Qué hubo detrás del ciberataque a Easy, Jumbo y Vea en Argentina
Las máquinas registradoras se "volvieron locas" el viernes e imprimientos tickets sin freno. El pedido de rescate y el rol de las criptomonedas en estos casos.
El viernes se produjo uno de los ataques virtuales más importantes que hayan tenido lugar en los últimos años, en este caso, contra las tiendas de Cencosud. De un momento a otro, las máquinas registradoras imprimieron ticketssin freno con un mensaje en inglés: "Si no pagan, publicaremos toda la información de sus clientes".
Ante esto se encontraron empleados y gerentes de las tiendas de Cencosud en Argentina, Chile, Perú y Colombia. Concretamente, el ataque en nuestro país afectó a sucursales de Jumbo, Easy, Disco, Vea y Blainstein. Mientras tanto, los cibercriminales amenazaron al gigante trasandino con publicar detalles personales de sus clientes, incluidas las credenciales de tarjetas de crédito.
En este escenario, el viernes Cencosud cerró sus locales por algunas horas y puso en standby sus sitios web.
"Lo que hacen los cibercriminales es cifrar los datos de una empresa u organización, por lo que quedan inutilizables para sus propietarios. Para entregar la clave que reestablezca el acceso, suelen pedir un rescate, especialmente en criptomonedas", explicó el sitio iProUP.
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
Datos desconocidos sobre el ataque
Se lanzó un viernes, antes del fin de semana, cuando los supermercados registran su mayor facturación Así, obligaron a los gerentes a tomar determinaciones "de apuro", para alentar la acción más sencilla y menos recomendada: abonar.
Dura sanción para Walmart Mendoza y otro precedente a favor de los clientes
El total hermetismo fue la estrategia de Cencosud, que inició un proceso para seguir operando mientras se normalizaba la situación. Con carteles en sus sucursales, anunciaba que por "un problema tecnológico" sólo iba a aceptar ventas en efectivo, débito o tarjeta en un pago.
¿Cómo entró el software malicioso a la red de Cencosud? No quedan dudas que lo hizo por una de las computadoras del personal que realiza tareas desde su hogar, en la modalidad de teletrabajo, dejando expuesta toda la red del gigante del retail.
Los miles de tickets que se imprimieron el viernes indicaban a la empresa que debía conectarse a un chat a través de TOR, un navegador que utiliza la red del mismo nombre para garantizar el anonimato y evitar rastreos.
Por lo tanto, el pago del rescate debía realizarse en criptomonedas para evitar que las autoridades logren hallar al autor que, por lo general, se trata de organizaciones delictivas complejas y algunas hasta tienen patrocinio estatal: se cree que el gobierno de Corea del Norte tiene un ciberejército que roba divisas digitales en todo el mundo.
En estos casos, el dinero es depositado en plataformas conocidas como mixers o "mezcladores", que generan una nueva cuenta para que el cliente haga el depósito de las monedas. De esos fondos se resta una comisión por el servicio y se dividen en varias operaciones, espaciadas en el tiempo, con montos aleatorios y destino a varias direcciones Bitcoin del ciberdelincuente
Una vez que el criminal tiene criptoactivos "limpios" debe convertirlos en dinero fiduciario (dólares) a través de exchanges, que son casas de cambio virtuales Esos fondos son transferidos a PayPal para usar directamente o se retiran en Western Union o servicios similares, que garantizan cierto anonimato.
