Ataque de ransomware a IFX Networks y el efecto

dominó
IFX Networks es una empresa americana con amplia experiencia en el mercado de las Telecomunicaciones . Su
presencia se extiende a más de 17 países de Latinoamérica y cuenta diversos datacenters distribuidos
estratégicamente en toda la región Norteamérica, Centroamérica y Sudamérica, ofreciendo soluciones de
internet dedicado, nube, seguridad, servicios profesionales y respaldo para aplicativos empresariales, tanto para
el ámbito privado como a instituciones públicas.

Actualmente la empresa está en el centro de la noticia por un ciberataque recibido puntualmente a contar del día
martes 12 de septiembre, mediante la técnica del ransomware, que en palabras simples es un software que atacó
varias de sus máquinas virtuales en Colombia. Se trata de un archivo que invade los dispositivos como un
virus y se dispersa por sus archivos, encriptando la información y haciéndola inaccesible y es la forma usual
utilizado por delincuentes informáticos para exigir un pago a cambio de restablecer la normalidad. Si a esto se
añade el acceso a información, muchas veces con datos privados, estratégicos y confidenciales, también es usual
que vendan esta información por subasta en la dark web, obteniendo lucro también por esa vía.

El problema con IFX, es que también es MSP (Proveedor de Servicios Administrados) es una empresa que
ofrece servicios de tecnología de la información (TI) a otras empresas. Estos servicios pueden incluir la
administración y el mantenimiento de redes, aplicaciones, infraestructura y seguridad. Los MSP entregan sus
servicios a través de soporte continuo y administración activa en las instalaciones del cliente, en los datacenters
del mismo MSP.

Desde un punto de vista de ciberseguridad, esto genera que no tan solo la infraestructura de IFX está
comprometidas, sino que otras organizaciones (clientes de IFX) podrían ser víctima de nuevos ataques en
consecuencia de este incidente, lo que se conoce también como, Ataque a la Cadena de Suministro o
#SupplyChainAttack, según comenta Germán Fernández en su cuenta X.

Uno de los primeros comunicados de la empresa, reconocían en este tipo de ataques, e informó que la nube que
provee para servicios de telecomunicaciones «con operaciones en 17 países de la región, sufrió un ataque de
ciberseguridad externo tipo Ransomware afectando a alguna que sus máquinas virtuales”. Añadió que “la
compañía se encuentra trabajando aún ante la incidencia, y precisa que no ha evidenciado vulnerabilidades en la
información, privacidad y seguridad de los datos alojados en la nube, dado que estos están protegidos con
protocolos de seguridad de información”.

Efectos en Colombia

Justamente el problema radica en los efectos a terceros respecto a la incidencia de seguridad que afecta a IFX
siendo Colombia uno de los países más afectados.

El gobierno de Colombia ha catalogado esta situación como uno de los mayores ataques a las
infraestructuras en dicho país en los últimos años, puesto que se ha visto afectado más de 50 entidades del
Gobierno nacional, superintendencias y del poder judicial.

Servicios de acceso a la salud a través de la Superintendencia de Salud y la mitad de los sistemas que permiten
que funcione la justicia en Colombia están sin servicios digitales.

En caso de salud, se vieron afectadas en sus sitios web del Ministerio de Salud y la Superintendencia Nacional
de Salud. Debido a que los datacenters de IFX Networks se encuentran alojadas las aplicaciones asociadas a la
prestación de servicios derivados de la atención a nivel nacional, presentan fallas y no es posible acceder a ellas.
El poder Judicial colombiano también se vio perjudicada por esta situación, así como los miles de los
ciudadanos ingresan a sus páginas para enterarse de procesos y diferentes servicios.

Tal como se informa, el Consejo Superior de la Judicatura informó que la mayoría de las páginas funcionaron
durante la contingencia. No así la firma virtual de los jueces ni la radicación de tutelas.

“La Unidad de Informática de la Dirección Ejecutiva de Administración Judicial trabaja en el restablecimiento

del portal web y algunos sistemas de la Rama Judicial, los cuales han presentado fallas en los servicios que
presta el sitio web. Estaremos informando cuando se normalice el servicio”, indicó.

Otras entidades afectadas por la acción de los ciberdelincuentes son la Superintendencia de Industria y
Comercio, el Ministerio de Cultura y el Museo Nacional de Memoria Histórica.

Situación en Chile

En nuestro país, el hecho ocurrido a IFX se evidenció porque el sitio web de chilecompra quedó inaccesible, y
por tanto, todos los trámites asociados a ella, desde el día 12 de septiembre, cuando, en una declaración pública,
explicita que esta caída de sus servicios se motivaron por los efectos de los problemas de su proveedor de
tecnología IFX.

La indisponibilidad de servicios de ChileCompra ha generado mucha preocupación, sobre todo por las
licitaciones que tienen plazos de cierre, adjudicación y negocios asociados a la misma.

De hecho, el senador Kennet Pugh, en hora de incidentes, solicitó oficios al ministerio de Hacienda para que
explicara la situación en la que se encuentra ChileCompra y por otro lado, al ministerio del Interior, para saber
desde cuando se reportó a CSIRT del gobierno la falla, ante lo cual ellos dieron aviso de advertencia sobre la
situación de la empresa IFX, considerando que según se puede calcular, cada día que está el sitio caído, significa
más de US$2.000.000 perdidos para el país.

El video de la intervención está disponible en este link.

Otro organismo chileno afectado por consecuencias de ataque informático es el municipio de Providencia,
puesto que sus plataformas de servicios y trámites municipales, servicios y pagos online no se encuentran
disponibles.

A esto se suma una gran cantidad de empresas nacionales que utilizaban los servicios de la empresa IFX y que
actualmente no tienen acceso a estas aplicaciones y a los archivos o datos de las organizaciones, a pesar de que
la versión oficial es que no existiría compromiso de su información.

Incluso, a propósito del efecto de caída de múltiples sitios, hasta Domino’s Pizza está caído y no es posible
acceder a comprar online por esa vía.

Algunas reflexiones

Es importante considerar que este hecho evidencia distintas situaciones que son necesarias a analizar.

En primer lugar, debemos tener en cuenta que las empresas que son proveedores de Servicios Administrados,
blancos de ataques a cadena de suministros, cuando tienen una gran participación o que presten servicios a
organismos estratégicos del mundo público o privado, deberían ser considerados infraestructura crítica o
servicios esenciales y regularlos desde ese punto de vista para exigir o establecer capas de seguridad mayores,
debido a la relevancia de los efectos en caso de ser ciberatacadas (tal como ocurrió en este caso).

Por otro lado, existe discusión sobre la relación o responsabilidad de las instituciones públicas y sus contratos
con privados para mantener la información dentro del territorio nacional o la continuidad operativa de sus
servicios 24/7, existiendo orientaciones de la Contraloría General de la República en ese sentido.
Se suma estas circunstancias a la discusión en el congreso del proyecto marco de ciberseguridad e
infraestructura crítica en la que se van a considerar situaciones de esta envergadura, sobre todo por los riesgos,
amenazas, avances y consecuencias de los delitos informáticos.

Finalmente, este tipo de situaciones no es nueva. Ya a fines del año pasado escribíamos la columna «Desafíos y
tendencias en ciberseguridad para el 2023» en las cuales mencionábamos los peligros y preocupaciones por
avances de ataques con ransomware y específicamente ataques a Cadenas de suministro, por lo que no
podríamos considerar a todo evento un caso fortuito o fuerza mayor.

Por último, es relevante tener siempre en consideración la necesidad de contar con capital humano capacitado, a
nivel técnico y profesional, para anticiparnos a estos escenarios. Sin embargo, tan importante como prevenir, es
tener protocolos de reacción y contingencia frente a ataques de esta naturaleza.

¿Qué pudo causar el ataque cibernético a IFX Networks?

El pasado 12 y 13 de septiembre IFX Networks, empresa de telecomunicaciones y plataformas digitales, fue

víctima de un ataque cibernético que afectó a más de 760 entidades públicas y privadas en países como
Colombia, Chile y Panamá.

De acuerdo con las primeras investigaciones, detrás del ataque estaría el grupo de delincuentes informáticos
conocido como RansomHouse, que se dedica al secuestro y encriptación de información con el fin de solicitar
rescates a cambio de grandes sumas de dinero.

En este artículo recapitulamos un poco lo ocurrido, qué causas pudieron facilitar este ataque cibernético y
algunas recomendaciones a tener en cuenta para evitar en lo posible la materialización de un ataque como estos.

Ciberataque a IFX Networks

Esta empresa de servicios de telecomunicaciones y almacenamiento de datos en la nube, con operaciones en 17

países de Latinoamérica, recientemente sufrió (12 de septiembre de 2023) una afectación a algunas de sus
máquinas virtuales a causa de un ataque cibernético externo de tipo ransomware, es decir, un malware que
imposibilita el uso de los equipos y sistemas que infecta.

A raíz de este ataque alrededor de 760 compañías latinoamericanas, entre públicas y privadas, se vieron
afectadas. En Colombia, por ejemplo, algunas de las entidades gubernamentales que presentaron bloqueos en sus
sitios web fueron la Superintendencia de Industria y Comercio, la Superintendencia de Salud, el Ministerio de
Salud y Protección Social y el Consejo Superior de la Judicatura.

En el caso de esta última entidad, como plan de contingencia ante lo ocurrido, suspendió los términos de varios
procesos con el fin de evitar su prescripción; mientras que el Ministerio de Salud reconoció que más de 55
millones de datos se vieron afectados.

En Chile, la plataforma mercadopublico.cl, que administra las compras del estado, fue una de las afectadas por
el ciberataque a IFX Networks; mientras que en Panamá los sitios web de diarios como Crítica, Panamá
América y Día a Día (de la casa editorial Panamá América) tuvieron inconvenientes por el mismo ataque.
Frente al ataque sufrido, IFX Networks explicó que una vez fue detectado por su Centro de Operaciones de
Ciberseguridad actuaron oportunamente para activar los protocolos de ciberseguridad establecidos por la
compañía para limitar el número de sistemas afectados y aseguró que luego del trabajo de sus equipos
multidisciplinarios, los portales web de sus clientes funcionan con normalidad.

Sin embargo, para el gobierno de Colombia esto no fue suficiente, por eso, según informó el Ministerio de
Tecnologías de la Información y las Comunicaciones demandará a IFX Networks por los daños ocasionados a
raíz del ciberataque de ransomware que afectó a múltiples entidades. De acuerdo con el ministro, Mauricio
Lizcano, la empresa “faltó a su compromiso de la seguridad cibernética”.

Posibles causas del ciberataque

Cuando una organización es víctima de un ciberataque, además de activar un plan de contingencia y de

recuperación frente a este, es clave conocer y entender qué elementos, vulnerabilidades o fallas pudieron
haber facilitado su materialización, es decir, las posibles causas.

En este caso de IFX Networks, expertos en ciberseguridad señalan algunas como:

 Empresa atractiva para los ciberdelincuentes. Por tratarse de una empresa de telecomunicaciones y
almacenamiento de una gran cantidad de datos de todo tipo de clientes, la hacen ser un objetivo de ataque para
los cibercriminales, que ven en esta una fuente de dinero al exigir posibles rescates por la información que
secuestran.

 Vulnerabilidades en los sistemas de seguridad cibernética.

 Uso de diferentes herramientas y estrategias por parte de los cibercriminales para hallar brechas de seguridad y
aprovecharlas para atacar.

Como ha ocurrido con otras organizaciones que han sufrido ataques cibernéticos, este caso reciente debe servir
de alerta para que todas las empresas, independientemente del sector o tamaño, inviertan de verdad en
ciberseguridad, que no lo vean como un gasto sino como una inversión que les va a permitir proteger uno de
sus activos más valiosos: la información y al hacerlo, proteger su continuidad y su reputación.

Recomendaciones para evitar un ciberataque

Cada vez más los ataques informáticos son el pan de cada día, empresas públicas y privadas de todo el mundo
sufren por cuenta de los cibercriminales. Y aunque nadie está exento de ser víctima de un ataque de estos, sí es
importante tomar las medidas necesarias para prevenirlo lo más que se pueda y mitigar sus impactos.

Algunas recomendaciones a poner en práctica son:

 Contar con sistemas de ciberseguridad sólidos.

 Tener políticas de control de accesos y de contraseñas seguras.

 Realizar backups (copias de seguridad) de la información de manera periódica.

 Capacitar y concientizar frecuentemente a los empleados de la empresa, generalmente el recurso humano es el

eslabón más débil de la cadena.

 Conocer y gestionar oportunamente los diferentes tipos de riesgos a los que están expuestos los activos de
información de la organización. A través de nuestro software ISMS podemos acompañarte a hacerlo de una
manera más simple y eficiente, crea tu cuenta gratis y conoce más.
  Tener precaución y siempre verificar el remitente de los correos, no abrir enlaces sospechosos y al navegar por
internet hacerlo de forma segura.

IFX sufre ataque de ransomware en Colombia

afectando a Chilecompra
TrendTIC

| 12 septiembre, 2023 at 22:56

Santiago, 12 de septiembre de 2023 – Durante la tarde de hoy IFX informó que algunas de sus máquinas
virtuales de Colombia habían sido afectada por un ransomware, generando impacto incluso en algunos de sus
clientes en Chile.

Desde IFX Networks señalaron que identificaron “un evento de un Ransomware en algunas de nuestras
máquinas virtuales de Colombia. Hasta el momento no se ha evidenciado un compromiso a la integridad de los
datos ni de la información de sus clientes, proveedores y sobre todo en Chile, y demás grupos relacionados”.

Cabe señalar que IFX Networks con matriz en Colombia, a comienzo de este año informó de la adquisición de
Netglobalis, empresa chilena proveedora de datacenter y servicios TI, con amplia presencia en el mercado
chileno, con clientes tanto en el sector privado como público y que también ha visto afectado sus servicios por el
incidente.

En la información enviada a clientes, la compañía indicó que “el protocolo de seguridad establecido por la
compañía para este tipo de incidentes fue activado de inmediato para mitigar el potencial impacto del ataque,
también ha designado un equipo técnico especializado que continuará monitoreando la situación e
implementando las medidas necesarias para proteger los sistemas y la información de sus clientes”.

Uno de los afectados por la caída de los servicios, fue el portal chileno de compras públicas, es así, que urante la
tarde Chilecompra emitió un comunicado informando que “debido a un problema del proveedor de
infraestructura tecnológica IFX Networks que afecta a todos sus clientes en Latinoamérica, la plataforma de
compras públicas www.mercadopublico.cl, no se encuentra actualmente disponible”.
Por su parte el Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior, CSIRT
de Gobierno, generó una “Alerta de Seguridad de la Información” advirtiendo sobre el incidente, recomendando
las empresas que tienen conexiones con IFX, que de todas formas implementen las siguientes medidas de forma
preventiva:

 Forzar un escaneo completo con su antivirus.

 Revisar los logs del sistema operativo
 Verificar que no exista algún software sospechoso en sus sistemas.
 Chequear las cuentas existentes en su servidor.
 Auditar el rendimiento de procesamiento y discos duros.
 Revisar si existe alguna alteración en la información o fuga de datos de la empresa y sus bases de datos.
 Auditar su tráfico de red.
 Conservar un registro actualizado de sus sistemas para garantizar un monitoreo efectivo

Más de dos millones de procesos judiciales se encuentran paralizados en Colombia. Chile ha sufrido una caída
de su plataforma de compras Mercado Público. Estas son algunas de las consecuencias que están sufriendo
servicios públicos y privados de varios países debido a un ciberataque ransomware contra la compañía IFX
Networks, empresa proveedora de soluciones de tecnología y comunicaciones que está presente en 17 países
de América.

La compañía lanzó un comunicado oficial el pasado 12 de septiembre en el que informaba que ese día, a las 5:00
am, “la nube del proveedor multinacional para servicios de telecomunicaciones, IFX Networks, con operaciones
en 17 países de la región, sufrió un ataque de ciberseguridad externo tipo ransomware, afectando a algunas de
sus máquinas virtuales”.

Por el momento no han desvelado qué tipo o familia de ransomware está detrás del ataque, aunque algunos
medios han apuntado a Ransom House, conocido por el ciberataque al Hospital Clínic de Barcelona. La
institución sanitaria sufrió un ataque de ransomware, negándose a pagar el rescate. Finalmente, el grupo filtró
toda la información sustraída.

Ad

Una captura de pantalla, supuestamente del mensaje de ransomware lanzado por los cibercriminales, muestra
que el ataque estaría “firmado” por este grupo, en el que se incluye una imagen del popular personaje Mario
Bross.

Supuesto mensaje
que circula en chats (Fuente: blog.segu-info.com.ar)

El comunicado, firmado por “Gerencia de Comunicaciones”, explica que la compañía se encuentra trabajando
ante la incidencia, y “precisa que no ha evidenciado vulnerabilidades en la información, privacidad y seguridad
de los datos alojados en la nube, dado que estos están protegidos con protocolos de seguridad de la
información”.

Colombia parece ser por el momento el país en el que más ha impactado el ataque. Se encuentran afectadas la
Rama Judicial, el Ministerio de Salud o la Superintendencia de Industria y Comercio. En total, son 34 las
instituciones gubernamentales afectadas en el país. El Gobierno de Colombia ha convocado un puesto de mando
unificado para resolver el incidente provocado por el ciberataque, según reporta el medio colombiano El
Tiempo. Los sitios web de estas entidades permanecen inaccesibles.

El ataque también ha afectado al sector privado. El Ministerio TIC colombiano ha reportado que el
ciberataque ha perjudicado a por lo menos 762 compañías de Latinoamérica.
En Panamá, la editorial Panamá América ha visto cómo sus diarios se quedaban fuera de servicio por el
ciberataque.

https://x.com/PanamaAmerica/status/1702435196522373404?s=20

En Chile, uno de los principales afectados ha sido la plataforma de compras públicas, cuya web muestra en estos
momentos un mensaje advirtiendo de que no está disponible debido al incidente de ciberseguridad.

El CSIRT de Chile emitió asimismo un comunicado explicando que “el Equipo de Respuesta ante Incidentes de
Seguridad Informática del Ministerio del Interior (CSIRT), tomó conocimiento de un comunicado dado a
conocer por IFX Networks (propietaria en Chile de la firma Netglobalis)”.

Recomendaciones de seguridad a las empresas y entidades afectadas

Aunque también se hacen eco de que la información de los clientes parece no haber sido afectada, el CSIRT
chileno recomienda a las empresas implementar una serie de medidas de manera preventiva, que pasan por
forzar un escaneo de las soluciones antimalware, revisar los logs del sistema operativo, verificar que no exista
software malicioso sospechoso, chequear cuentas existentes en el servidor, auditar el rendimiento de los discos
duros, revisar si existe alguna alteración en la información o fuga de datos y auditar el tráfico de red.

Recuerdan asimismo la relevancia de mantener una buena política de copias de seguridad que “deben ser
almacenadas en diferentes lugares y medios, incluyendo una copia fuera de línea o de la institución”.

Quién es IFX Networks, la víctima del ciberataque de ransomware

Según explica la compañía en su sitio web, IFX Networks es una compañía americana presente en más de 17
países, con más de 23 años de experiencia en la industria de las telecomunicaciones. Se denominan el
“proveedor número uno de servicios gestionados de América Latina, y el número 20 a nivel global”. Cuentan
con 16 centros de datos y trabajan con “4.000 compañías para desarrollar más de 20.000 soluciones para sus
clientes”.

Estamos ante un ataque a la cadena de suministro, mediante el cual las empresas o instituciones se ven
gravemente afectadas por un incidente de seguridad o ciberataque a través de uno de sus proveedores
informáticos.

En 2021 se produjo uno de los ataques más graves hasta la fecha, en el cual un ciberataque de ransomware a
Kaseya, compañía estadounidense de gestión de software TI, afectó a sus más de 40.000 clientes a nivel global.

Actividades:
Investigación:

1. Investigar los detalles del ataque de ransomware a entidades gubernamentales caso

“IFX Networks”.
2. Identificar las vulnerabilidades y los riesgos que permitieron el ataque.
Análisis:

A. Analizar las medidas que las organizaciones pueden tomar para protegerse de los
ciberataques.
B. Proponer recomendaciones para mejorar la seguridad de los sistemas
informáticos. C. Presentación:
D. Presentar los resultados de la investigación y el análisis en un formato académico.

Pautas:

A. La investigación debe basarse en fuentes primarias y secundarias.

B. El análisis debe ser objetivo y fundamentado en evidencia.
C. La presentación debe ser clara y concisa.

Evaluación:

La actividad será evaluada en función de la calidad de la investigación, el análisis y la

presentación.

A. Ejemplo de preguntas para la investigación:

• ¿Qué entidades gubernamentales fueron afectadas por el ataque?

• ¿Cómo accedieron los atacantes a las redes de las entidades afectadas?
• ¿Qué tipo de ransomware se utilizó en el ataque?
• ¿Qué impacto tuvo el ataque

en las entidades afectadas? B.

Ejemplo de preguntas para el

análisis:

• ¿Qué vulnerabilidades permitieron el ataque?

• ¿Qué riesgos existen para los sistemas informáticos?
• ¿Qué medidas pueden tomar las organizaciones para protegerse de los
ciberataques?

C. Ejemplo de recomendaciones:

• Implementar políticas y procedimientos de seguridad sólidos.

• Mantener los sistemas informáticos actualizados.
• Realizar copias de seguridad regulares.
• Capacitar a los empleados sobre seguridad informática.
Investigación:

 El ataque de ransomware afectó a múltiples entidades gubernamentales en

Colombia, Chile y Panamá. En Colombia se vieron afectadas la
Superintendencia de Salud, el Ministerio de Salud, el Consejo Superior de la
Judicatura, entre otras.
 Los atacantes aprovecharon vulnerabilidades en los sistemas de IFX Networks,
proveedor de servicios de telecomunicaciones y TI, para acceder a las redes de
sus clientes.
 Utilizaron un ransomware llamado "RobinHood" para encriptar los archivos y
exigir rescate.
 El ataque provocó interrupciones significativas en los servicios digitales de las
entidades afectadas. Algunas tuvieron que apagar sus sistemas.

Análisis:

 Las vulnerabilidades sin parchear en los sistemas de IFX Networks permitieron

el acceso inicial de los atacantes.
 La falta de segmentación de red y backups incrementó el impacto.
 Se necesitan mejoras en los controles de seguridad, como autenticación
multifactor, segmentación de red, monitoreo, etc.
 Es clave desarrollar planes de respuesta a incidentes y continuidad del negocio.

Preguntas para la investigación

 ¿Cuáles fueron las principales entidades gubernamentales afectadas en los

diferentes países?
 ¿Cómo lograron ingresar inicialmente los atacantes a los sistemas de IFX
Networks? ¿Qué vulnerabilidades explotaron?
 ¿Qué variantes o familias de ransomware se utilizaron en este ataque?
 ¿El ransomware sólo cifró los archivos o también exfiltró datos?
 ¿Qué pedían los atacantes como rescate para entregar la llave de descifrado?
 ¿Cuántos servidores, equipos o infraestructura se vieron afectados por el
ransomware?
 ¿Durante cuánto tiempo estuvieron fuera de operación los servicios digitales de
las entidades afectadas?
 ¿Lograron restablecer el acceso a los archivos cifrados o tuvieron que
reconstruirlos desde cero?
 ¿Qué tan efectivos fueron los protocolos de respuesta a incidentes de IFX
Networks?
 ¿Hubo filtración o publicación de datos confidenciales robados en este ataque?
 ¿Se conocen o hay indicios de quiénes fueron los perpetradores del ataque?
 ¿Qué impacto económico y operativo tuvo el incidente para las organizaciones?

Preguntas para el análisis.

 ¿Qué vulnerabilidades específicas en la configuración de seguridad permitieron

que ocurriera el ataque?
  ¿Tenían un monitoreo adecuado de la red para detectar amenazas?
 ¿Estaban aplicando correctamente parches y actualizaciones críticas?
 ¿Tenían segmentada apropiadamente la red para limitar la propagación?
 ¿Contaban con autenticación multifactor en accesos privilegiados?
 ¿Con qué frecuencia realizaban copias de seguridad y pruebas de restauración?
 ¿Las copias de seguridad eran inmutables y estaban desconectadas de la red?
 ¿Tenían implementados controles de seguridad para prevenir ejecución de
malware?
 ¿Estaba debidamente concienciado y capacitado el personal en seguridad
informática?
 ¿Tenían un plan de respuesta a incidentes y protocolos establecidos?
 ¿Cómo impactó la tercerización de servicios en la cadena de suministro?
 ¿Qué riesgos y amenazas persisten para las organizaciones afectadas y
similares?
 ¿Qué lecciones aprendidas dejan este incidente para mejorar la ciberseguridad?
 ¿Cómo se podría evaluar y auditar la postura de seguridad para prevenir futuros
ataques?

Ejemplo de recomendaciones

 Aplicar parches y actualizaciones de seguridad tan pronto estén disponibles.

 Segmentar apropiadamente las redes y monitorear el tráfico entre segmentos.
 Implementar autenticación multifactor para accesos críticos.
 Realizar backups regulares y probar la restauración.
 Desarrollar planes de respuesta a incidentes y continuidad del negocio.
 Auditar periódicamente la postura de seguridad.

Aquí hay un bosquejo de una posible presentación académica de los resultados de la

investigación y análisis del caso IFX Networks:

Título: Análisis del ataque de ransomware a IFX Networks

I. Introducción

 Contextualización del caso

IFX Networks es una empresa proveedora de servicios de telecomunicaciones y

tecnologías de la información con presencia en 17 países de Latinoamérica.

El 12 de septiembre de 2022, IFX Networks sufrió un ciberataque dirigido

mediante ransomware que afectó algunas de sus máquinas virtuales. Este
incidente tuvo un efecto dominó, impactando los servicios digitales de más de
700 entidades clientes de IFX Networks en Colombia, Chile y Panamá,
 incluyendo organismos gubernamentales, empresas privadas y medios de
comunicación.

Entre los organismos gubernamentales perjudicados se encontraban entidades

colombianas como la Superintendencia de Salud, el Ministerio de Salud, el
Consejo Superior de la Judicatura y la Superintendencia de Industria y
Comercio. En Chile, la plataforma ChileCompra que gestiona las compras
públicas también se vio afectada.

El ataque provocó interrupciones significativas en los servicios digitales, website

y comunicaciones de las entidades impactadas, algunas de las cuales tuvieron
que apagar completamente sus sistemas tecnológicos. Si bien IFX Networks
activó protocolos de respuesta, el incidente puso en evidencia vulnerabilidades
en su seguridad.

 Objetivos del análisis

Investigar en detalle cómo ocurrió el ataque, identificar las fallas de seguridad

subyacentes, y proponer recomendaciones para que organizaciones como IFX
Networks y sus clientes mejoren su postura de ciberseguridad.

II. Investigación del ataque

 Descripción de IFX Networks

IFX Networks es una empresa proveedora de servicios administrados de

tecnología de la información fundada en 2005 con sede en Miami, Estados
Unidos. Cuenta con presencia en 17 países de Latinoamérica.

Ofrece servicios de telecomunicaciones, hosting en la nube, seguridad

informática y soporte para aplicaciones empresariales. Entre sus clientes se
encuentran grandes empresas privadas, entidades gubernamentales, instituciones
financieras y medios de comunicación en la región.

Posee varios centros de datos distribuidos estratégicamente en Norte, Centro y

Sudamérica. En Colombia son el segundo proveedor de cloud más grande.
Igualmente tienen una amplia infraestructura de redes para proveer conectividad.

Cuenta con alrededor de 1000 empleados en la región. En el 2021 tuvo ingresos

por 300 millones de dólares, posicionándose como un actor relevante en el
sector tecnológico latinoamericano.

Ofrece sus servicios bajo un modelo de outsourcing, administrando la

infraestructura tecnológica y aplicaciones de sus clientes de manera remota. Esta
característica como proveedor administrado de servicios (MSP) fue un factor
clave en el impacto del ataque.
  Detalles del ataque (fecha, técnicas, ransomware utilizado, impacto en
entidades)

Detalles del ataque

Fecha:

 Inicio del ataque: 12 de septiembre de 2022

 Detección y respuesta: 13 de septiembre de 2022
 Restablecimiento de servicios: Pendiente al momento del análisis

Técnicas:

 Ransomware RobinHood
 Aprovechamiento de vulnerabilidades sin parchear
 Movimiento lateral en la red
 Exfiltración de datos
 Encriptado de archivos e infraestructura

Ransomware:

 Familia: RobinHood
 Operadores: Grupo RansomHouse
 Funcionamiento: Encriptado de archivos y sistemas + Exfiltración

Impacto:

 Más de 700 entidades afectadas

 Interrupción total o parcial de servicios digitales
 Pérdida de disponibilidad de sistemas críticos
 Posible comprometimiento de datos confidenciales
 Investigaciones y sanciones legales
 Daño reputacional y financiero

 Entidades afectadas en Colombia, Chile y Panamá

Entidades afectadas

Colombia:

 Superintendencia de Salud
 Ministerio de Salud y Protección Social
 Consejo Superior de la Judicatura
 Superintendencia de Industria y Comercio
 Instituto Colombiano Agropecuario
 Dirección de Impuestos y Aduanas Nacionales

Chile:
  ChileCompra
 Municipalidad de Providencia
 Domino's Pizza

Panamá:

 Diario Crítica
 Diario Panamá América
 Diario Día a Día
 Autoridad de Turismo de Panamá
 Caja de Seguro Social

En total se estima que más de 700 entidades entre públicas y privadas se vieron
perjudicadas por el incidente. Los organismos gubernamentales de Colombia fueron
especialmente impactados en sus operaciones por la interrupción de los servicios
digitales.

Esta lista da una idea de la diversidad y alcance de las organizaciones afectadas debido
a la posición estratégica de IFX Networks como proveedor de servicios externalizados.

 Efectos y duración de las interrupciones en los servicios

Efectos de las interrupciones

 Suspensión total o parcial de sitios web y servicios en línea.

 Caída de sistemas internos y recursos de red.
 Congelación de actividades operativas críticas que dependen de los sistemas
afectados.
 Suspensión de plazos judiciales y trámites gubernamentales.
 Re direccionamiento de recursos para la investigación y respuesta al incidente.
 Pérdida de productividad y capacidad operativa.
 Daños financieros por incumplimiento de obligaciones.

Duración de las interrupciones:

 En Colombia, el Consejo Superior de la Judicatura estuvo sin la mayoría de sus

sistemas judiciales durante 45 horas.
 Los servicios del Ministerio de Salud en Colombia tardaron 5 días en
restablecerse.
 En Chile, la plataforma ChileCompra estuvo fuera de servicio por 4 días.
 Los diarios panameños afectados reportaron fallas intermitentes en sus sitios
web por una semana.
 Al momento del análisis, algunas entidades aún presentaban interrupciones
parciales.

En conclusión, las interrupciones fueron severas durante los primeros días y la

recuperación total tomó semanas en algunos casos.
III. Análisis de causas y vulnerabilidades

 Vectores de ingreso y propagación en la red

Vectores de intrusión

 Explotación de vulnerabilidades en los servidores Microsoft Exchange para

acceso inicial. Esta vulnerabilidad fue divulgada en marzo 2021 y para la cual
existía un parche, pero al parecer IFX Networks no lo había aplicado.
 Uso de credenciales comprometidas para moverse lateralmente en la red interna.
Es probable que los atacantes hayan obtenido estas credenciales a través de
phishing u otras técnicas.
 Escalada de privilegios mediante el robo de tokens y hashes de contraseñas en la
red.
 Instalación de herramientas como Cobalt Strike para control y exfiltración
remota.

Propagación del malware

 Una vez dentro de la red, los atacantes propagaron el ransomware RobinHood

que encripta archivos.
 Movimiento lateral buscando servidores críticos para infectarlos.
 Como IFX Networks opera infraestructura de sus clientes de manera remota, el
ransomware pudo extenderse rápidamente a las redes de las víctimas.
 El acceso administrativo privilegiado de IFX a los sistemas de sus clientes
facilitó la infección remota.

 Vulnerabilidades técnicas aprovechadas

Vulnerabilidades técnicas

 Servidores de Exchange desactualizados y sin parches críticos. Esto permitió el

acceso inicial a través de las vulnerabilidades ProxyLogon.
 Credenciales débiles y reúso de contraseñas. Facilitó el movimiento lateral de
los atacantes con credenciales comprometidas.
 Permisos de administrador excesivos. Los operadores de IFX tenían demasiado
acceso a recursos críticos de los clientes.
 Monitoreo de seguridad deficiente. No detectaron actividad maliciosa a tiempo.
 Segmentación de red inadecuada. No contenía el movimiento lateral del
ransomware.
 Backups insuficientes. No tenían backups desconectados de la red para recuperar
archivos.
 Sistemas operativos y software desactualizados. Incrementa la superficie de
vulnerabilidades.
 Capacitación deficiente de empleados. Representan un eslabón débil ante
ataques dirigidos.
  Debilidades en controles y procesos de seguridad
 Evaluación de la respuesta al incidente
 Riesgos resultantes para las organizaciones

IV. Recomendaciones

 Implementación de parches y actualizaciones

 Segmentación de redes y monitoreo de tráfico
 Autenticación multifactor
 Backups regulares y pruebas de restauración
 Capacitación de personal en seguridad
 Desarrollo de planes de respuesta a incidentes

V. Conclusiones

 Resumen de hallazgos
 Importancia de robustecer la ciberseguridad en las organizaciones

VI. Referencias

DPL New, https://dplnews.com/ataque-de-ransomware-a-ifx-networks-y-el-efecto-domino/

Pirani, https://www.piranirisk.com/es/blog/posibles-causas-ataque-cibernetico-ifx-networks