Quiénes son Conti y Guacamaya, los grupos de ransomware que más ataques han realizado en América Latina

(Washington, Estados Unidos) Uno de los grupos es de origen ruso y puso en jaque al flamante gobierno de Costa Rica el año pasado. El otro es de origen centroamericano y quiere jugar un papel de Robin Hood digital, robando datos sensibles de empresas y servicios de inteligencia de países de la región para exponer acciones que considera injustas o ilegítimas.

Los ataques con ransomware se han convertido en una amenaza grande para instituciones públicas y privadas en América Latina. Dos de los grupos más peligrosos con presencia en la región son Conti y Guacamaya, que han realizado numerosos ataques, según un reporte realizado por la Secretaría General de la Organización de los Estados Americanos (OEA) y Amazon Web Services (AWS).

El reporte, denominado “Retos y Estrategias: Las consideraciones sobre los ataques de ransomware en las Américas”, explica qué son este tipo de acciones delictivas. Un ransomware es un ataque a través de un programa (malware) que se inserta en un sistema generalmente de forma encubierta con el objetivo de “comprometer la confidencialidad, integridad o disponibilidad de los datos, aplicaciones o sistema operativo de la víctima”, dice el informe.

En los ransomware se secuestran y cifran archivos de un sistema de almacenamiento y luego se pide un rescate. Generalmente se exige que ese pago se haga a través de criptomonedas.

Este tipo de ataques se ha convertido en una de las principales amenazas cibernéticas para empresas e instituciones en América Latina y el mundo, según el informe de la OEA y AWS, que cita evidencia de Interpol al respecto.

El reporte recomienda no pagar los rescates, ya que se entiende que hacerlo solo incentiva más ataques. En su lugar, los expertos sugieren acciones como contratar servicios de recuperación de datos, contactar a proveedores de seguridad, utilizar copias de respaldo y desarrollar planes de continuidad del negocio.

Conti es una red criminal transnacional surgida en Rusia que fue “la de mayor recaudación en ataques de ransomware en 2021″, según un informe reciente de Chainalysis citado por la OEA. Ese año, se estima que recaudó a través de secuestros de datos y cobro de fianzas al menos 180 millones de dólares.

Esta organización delictiva es sucesora de otro grupo ransomware anterior denominado Ryuk.

Conti fue el grupo fue responsable de importantes ataques como el que sufrió Costa Rica, que derivó en la declaración de un estado de emergencia nacional. A pocos días de asumir el actual presidente Rodrigo Chaves, en mayo de 2022, el país sufrió un enorme ciberataque que afectó el sistema de salud, a los organismos de recaudación de impuestos, de seguridad social, aduaneros, de transporte, a la compañía de electricidad, al Ministerio de Transporte y hasta el servicio meteorológico.

“Puede haber coincidencias en la vida, pero en Costa Rica decimos ‘piense con desconfianza y probablemente tendrá razón’. Durante la transición entre ser elegido y asumir como presidente electo, dije -y creo que fui el primero en América Latina en en decirlo- que la invasión rusa en Ucrania fue ilegal. Utilicé la palabra criminal”, dijo Chaves en un evento en Washington a finales de agosto luego de reunirse con el presidente Joe Biden.

El rescate pedido a Costa Rica fue de USD 10 millones, pero el gobierno se negó a pagarlo según el presidente. El país sufrió severas alteraciones, muchas de ellas en servicios esenciales como la salud, dado que se borraron miles de consultas médicas que estaban agendadas.

El informe de la OEA y AWS destaca que Conti trabaja con una modalidad definida como de “doble extorsión”. Primero filtra información confidencial del organismo o la empresa de la que logró robar información y luego la empieza a extorsionar con que se va a publicar información que puede ser sensible para lograr que paguen a cambio de hacerlo.

“De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras”, agrega el reporte.

Según el informe, que cita un artículo de Wired, Conti “funciona como cualquier empresa del mundo”; tiene diferentes departamentos, desde recursos humanos y administradores hasta codificadores e investigadores. “Tiene políticas sobre cómo sus hackers deben procesar su código, y como contraparte, las mejores prácticas para mantener a los miembros del grupo ocultos de las fuerzas del orden”, agrega.

La forma que tiene Conti de trabajar es mediante la técnica conocida como “pishing”. Adjunta documentos maliciosos, que al ser abiertos por un integrante de la organización permiten el acceso a los sistemas. También explotan vulnerabilidades que tienen las empresas o las instituciones, así como en algunos casos han llegado a contratar a personal interno de la organización para poder realizar el ataque.

El otro grupo que ha logrado realizar varios ataques en la región es conocido bajo el nombre de Guacamaya. Se trata de una organización nacida en Centroamérica, pero que no se precisa, según el reporte, en qué país en concreto nació.

Según el reporte de la OEA, ha realizado ataques al sector público en Chile, México, Perú, El Salvador y Colombia.

En México, por ejemplo, uno de los episodios más sonados fue hackeo a la Secretaría de Defensa Nacional (Sedena), del que salieron miles de documentos que revelaron por ejemplo que el Ejército habría vigilado Ayotzinapa antes de la desaparición de los 43 estudiantes, cuáles son las rutas de la droga del Cártel de Sinaloa o el caso del intruso que se infiltró en la residencia del presidente Andrés Manuel López Obrador.

A diferencia de Conti, que tiene un fin económico y realiza los ataques para poder cobrar un rescate de la información, en el caso de Guacamaya el objetivo es militante.

Es un grupo que se denomina como “hacktivista” que ha dirigido sus acciones también contra empresas mineras y petroleras. Señala que su objetivo es “exponer injusticias y delitos” cometidos por gobiernos y corporaciones.

En la visión de este grupo hay un crítica abierta al “imperialismo norteamericano” y lo que entiende es su agresión constante al esto de los pueblos de América Latina.

“El modo de operación de este grupo es identificar vulnerabilidades comunes o típicas en las infraestructuras de las instituciones objetivo como son fallas en actualización o en configuración del sistema operativo o aplicaciones específicas, las cuales son explotadas para tener acceso privilegiado a la información residente en dispositivos tecnológicos y luego revelar la información y publicarla en diferentes medios de acceso público”, señala el informe de la OEA y Amazon.

Guacamaya tiene un sitio web en el que llevan un registro de sus acciones y emiten declaraciones.

El informe de la OEA advierte que ambos grupos aprovechan prácticas deficientes de ciberseguridad en las organizaciones para introducir malware, cifrar información y luego exigir rescates millonarios bajo amenaza de filtrar datos confidenciales.

Frente a esta amenaza, el documento recomienda que las empresas e instituciones cuenten con planes proactivos de respuesta a ataques, siguiendo estándares internacionales. Esto incluye minimizar vulnerabilidades, hacer copias de seguridad, capacitar al personal y reportar incidentes a las autoridades.

Los expertos recomiendan no pagar rescates, porque de esta manera se estaría incentivando nuevos ataques.

Aseguran en cambio que se debe invertir en ciberseguridad para poder implementar planes adecuados que reduzcan el impacto y permitan en todo caso recuperarse más rápido tras un ataque de ransomware.