recientemente la Fiscalía Centro Norte resolvió no perseverar en una investigación por el masivo ataque que sufrió a fines de 2020 Banco Estado y que afectó a miles de clientes.
El perseguidor Jaime Retamal, para justificar su determinación, indicó que la indagatoria estaba agotada. En los círculos de abogados penalistas, las críticas arrecian por la baja capacidad de resolución que tiene la fiscalía para delitos informáticos.
Lea la decisión de la fiscalía
Desde la entidad defienden su labor, señalando que cuando los ataques son realizados por cibercriminales de alta preparación, que operan desde el extranjero y escondiendo sus direcciones, resulta complejo detectarlos. Menos aún ubicarlos físicamente para solicitar, eventualmente, su extradición.
Hay que recordar que la Ley Orgánica del Ministerio Público, le entrega a este último la facultad de no continuar un caso cuando no se ha logrado reunir evidencia para sostener una acusación.
Para esta indagatoria, en todo caso, los abogados de la entidad financiera solicitaron la reapertura.
