Según la red de periodistas de investigación Organized Crime and Corruption Reporting Project (OCCRP), ciberdelincuentes denominados Brigada Cyber PC extorsionaron al Gobierno Nacional con revelar datos personales de paraguayos si no pagan USD 7,4 millones. Además, pusieron como fecha límite este viernes.
De acuerdo con la citada red, ya adelanta que el Paraguay no pagará a los ciberdelincuentes que obtuvieron datos personales que podrían afectar a todos los ciudadanos. Esto, según una entrevista que mantuvieron con Gustavo Villate, ministro del Ministerio de Tecnologías de la Información y Comunicación (Mitic).
Nota relacionada: Hackers extorsionan al Gobierno de Paraguay y piden millonario monto para no revelar datos de ciudadanos
Negocio
Luis Benítez, analista informático, afirmó que normalmente la postura de los Estados es no pagar rescate, aunque en el sector privado local se suele pagar el rescate para recuperar los datos.
“La recomendación de los organismos internacionales, de los Estados en general, es no pagar el rescate para que esto no se convierta en un negocio. Pero lastimosamente es un negocio, es un negocio que mueve miles de millones de dólares al año, porque normalmente las empresas privadas pagan los rescates, la forma de pago se hace con bitcóin u otras criptomonedas, al menos en mi caso en el 100% de los casos que yo atendí, las empresas pagaron y se les entregó la forma de desencriptar y recuperar sus datos”, explicó.
Benítez refirió que en ninguno de ellos se hizo público el secuestro, simplemente se recuperó y se continuó con la operación buscando luego cambiar procedimientos y mecanismos de seguridad para que no vuelva a ocurrir.
“El problema en el caso paraguayo es que esto no es la primera vez, no será la última vez. El Mitic no está haciendo las tareas que se requieren para cambiar esta situación. Como ya dije en otra oportunidad, estos eventos seguirán en el tiempo. Necesitamos cambiar la voluntad política para mejorar nuestra situación. Espero que pronto tengamos una ley razonable, donde se cree una nueva organización que se encargue de la regulación y la aplicación de las medidas tanto al sector público como al privado. Es decir, no es que el Mitic debe definir cómo es la ciberseguridad, sino que el Mitic debe auditarlo para ver si aplica las medidas necesarias. Es necesario un cambio estructural profundo del esquema de gobernanza”, afirmó.
Nota relacionada: Hackers se adjudican ciberataque en Paraguay “por diversión” y para evidenciar “vulnerabilidad”
Sin garantías
Joaquín Morínigo, analista de nuevas tecnologías, señaló que usualmente nunca se recomienda pagar los ataques de ransomware, ya que no existen garantías de que los ciberdelincuentes cumplirán lo prometido.
“Pagar no te garantiza que te devuelvan los accesos. Ni que liberen. Hay varios casos en que las víctimas pagan e igual liberan la información al público y no le dan el acceso al atacado. El sector privado siempre paga, en la mayoría de los casos”, refirió.
Comunicación
Miguel Ángel Gaspar, experto en ciberseguridad, afirmó que estos datos ya estaban expuestos en foros internacionales. Además refirió que la mayoría de los datos ya están filtrados.
“Ningún Gobierno negocia con ciberdelincuentes. Lo que habría que ver ahora es qué medidas tomó el Gobierno Nacional para impedir más filtraciones y qué ayuda recibió internacionalmente. En este tipo de casos, se hace un trabajo en conjunto. Suelen interactuar agencias israelíes, la FBI norteamericana, personas que están acostumbradas a este tipo de situaciones. En Darkforums hay más de nueve millones de registros filtrados. Es gravísimo lo que pasó. No hay que hacer creer a la ciudadanía que con un PowerPoint esto se soluciona de la noche a la mañana y que están ya las medidas tomadas. Cuando los datos se filtran, viene la segunda ola del ataque, que es la oportunidad de usar esos datos para sacar provecho propio por parte de otros ciberdelincuentes que no tienen nada que ver con los que robaron los datos”, explicó.
