En esta nueva publicación de nuestro blog te compartimos una de las noticias más importantes de 2022 en materia de ciberseguridad en Latinoamérica. Se trata del ataque de ransomware a una institución colombiana que alteró el orden de varias industrias y que llevó a que se estimaran pérdidas de más de 3 millones de dólares semanales. A continuación te narramos cronológicamente los momentos más destacados del ataque.
La noticia
Bogotá, Colombia. 8 de febrero de 2022, 8:37 a. m.
Julio César Aldana, Director del Instituto Nacional de Vigilancia de Medicamentos y Alimentos de Colombia (Invima) compartió a través de su cuenta de Twitter un comunicado de prensa oficial informando a la opinión pública que el servidor web del Instituto presentaba fallas técnicas. Un día después, el 9 de febrero de 2022, el Director Aldana compartió una nueva comunicación: el Instituto, en realidad, había sido víctima de un ciberataque en la madrugada del 6 de febrero.
Todos los medios de comunicación colombianos pusieron sus ojos en el caso: el Invima es una de las instituciones más importantes del país y tiene como objetivo el ejecutar políticas en materia de vigilancia sanitaria y de control de calidad de los medicamentos, productos biológicos, alimentos, bebidas, cosméticos, entre otros que puedan tener impacto en la salud individual y colectiva de los colombianos.
Adicionalmente, el Invima está encargado de emitir un registro sanitario que autoriza a una persona natural o jurídica para fabricar, envasar e importar cualquier producto con destino al consumo humano.
Sin el funcionamiento de su página web, todos los trámites de importación y exportación de Colombia se vieron afectados, lo que llevó al Instituto a poner en riesgo la información de medicamentos, alimentos y demás productos que requerían el registro. Como medida temporal, el Invima gestionó estos documentos de manera manual.
La medida, por supuesto, afectó a muchos sectores económicos, entre esos al industrial. En los medios colombianos circuló que en los principales puertos marítimos del país, ubicados en Buenaventura y Cartagena, en la Costa Pacífica y Caribe de Colombia respectivamente, había contenedores represados debido a la imposibilidad de tramitar el registro sanitario con celeridad.
El Invima, en un día normal de funcionamiento, tramitaba el registro a través de su página web en cuatro horas y, tras el ciberataque y los procesos manuales establecidos para sobrellevar la contingencia, podía tomarles hasta 2 días y medio; lo que, por supuesto, generaba sobrecostos a la industria.
El 18 de febrero ya era noticia: la Federación Colombiana de Agentes Logísticos en Comercio calculaba que cerca de 3.000 contenedores a la semana debían pasar por el Invima, lo cual podía representar costos de 15.000 millones de pesos colombianos semanales (más de 3.5 millones de dólares). Desde luego, no solo los puertos marítimos estuvieron en crisis, sino que también se presentaron retrasos en mercancía que llegaban por vía aérea y terrestre.
Los responsables del ciberataque
El responsable del ciberataque al Invima fue el ransomware Blackbyte. Un ransomware es una categoría de software malicioso que, cuando se implementa, secuestra la información de la víctima e impide que el usuario utilice su propio computador hasta pagar un rescate. Para volver a acceder a su equipo, el usuario debe satisfacer las exigencias del hacker pagando una gran cantidad de dinero.
En cuanto a BlackByte, se trata de un grupo que ofrece Ransomware as a Service (RaaS). Es decir: BlackByte ha diseñado un malware que pone a la disposición de clientes, llamados afiliados, quienes pagan para utilizarlo con el propósito de cifrar archivos comprometidos en máquinas con Windows, incluyendo servidores físicos y virtuales.
La situación del Invima hoy
En la investigación del ciberataque el Invima recibió apoyo del Centro Cibernético de la Policía Nacional de Colombia y de la Consejería Presidencial para la Transformación Digital.
Sin embargo, pese a que el trabajo interinstitucional fue un acierto y esto permitió al Instituto reactivar sus operaciones con normalidad a partir del 1 de abril de 2022, en el mismo comunicado que emitió el 31 de marzo del notificando la reactivación de sus operaciones, el Instituto no aclaró ni especificó un plan de acción para dar celeridad a los procesos “en trámite” que llevan 2 meses represados.
Esto, desde luego, impacta negativamente a diferentes gremios, como el de las Asociaciones de Pacientes médicos de Colombia, quienes advierten que se está afectando la continuidad en la evaluación de los trámites de medicamentos vitales no disponibles, los cuales deben ser priorizados para preservar la salud y la vida de pacientes que los necesitan con urgencia.
Actualmente, se desconoce un reporte oficial del estatus de la información confidencial que pudo haber sido intervenida durante el ataque de ransomware, lo que deja preguntas a los usuarios y a la ciudadanía en general sobre la manera en que las instituciones públicas gestionan contingencias relacionadas con ciberseguridad.
Desde ManageEngine te recomendamos los siguientes artículos que puedes consultar para conocer más acerca de los ransomware, sobre la manera en qué operan y cómo puedes proteger a tu empresa de ellos.