Secuestro de datos
La vulneración a Claro y las preguntas sin respuesta
Por:

A finales de enero, usuarios de Claro experimentaron dificultades en pagos, recargas y navegación. La compañía emitió un breve comunicado informando sobre una actividad anómala de ransomware (secuestro de datos), pero no ha explicado el alcance de la vulneración y los usuarios desconocen si sus datos personales están en manos de terceros.


Tras las dificultades reportadas por cientos de clientes, Claro Guatemala publicó el 25 de enero un comunicado sobre «algunos inconvenientes dentro de la red». El 2 de febrero confirmó que se trataba de ransomware, en una declaración de dos párrafos.

En la escueta comunicación, la compañía explicó que se identificó “la existencia de una actividad anómala en algunos de nuestros sistemas, por lo que tomamos medidas inmediatas para investigar”. Según la empresa, se trató de un incidente de secuestro de datos en “algunos equipos”. 

El ataque afectó en Guatemala, El Salvador, Honduras, Nicaragua y Costa Rica. Según la única comunicación oficial de Claro, hasta el momento, se ha logrado dar continuidad a las operaciones con la utilización de mecanismos alternos. «Estamos en proceso de restauración de los equipos afectados para regresarlos a su operación normal». 

Sin embargo, usuarios siguen reportando en las redes sociales dificultades para realizar pagos o con el servicio.

Pero ¿Qué es ransomware y en qué afecta? Se trata de un código malicioso que impide la utilización de servidores y equipos infectados. La infección se da cuando un ciberdelincuente secuestra información y la encripta con el objetivo de pedir dinero a cambio de liberarla.

Conversamos con un coordinador de protección digital para Las Américas, de la organización Front Line Defenders, quien prefirió omitir su nombre, y ofreció una lectura de la situación. 

La vulneración y alerta para los usuarios

Aunque para los usuarios prescindir, aunque sea temporalmente, de los servicios de telefonía móvil es una incomodidad, el experto considera que, no es la falta de navegación lo que debe afligir a los clientes de Claro.

El principal problema es el riesgo de que mucha información sensible esté ahora en poder de ciberdelincuentes y que sea filtrada a la dark web (navegadores privados a los que se puede acceder mediante una web especializada y que suele usarse para acciones ilegales). 

La vulneración ocurrió a finales de enero y Claro no ha explicado el alcance del problema del secuestro de datos de la empresa a nivel centroamericano. Foto: Stock Canva.

A criterio del experto, el problema es que «no tenemos información concreta de qué tipo de datos pueden estar comprometidos». Considera que Claro no ha sido lo suficientemente transparente con informar a sus clientes acerca de los datos vulnerados. 

Indica que las empresas suelen compartimentar (dividir) la información para «no poner todos los huevos en una sola canasta». Esto no permite a los usuarios saber qué ha sido vulnerado.

El especialista en temas de ciberseguridad Francisco Chávez, conocido como pacoweb publicó un video en su cuenta de TikTok en el que explica la información de los usuarios que los delincuentes podrían tener. “Nombres, direcciones, teléfonos o hasta tarjetas de crédito”, dice. 

@el.paco.web #pacoweb #vamosatestearlo #claro #ransomware ♬ sonido original – el.paco.web

Chávez explica en su video que los ciberdelincuentes pueden exigir algunas demandas a Claro y si esta empresa no cumple, pueden filtrar la información de los clientes a la dark web

También asegura que este tipo de ataques es común y que fue perpetrado por un grupo denominado «Trigona», que solo en enero  ha atacado a empresas en España, Australia y Estados Unidos y que ya ha filtrado los datos. 

«A veces son datos de los empleados, a veces son datos financieros de la empresa y a veces de los mismos usuarios y clientes», comenta Chávez en su video.    

La revista especializada en alta gerencia centroamericana Estrategia & Negocios reveló el 5 de febrero detalles del ataque y exigencias del grupo de hackers a Claro.

«La firma “Trigona” afirmó tener encriptado y guardado en sus servidores: acceso de bases de datos, documentos, información de empleados, socios y data de clientes, así como información financiera y contable», explica Estrategia & Negocios.

Este es el mensaje que «Trigona» ha dejado en los servidores de las empresas atacadas en varios países. Foto: Devel Group. 

«Incluso ofrecen una asesoría de seguridad para que Claro entienda cómo llegó el ataque, qué debe ser arreglado y actualizado. “Trigona” dio detalles para descargar la información desde el navegador Tor, una página de descifrado; advierten que en 48 horas podrían liberar (a la dark web) la información secuestrada», publica la revista centroamericana.

La empresa de ciberseguridad Devel Group (que opera en Centroamérica y el Caribe) también revela detalles de lo ocurrido y asegura que «la región ha sido testigo de una serie de ataques cibernéticos devastadores con la llegada del ransomware “Trigona”, un peligroso virus que cifra archivos y ha dejado a las empresas locales en estado de emergencia».

Indica que las empresas afectadas han recibido un mensaje en el cual las insta «a contactar a los atacantes lo antes posible para evitar un aumento en el costo del recate, que aumenta por hora».

«No se recomienda ceder»

Devel Group también advierte: «Se destaca la peligrosa realidad de que, incluso después de pagar, no todas las víctimas reciben las herramientas de descifrado prometidas. Es un riesgo significativo y, por lo tanto, no se recomienda ceder ante las demandas de los ciberdelincuentes».  

El experto de Front Line Defenders refiere que aunque es posible que no hayan sido comprometidos todos los datos, lo más sensato desde la perspectiva del usuario debería ser «asumir el peor escenario y comprender que la información de los usuarios pudo ser vulnerada».

Expertos en ciberseguridad, como Renzon Cruz, han revelado en diversas plataformas cómo es que «Trigona» realiza sus ataques.

El experto de Front Line Defenders consultado considera que la empresa de telecomunicaciones está obligada a explicarle a sus usuarios qué es lo que deben hacer.

“El problema es que, si por ejemplo, se comprometieron los números de identidad de los clientes, es algo irreparable, si se vulneraron datos de tarjeta de crédito, lo mejor es que las personas las cancelen y solicitar nuevas”. 

Explica el experto digital que aunque es común que estos ataques sean exitosos dada la sofisticación con la que se realizan, las empresas deben mitigarlos mediante un respaldo y que se busque “arreglar la vulnerabilidad”.

«Quizá la empresa no tenía respaldo y por eso la situación se volvió más complicada». Es algo que no sabremos, toda vez la empresa se resista a hablar del problema.

Aclara que al arreglar la vulnerabilidad sólo se estaría restableciendo la operación, pero que la información ya está comprometida. “Muy probablemente la van a vender”. El experto critica el hecho de que en Guatemala no exista una ley de protección de datos. 

Qué hacer ante una vulneración

Ante la incertidumbre acerca de qué tipo de información está comprometida, las personas especialistas recomiendan:

Debido a que esos datos podrían estar ya en la dark web se convierten en un objetivo de ataques persistentes como el de phishing (suplantación de identidad). El registro de tarjetas podría llevar a consumos o retiros de efectivo.

Expertos en ciberseguridad también han revelado que «Trigona» ha vulnerado empresas en diversos países en 2024.

Ocote se comunicó con el equipo de comunicación y prensa de Claro para obtener una ampliación de la información otorgada hasta el momento. Sin embargo, Claudia Massis, encargada del área, nos refirió a los comunicados y no hubo más comentarios.

Clientes sin amparo ante la Ley de Telecomunicaciones

Se consultó a Carlos Vásquez, portavoz de la Dirección de Atención al consumidor (Diaco), quien informa que han recibido un incremento de denuncias por clientes de Claro. Asegura que ellos se limitan a remitirlas a la Superintendencia de Telecomunicaciones (SIT), institución que regula a las telefónicas en el país. 

La Oficina de Comunicación de la SIT, por su lado, aseguró que no tiene registros de denuncias de usuarios por estos problemas y que los servicios de telecomunicaciones en el país se prestan con normalidad en las modalidades prepago y postpago.

“No está de más mencionar que el artículo 22 de la Ley general de Telecomunicaciones no nos permite intervenir en procesos internos de las empresas de telecomunicaciones”, se informa a través de la oficina de prensa.

El artículo 22 de la ley refiere que «las condiciones contractuales, así como los precios, para la prestación de toda clase de servicios comerciales de telecomunicaciones, serán libremente estipulados entre las partes y no estarán sujetos a regulación ni aprobación por autoridad estatal».

Bajo ese artículo, las telefónicas no son reguladas o sancionadas por la Diaco.

Entidades del Estado deben intervenir

Sin embargo, Ricardo Flores, consultor en telecomunicaciones y exgerente de regulaciones de telefonía de la SIT, indica en una entrevista a Con Criterio que tanto la SIT como la Diaco pueden y deberían actuar, pues hay afectación a  la población guatemalteca.

Flores recorda que existe un convenio que data de 2004 entre la SIT y la Diaco, en la cual la primera le transfiere potestades y apoyo a la segunda para darle seguimiento a denuncias y no dejar en la indefensión a los usuarios.

Y tú, ¿crees que las telefónicas deben ser reguladas o sancionadas por mal servicio? Comparte esta explicativa para que más usuarios conozcan el problema y las recomendaciones para no ser víctima de este secuestro de datos.

TE PUEDE INTERESAR

Subir
La realidad
de maneras diversas,
directo a tu buzón.

 

La realidad
de maneras diversas,
directo a tu buzón.