En el día del trabajo, feriado para todo el Perú, los hackers no estuvieron ociosos. Según denunciaron en las redes sociales diferentes usuarios, un grupo de delincuentes se atribuía en la dark web un secuestro de datos del portal gob.pe. Incluyeron captura pantallas de documentos confidenciales y demandaban el pago de un rescate por más de un S/ 1.78 millones (cinco bitcoins).
Sin embargo, la Presidencia del Consejo de Ministros (PCM), a través de la Secretaría de Gobierno y Transformación Digital, emitió un comunicado el viernes 2 de mayo, señalando que la Plataforma Digital Única del Estado Peruano (www.gob.pe) no ha sido comprometida por algún ciberataque y que todos sus servicios funcionan con normalidad y mantienen sus sistemas de respaldo.
Según el diario Perú 21, las versiones que hablaban de un «secuestro» correspondían en realidad a un incidente al sitio web del Servicio de Administración Tributaria de Piura (SATP). El sucedo, aclararon desde la PCM, no tiene ninguna relación con la página principal del Estado, la cual se encuentra operativa.
Desde el portal Infobae señalaron que el ataque estaría a manos del grupo Rhysida Ransomware, quienes usaron un tipo de malware que utilizan la táctica de “ransomware” para extorsionar a sus víctimas. Según el reporte publicado por DarkWeb Informer, los ciberdelincuentes habrían solicitado un rescate de 5 bitcoins y habrían dado un plazo de siete días para que se realice el pago. Si no se cancela, dijeron, revelarían información sensible o realizarían nuevos «hackeos».
Algunos usuarios de X, antes Twitter, comentaron que hubo problemas de acceso por no incluir el prefijo «www» en la dirección de gob.pe, lo que generó confusión y alarma. Sin embargo, se pudo comprobar que introduciendo la dirección correcta el portal funcionaba con normalidad. La dirección «gob.pe» es un dominio que pertenece a la Red Científica Peruana, actual NIC.pe.
| LockBit | Especializados en ransomware, han atacado organizaciones en todo el mundo. |
| Lazarus Group | Vinculados a Corea del Norte, han robado cientos de millones de dólares en criptomonedas. |
| FIN7 | Enfocados en el robo de tarjetas de crédito y ataques a empresas de retail. |
| Evil Corp | Responsable de múltiples ataques de ransomware dirigidos a grandes corporaciones |
Alertas ante secuestros
Según un informe de Cybersecurity Ventures, el costo del cibercrimen a nivel mundial alcanzará los US$10.5 billones anuales para 2025, y tendrá entre sus principales incidencias al secuestro de datos o ransomware. Desde ESET recordaron que solo en el 2023, en Estados Unidos hubo un alza de 74% en el pago por estos secuestros: el Internet Complaint Center (IC3) reportó los registrados aumentaron a 59.6 millones de dólares frente al 2022.
Entre los principales modelos de negocio del malware ESET destaca como uno de los esquemas más lucrativos del cibercrimen al ransomware como Servicio (RaaS). Se trata de grupos como LockBit o Conti que ofrecen su malware en un modelo de afiliación y operadores sin conocimientos avanzados pueden lanzar ataques a cambio de un porcentaje de los rescates cobrados.
Rhysida es un grupo de ciberdelincuentes que opera con «Ransomware como Servicio (RaaS, por sus siglas en inglés)», ofreciendo herramientas de cifrado a otros atacantes a cambio de una parte del rescate. Desde su aparición en mayo de 2023, ha atacado a diversas organizaciones, desde el Ejército de Chile hasta la Biblioteca Británica. Ellos realizan la infiltración mediante correos electrónicos de phishing, usan herramientas como Cobalt Strike y PsExec para moverse lateralmente en las redes, y la exfiltración de datos sensibles antes de cifrarlos. Tras el ataque, exigen un rescate y amenazan con publicar la información robada en su sitio en la dark web si no se paga.
Según denunciaron en las redes sociales diferentes usuarios, un grupo de delincuentes se atribuía en la dark web un secuestro de datos del portal gob.pe. Incluyeron captura pantallas de documentos confidenciales y demandaban el pago de un rescate por más de un S/ 1.78 millones de soles.
Erick Iriarte, CEO de eBIZ, recordó la importancia de no caer en el juego de los delincuentes: no se debe pagar lo que piden. El especialista remarcó que se debe trabajar en cubrir las brechas de seguridad existentes para evitar que los datos de los ciudadanos y las instituciones públicas sean filtrados. El secuestro de datos y su posterior filtración ocurren cuando hay brechas de ciberseguridad, explicó, y la solución es reforzar las políticas de ciberseguridad en las instituciones públicas y formar a los ciudadanos, para que manejen contraseñas seguras y no caigan en engaños que los conviertan en víctimas de phishing y terminen dando acceso a los sistemas o portales púbicos.
A nivel corporativo es recomendable realizar auditorias y hacking ético, es decir contratar a un tercero para que simule ataques al sistema y verifique sus niveles de protección, incluyendo la identificación de los puntos vulnerables. En el sistema financiero esto es obligatorio y también es recomendable hacerlo en todo tipo de organizaciones públicas y privadas.
Por lo pronto, desde el Centro Nacional de Seguridad Digital (CNSD), según Perú 21, se activaron de inmediato los protocolos de seguridad informática para mitigar cualquier riesgo potencial de intrusión. Aseguraron que se realizan investigaciones y análisis coordinados con entidades nacionales e internacionales para determinar el alcance de cualquier incidente y que tienen sus respaldos de seguridad al día.
El secuestro de datos y su posterior filtración ocurren cuando hay brechas de ciberseguridad, y la solución es reforzar las políticas de ciberseguridad en las instituciones públicas y formar a los ciudadanos, para que manejen contraseñas seguras y no caigan en engaños, explicó Erick Iriarte, CEO de eBIZ.
Principales grupos de ransomware a nivel global, según thehackernews.com
LockBit: conocido por su cifrado altamente eficiente, sus tácticas de doble extorsión y su capacidad para evadir las medidas de seguridad tradicionales. Sus últimos ataques sonados:
- London Drugs (mayo de 2024): LockBit obligó a cerrar todas sus sucursales en Canadá. Exigieron US$25 millones y filtraron algunos datos de los empleados después de que la empresa se negara a pagar.
- Centro Hospitalario Universitario de Zagreb (junio de 2024): Los ataques interrumpieron el hospital más grande de Croacia, lo que obligó al personal a volver a realizar operaciones manuales.
- Evolve Bank & Trust (junio de 2024): Los piratas afirmaron falsamente que tenían información de la Reserva Federal.
Lynx: un grupo de ransomware relativamente nuevo que surgió a mediados de 2024 y rápidamente se ganó una reputación por su enfoque altamente agresivo. Ataca deliberadamente a pequeñas y medianas empresas en América del Norte y Europa, aprovechando las medidas de seguridad más débiles. Sus últimos ataques incluyen, a mediados de enero de 2025, al Lowe Engineers, empresa de ingeniería civil con sede en Atlanta, Georgia. El ataque provocó la exfiltración de datos confidenciales y generó alarma sobre posibles impactos en los contratos federales y municipales.
Virlock: una cepa única de ransomware que apareció por primera vez en 2014. A diferencia del ransomware típico, Virlock no solo cifra los archivos, sino que también los infecta, convirtiendo a cada uno en un infector de archivos polimórfico. Esta doble capacidad le permite propagarse rápidamente, especialmente a través de plataformas de colaboración y almacenamiento en la nube. Recientemente se ha observado que Virlock se propaga de forma sigilosa a través de aplicaciones de colaboración y almacenamiento en la nube. Cuando el sistema de un usuario se infecta, Virlock cifra e infecta archivos, que luego se sincronizan con entornos de nube compartidos.
