Reconoce Lotenal robo de datos por parte de hackers

CIUDAD DE MÉXICO.-La Lotería Nacional (Lotenal) dio a conocer que hace dos semanas sufrió una sustracción de información del área administrativa ejecutada por delincuentes que operan a nivel internacional.

Después de darse cuenta del ciberataque, Lotenal dio aviso a la Policía Cibernética y ha tenido la asesoría de la Coordinación de Estrategia Digital Nacional (CEDN) de Presidencia de la República, así como de expertos en ciberseguridad.

"Cabe destacar que se ha iniciado la gestión de un programa de modernización de los sistemas informáticos y se cuenta con respaldo de la información en todas las áreas", destaca la institución en un comunicado.

El jueves, el grupo de ciberdelincuentes que ataca con el ransomware Avaddon informó que había secuestrado información de Pronósticos Deportivos de Lotenal y daba 10 días para que la Lotería pagara el rescate.

Por otra parte, Lotenal asegura que los concursos y sorteos no se vieron afectados y operan con normalidad, además agregó que el pago de premios está garantizado.

¿Cómo opera Avaddon?

El ransomware como amenaza ha evolucionado y ahora involucra ataques dirigidos, en los cuales los ciberdelicuentes piden pagos más altos y usan mecanismos más sofisticados al secuestrar equipos y sistemas de empresas y gobiernos.

Martina López, investigadora de seguridad de Eset, explica en un análisis que Avaddon, grupo que atacó a Pronósticos Deportivos de la Lotería Nacional, es un ransomware como servicio (RaaS, por sus siglas en inglés) y cuenta con una sólida reputación en los mercados negros.

Esto significa que terceros contratan a los ciberdelincuentes para determinados servicios y objetivos. "Si bien los blancos de ataque más comunes en su corto periodo de vida han sido pequeñas y medianas empresas de Europa y Estados Unidos, algo que llamó nuestra atención es la cantidad de afectados por este ransomware en América Latina", destaca López.

En Brasil, Perú, Chile y Costa Rica se ha dado cuenta de víctimas de Avaddon en los últimos meses, desde organismos gubernamentales hasta compañías de industrias en el sector salud o en el de telecomunicaciones.

En enero de 2021, la cantidad de empresas afectadas por Avaddon eran 23, y al menos cinco se encontraban en América Latina.

Rescatar Lotenal de ciberataque costaría 800 mil pesos

Los ciberdelincuentes que usan Avaddon, ransomware que atacó a Pronósticos Deportivos de la Lotería Nacional (Lotenal), piden 40 mil dólares, alrededor de 800 mil pesos, en promedio como rescate por la información que roba.

"Los grupos que operan el ransomware Avaddon son conocidos por apuntar a grandes organizaciones. Se sabe que los ciberdelincuentes personalizan las demandas de rescate en función de los ingresos anuales de sus víctimas", de acuerdo con Beforecrypt, servicio de recuperación de ransomware.

Los rescates de Avaddon generalmente se pagan con Bitcoin, y muchos de los métodos para adquirir esa criptomoneda es a través de PayPal o tarjetas de crédito que aplican una cuota de 10%, explica la empresa.

Las estadísticas de Beforecrypt indican que los montos de rescate van desde 5 mil dólares, aproximadamente 100 mil pesos, hasta 54 mil dólares, es decir alrededor de un millón de pesos.

La firma de ciberseguridad señala que el tiempo que Avaddon mantiene secuestrada la información suele ser superior a la de otros ataques de ransomware (secuestro de datos) normales y el proceso manual de comunicación con los atacantes puede retrasar aún más el tiempo de respuesta.

Avaddon maneja 10 días en promedio, como el periodo que dio a Lotenal, mientras que otros ciberdelincuentes dan seis días.

El jueves por la noche se reveló el ataque. Luego de no haberse referido al incidente, Lotenal informó ayer que hace dos semanas sufrió una sustracción de información del área administrativa ejecutada por delincuentes que operan a escala internacional.

Después de darse cuenta del ciberataque, se dio aviso a la Policía Cibernética y ha tenido la asesoría de la Coordinación de Estrategia Digital Nacional (CEDN) de Presidencia de la República, así como de expertos en ciberseguridad, destacó.

"Para muchas organizaciones, el tiempo de inactividad es la parte más cara de un incidente de ransomware, otro efecto secundario negativo de una violación de datos radica en el daño a su reputación", dice Beforecrypt.

Sobresale que en 68% de los casos el ataque se originó por phishing, es decir que a través de correos electrónicos falsos se roba información de los usuarios.

En 22% de los casos se trata de escritorios remotos, de manera que el atacante accede a los sistemas desde una computadora, y 10% se debe a vulnerabilidades de seguridad.

Luis Fridman, experto en ciberseguridad y director general de Avantika, explica que los ciberdelincuentes aprovechan la vulnerabilidad de quienes trabajan y se conectan desde casa, así como de las contraseñas débiles de sitios de internet de los corporativos, donde obtienen correos electrónicos de los directivos.

"Tras un tiempo de observar cómo se comunican los directivos, suplantan la identidad del correo del director y entonces envían ‘a nombre del director’ un correo a las áreas de pagos, compras o contabilidad solicitando se hagan transferencias a nuevos proveedores", detalla Fridman.

Por otra parte, comenta que las empresas más atacadas son aquellas que tienen entre 20 y 200 empleados, pues generalmente carecen de muchos filtros organizacionales y de seguridad en sus redes.

"Tan sólo de enero de 2020 a lo que va de 2021, este tipo de ataque ha generado pérdidas de entre 500 mil a 700 mil pesos anuales, siendo una práctica de ataque que únicamente en este periodo ha crecido 300%", coincide Friedman con los datos de Beforecrypt.