00:00de cómputo, que no le pagaron nada, que no les cayeron en sus datos.
00:10El ayuntamiento de Cajemes fue víctima de un ciberataque que tomó el control de sus servidores para liberar los sistemas.
00:15Los hackers exigieron 150 mil dólares.
00:19La marca en una conferencia dijo que no accederá.
00:21El funcionario informó que aunque el ataque logró inutilizar temporalmente los sistemas,
00:27la información ciudadana se encontraba protegida y respaldada.
00:32La afectación no fue como ellos esperaban, dijo.
00:35De hecho, nos pedían 150 mil dólares.
00:37Ni un peso les dimos.
00:38Bueno, ¿por qué pasa esto?
00:42¿Por qué pudo haber pasado esto de que se infiltraron y se apoderaron de toda la información los hackers?
00:50A ver, vamos a consultarle a un especialista en estos temas.
00:54José Manuel Acosta Rendón, de Sonora Cibersegura.
00:59¿Cómo estás, José Manuel?
01:00Buenos días.
01:01Muy buenos días, Marcelo, para ti y todo tu público.
01:04¿Cómo la ves con este caso?
01:05¿Ya lo estudiaste y ya lo analizaste, José Manuel?
01:08Sí, ya tenemos bastantes datos referentes a este ciberataque de malware tipo ransomware que sufrió el municipio de Cajeme.
01:17Es importante mencionar de manera rápida que este tipo de ataques se realizan gracias a una vulnerabilidad en los sistemas informáticos de las víctimas o en algún error en la configuración de estos sistemas que permite a los cibercriminales que puedan ingresar a la infraestructura tecnológica de las víctimas.
01:37A ver, ¿vulnerabilidad o error en la configuración de qué nos dices, José Manuel?
01:45En configuración de los sistemas informáticos.
01:48De los sistemas informáticos, sí.
01:50Así es, por ejemplo, dejar sin contraseña algún acceso al sistema o muchas veces cuando tú instalas un sistema, por ejemplo, una cámara de video o una bocina inteligente, estos dispositivos traen contraseñas y usuarios de fábrica.
02:07Entonces, lo más recomendable es cambiar estos datos de acceso porque si yo busco el manual de ese dispositivo en Internet y tú no cambiaste los datos por defecto, yo puedo ingresar a estos dispositivos.
02:18Entonces, este grupo de cibercriminales de ransomware, que se denomina GOS, es un grupo muy peligroso que, de acuerdo a investigaciones del FBI, la NSA, tiene sus operaciones principales en China y ha atacado a diferentes instituciones, empresas en más de 70 países.
02:41Entonces, es un grupo de ransomware bastante peligroso.
02:46Y la foto, Marcelo, mira, una vez dentro de los sistemas, lo primero que hacen es escanear toda la red de la víctima y localizar información que pudiera ser valiosa para estos, ¿no?
03:00Una vez que la localizan, la sustraen.
03:03Es decir, le sacan una copia de la información y la sacan de las instalaciones de la víctima, ¿no?
03:09Es decir, la copian a servidores que ellos tienen bajo su control.
03:13Y una vez que sustraen toda la información que ellos creen valiosa, ahora sí viene algo que se llama el encriptado de los datos.
03:20Es decir, bloquean o vuelven inaccesible toda la información que está en los servidores de la víctima, en este caso el municipio de Cajeme.
03:27Y la consecuencia es que ya no se puede acceder a esta información.
03:31No la borran, sigue ahí, pero está encriptada de tal manera que la víctima no puede acceder a esta información.
03:37Y es por eso que los sistemas del municipio se volvieron inaccesibles, porque ya esa información está ahí, pero no se puede leer.
03:45Entonces, estos grupos cibercriminales hacen algo que se le llama doble extorsión.
03:49Una, para recuperar el acceso a la información que tú ya tienes, pero ahorita está inaccesible.
03:56Y la segunda extorsión es, si no pagas el rescate, la información que ellos en el primer paso ya copiaron y sacaron de tu infraestructura,
04:06el pago es para que esa información no la hagan pública o no la vendan al mejor.
04:10A ver, ahí está el detalle, eso no nos han dicho.
04:14A ver, José Manuel Acosta de Sonora Cibersegura.
04:18¿Es decir que estos, nos dices que operan desde China estos sujetos?
04:24En específico este grupo de cibercriminales que se llama GOS.
04:28¿Cómo se llama, perdón?
04:30GOS, como fantasma.
04:31Ah, GOS, que es G...
04:34H-O-S-T.
04:35H-O-S-T, así es este grupo que...
04:39Así es.
04:41Fue el que atacó el sistema de KGM, del municipio de KGM.
04:44Así es, y ha tenido ciberataques de este tipo en más de 70 países y sus operaciones principales, de acuerdo a investigaciones del FBI y la NSA, son en China.
04:54Oye.
04:55Entonces, es un grupo bastante peligroso.
04:58Entonces, este, entre... en el paquete que se llevó, ¿tiene información de que de los contribuyentes, del predial, de que tiene información este...?
05:07Desconocemos exactamente qué tipo de información tenga.
05:10Lo que estamos seguros es que tienen información, porque así es la forma en la que operan estos cibercriminales, y esta información que tienen ellos en su poder la utilizan como moneda de cambio para obligar o tratar de presionar a las víctimas a que paguen el rescate.
05:26Que en este caso, como bien comentaba el presidente municipal, lo que les están pidiendo son 150 mil dólares.
05:32En monedas electrónicas, puede ser bitcoin o monero. Estas monedas electrónicas son prácticamente irrastreables en el ciberespacio, y es por eso que lo utiliza mucho el crimen organizado para recibir este tipo de pagos de rescate.
05:46Sí. A ver, José Manuel, entonces, ¿hay antecedentes de qué hacen si no les pagas ese monto? En este caso, 150, ya dijo el presidente municipal, ¿verdad?, que no les va a pagar ni un 5, pero usualmente, ¿cómo...? ¿cuál es la contrarreacción de este grupo GAUS?
06:09En caso de no pagar el rescate, bueno, lo primero que no hacen es regresarte el acceso a la información que ya está encriptada, que tienes en tus servidores, y lo segundo que hacen es, al no pagar el rescate, la información que ellos ya tienen, que copiaron previamente y que sustrajeron de tus instalaciones, la hacen pública,
06:31es decir, la publican de manera abierta en internet, o en su defecto, si es información que ellos creen muy valiosa, la ponen a la venta al mejor postor, en estos foros clandestinos de venta de datos personales, empresariales, entonces, ahorita lo que estamos esperando, bueno, pues es, ya que no van a pagar el rescate, bueno, pues, esperamos, estamos en espera de que cumplan la amenaza este grupo cibercriminal, y haga pública o ponga a la venta la información que tienen en su poder.
07:00Sí, es el modus operandi, pues.
07:03Así es, prácticamente.
07:04Entonces, pero, nos dices que, pues se desconoce qué tipo de información tienen, pero, ¿tienen datos personales de la gente?
07:14Seguramente, porque, fíjate, dentro de los sistemas que ya, de acuerdo a declaraciones del presidente municipal, dentro de los sistemas que se vieron afectados, está el sistema de tesorería, entonces, donde se paga predial, donde se pagan todos estos servicios que el municipio administra, y este, entonces, por ende, esta información del sistema, al menos de tesorería, tuvieron acceso a estos cibercriminales.
07:41Y te digo, de acuerdo a la forma en la que operan, no solamente este, sino todos los grupos de ransomware, muy probablemente tienen en su poder esta información, además de otros sistemas que no sabemos que se hayan visto afectados.
07:52Entonces, precisamente, la primera actividad que el municipio debe de realizar, y que ya realizó, por lo que tengo entendido, es levantar la denuncia ante las autoridades competentes y llevar a cabo la investigación en materia forense digital para descubrir qué información fue afectada.
08:08Y muy importante, Marcelo, ¿cómo fue que lograron acceder a los sistemas? O sea, ¿cuál fue el hueco de seguridad que estos cibercriminales aprovecharon para entrar, llevarse esta información y encriptar la que ya estaba?
08:21¿Por qué es importante esto? Porque si no descubren cuál fue el hueco de seguridad, una vez que restauren todos los sistemas y que vuelvan a la normalidad, si no fue corregido este hueco, esta vulnerabilidad, o este fallo en la configuración,
08:32lo volverán a hacer, los cibercriminales pueden volver a entrar, o algún otro grupo distinto a GOS puede explotar esta vulnerabilidad también y volver a ingresar a los sistemas.
08:44Sí, pues es muy extraño este tipo de casos, ¿no, José Manuel? O sí, o sí, es frecuente, pero no nos enteramos.
08:55¿Cómo crees? Creo que una vez Hacienda Estatal paralizó labores por esto, porque le estaban hackeando ahí su sistema, ¿verdad?
09:04Bueno, desconozco si aquella ocasión que Hacienda paralizó sistemas fue por un ciberataque.
09:09¿Te acuerdas? ¿Pero te acuerdas que sí los paralizó?
09:11Sí, yo tengo entendido que hubo una información de datos, de servidores, pero bueno, como no se hizo de manera pública este aviso,
09:19que también por ley los gobiernos municipales estatales están obligados a ser públicos de este tipo de ciberataques
09:26para poner sobre alerta a todas aquellas personas, empresas o instituciones de las cuales se ve afectada su información o comprometida
09:33para que estas personas, instituciones o empresas tomen medidas precautorias,
09:38porque una vez con estos datos se pueden utilizar para cometer muchos otros delitos, Marcelo,
09:43como desde llamadas de extorsión, fraude cibernético, robo y suplantación de identidad,
09:48venta de estos datos en los mercados negros, de venta de datos personales y empresariales.
09:53Entonces el límite de lo que pueden hacer los cibercriminales con todos estos datos es su imaginación.
09:59Caray, pues, qué complicado, ¿no? Y qué, pues, preocupante, ¿no?
10:06No es cualquier cosa. Estamos hablando de que no es cualquier cosa.
10:10José Manuel, pues, muchas gracias, si nos permites estar en comunicación con este tema y, bueno,
10:18con todo lo que tengan, no es la primera vez que hablamos contigo y, vamos, si nos permites seguir enlazándote,
10:25seguir en contacto para que, pues, nos actualices, ¿no? ¿Cómo va este caso?
10:31Sonora Cibersegura es una asociación para poner en contexto, ¿verdad?
10:35A nuestra audiencia, Asociación Civil, ¿cómo los encuentran en redes sociales?
10:40¿A qué se dedica Sonora Cibersegura, José Manuel?
10:43Sí, es una iniciativa civil que busca prevenir a la población, instituciones y empresas
10:48para no ser víctimas de ciberataques, ciberacoso, violencia digital y todo este tipo de delitos en el ciberespacio.
10:54Y pueden encontrarnos en Facebook, X e Instagram como Sonora Cibersegura.
10:58Y con mucho gusto y de manera gratuita podemos darles asesoría de con quién denunciar
11:03o cuáles son los pausas, seguir dependiendo de la afectación que hayan sufrido.
11:08Muchas gracias. Hasta luego, José Manuel.
11:10Excelente día. Hasta luego.
11:11Igualmente, para ti, 7 con 49 minutos.
11:147 de la mañana, 49 minutos.
11:17De acuerdo, pues, a esta agrupación, a estos especialistas en el tema.
11:22Ghost es el nombre. Ghost es el nombre de este grupo delictivo que imporcionó,
11:32se metió hasta la cocina en el sistema de informática del ayuntamiento de Cajeme.
11:40Y, pues, tiene toda la información, ¿no?
11:41Tiene toda la información y si no le pagan, pues, uno del...
11:48El modus operandi de este grupo es que si no le pagan, hace público, puede hacer público.
11:53Llegaría a ese extremo de poner a la venta esa información que se robó.
Comentarios