Noticias
BancoEstado, última víctima de REvil con Sodinokibi
Si no eres de Chile o tienes alguna relación con el país, es posible que no conozcas BancoEstado. En tal caso, debes saber que se trata de una de las principales entidades bancarias del país. Fundado en 1953, durante la primera década de este siglo tuvo un papel crucial en el crecimiento de los pagos mediante tarjeta de débito, empujando el despegue de este medio de pago, así como la entrada en el sistema bancario de muchos ciudadanos chilenos que hasta entonces no habían entrado en el mismo.
Durante este fin de semana, los empleados de BancoEstado comprobaron que no podían acceder con normalidad a sus sistemas, un problema que se ha prolongado durante varios días, forzando a que sus oficinas no pudieran abrir ayer lunes, así como impidiendo la operativa administrativa normal de la entidad. El origen del problema, tal y como informa ZDNet, es un ataque del grupo REvil que habría secuestrado la infraestructura de la entidad con Sodinokibi, tal y como habrían informado a dicho medio fuentes cercanas a la investigación.
El incidente, que todavía se está investigando, habría tenido su origen en un documento de Office malicioso recibido y abierto por un empleado. Se cree que el archivo malicioso instaló una puerta trasera en la red del banco. Esto debió ocurrir en algún momento de la semana pasada, puesto que los investigadores creen que fue entre la noche del viernes y el sábado cuando REvil empleo dicho backdoor para acceder a la red de BancoEstado e inició la exfiltración y el cifrado de los datos de la entidad.
Cuando los empleados detectaron los problemas para acceder a los sistemas, BancoEstado denunció el incidente a la policía chilena y, solo unas pocas horas después, el gobierno chileno envió una alerta de ciberseguridad a nivel nacional advirtiendo sobre una campaña de ransomware dirigida al sector privado. Se desconoce si esto se debe a que tuvo conocimiento de alguna otra acción que afectara a empresas chilenas o, por el contrario, fue una medida de prevención para evitar que el incidente de BancoEstado pudiera reproducirse.
En un primer momento BancoEstado confiaba en recuperarse rápidamente del ataque sin que éste llegara a trascender públicamente. Sin embargo, a medida que avanzó la investigación, se comprobó que el ransomware había cifrado la gran mayoría de los servidores internos de la entidad bancaria, así como un gran número de los ordenadores de trabajo de su personal, razón por la cual finalmente se vieron obligados a mantener cerradas sus oficinas ayer.
Afortunadamente, quizá por la diligencia en la actuación por parte de la entidad, los sistemas de los que dependen tanto los cajeros automáticos como los servicios de banca online y la página web de BancoEstado no se habrían visto afectados por el ataque y se han mantenido operativos todo este tiempo. Así mismo, según informa la entidad, la seguridad de las cuentas de sus usuarios no se ha visto comprometida en ningún momento, algo que seguramente haya sido verificado por muchos de ellos a través de los servicios online del banco.
REvil es uno de los pocos grupos que, del mismo modo que el grupo Maze, mantiene una web en la que filtra archivosobtenidos en sus ataques en los casos en los que la víctima no quiera pagar. Hasta las últimas horas el nombre de BancoEstado no está en el sitio de la filtración, lo que sugiere que el banco pagó la demanda de rescate o aún está negociando con el grupo.
Imagen: Seba Flores