Servidores de Empresas Públicas de Medellín sufrieron ciberataque
El edificio inteligente de las Empresas Públicas de Medellín está prácticamente vacío desde el lunes en la noche porque un ciberataque se tomó toda la información de los computadores de EPM. Los casi 4.000 trabajadores de la empresa que asisten a la sede principal se despertaron el martes con la noticia de que debían trabajar desde sus casas, como en los tiempos más temidos del covid, porque sus servidores habían sido tomados por un virus.
El virus se llama ransomware. Consiste en infectar equipos y sistemas para secuestrar su información y bloquear o encriptar su uso. Como el covid, el ransomware también es contagioso, empieza su cadena de propagación con un paciente cero. Es decir, se apodera de la información de un usuario y luego infecta a todos con los que comparte la misma red.
El paso siguiente es cobrarle una extorsión a la víctima —casi siempre en criptomonedas— a cambio de la liberación de los sistemas o bajo la amenaza de filtrar los datos por medio de la Deep Web o Dark Web, el lado oscuro y clandestino de internet.
Todo eso fue lo que le pasó a EPM, que al amanecer del martes —un día antes de que las dos primeras turbinas de Hidroituango generaran por primera vez energía— ya no tenía sitio web, ni aplicación móvil, ni pasarela de pagos ni intranet. Además, muchos de los equipos que estaban conectados a la red del edificio inteligente no prendían o estaban bloqueados. En un escueto comunicado de apenas dos párrafos, esa mañana informaron que habían tenido un “incidente de ciberseguridad”, que por eso habían enviado a sus empleados para las casas y aseguraron que la situación no tenía “afectación en la adecuada prestación de los servicios públicos de energía, agua y gas”.
Sin embargo, todo parece indicar que las consecuencias del ataque y el secuestro de la información son de gran escala. Pasados cuatro días, la mayoría de servicios tecnológicos de la empresa siguen secuestrados y los trabajadores continúan en sus casas.
El miércoles en la mañana se conoció que la Fiscalía abrió una investigación preliminar para dar con los responsables del ciberataque. La misma Fiscalía de Francisco Barbosa fue víctima de un evento muy similar en agosto de este año cuando un grupo de hackers se quedó con los correos de miles de funcionarios, en los cuales había información sensible de operaciones e investigaciones de corrupción, homicidios y abusos sexuales, los cuales se hicieron públicos el mes pasado. Es el hackeo más grande que haya sufrido una institución estatal en Colombia: se estima que robaron cinco teras de información. La Fiscalía le dijo a este diario que el tamaño del robo de información a EPM sería de 15 teras, el triple.
Asimismo, el ente investigador reconoció su preocupación por el aumento de ciberataques en el país. Hace más de dos semanas la EPS Sanitas —con casi cinco millones de afiliados en el país— sufrió un atentado contra su infraestructura tecnológica del que no se ha repuesto; la mayoría de sus servicios en línea siguen caídos. Al parecer los hackers se quedaron con información crítica de los pacientes como historias clínicas.
La misma Fiscalía confirmó que los ciberdelincuentes pidieron una recompensa a cambio de la liberación de la información secuestrada y encriptada. Edna Patricia Cabrera, encargada de la Dirección Especializada Contra los Delitos Informáticos, le dijo a EL COLOMBIANO que, en el caso de EPM, al parecer la información secuestrada no contiene datos de los clientes sino del funcionamiento y las dinámicas internas de la empresa. Pero el portal Mucho Hacker, especializado en este tipo de delitos, publicó pantallazos que probarían que sí hay datos privados de los empleados e información financiera, por ejemplo datos sobre pagos, presupuestos, reportes, informes y documentos bancarios.
El plan de contingencia
Además de un par de comunicados oficiales y de publicaciones en su Twitter con poca o nula información al respecto, el hermetismo de EPM ha sido absoluto. Este medio intentó varias veces contactarse con personal del área de tecnología de la compañía pero no recibió respuesta. No obstante, constatamos que la calma respecto al “incidente” es solo de puertas para afuera.
En un decreto firmado el mismo martes por el gerente general de EPM, Jorge Andrés Carrillo, después de hacer un análisis preliminar de la afectación del ransomware y el impacto que esta podría generar en el funcionamiento de la organización, escaló la situación al Equipo General de Crisis de la compañía y activó el Protocolo de Atención de Eventos Críticos, PADEC.
El documento también pone a disposición de Darío Amar Flórez, vicepresidente ejecutivo de Nuevos Negocios, Innovación y Tecnología, $5.000 millones para que celebre los contratos y convenios que permitan el apoyo y la atención del “incidente de ciberseguridad”.
Fuentes ligadas con EPM revelaron que dentro de la empresa han señalado a ese funcionario como uno de los principales responsables del “incidente”, pues su vicepresidencia es la encargada de establecer un blindaje contra ciberataques. Amar, quien tiene una relación cercana e influyente con el alcalde Daniel Quintero, no solo ocupa este alto cargo en EPM sino que es miembro de junta en la filial de esta en la Costa Atlántica (Afinia), en Empresas Varias y en Ruta N. Además, su hermano César representa a Quintero en la junta de la Agencia APP, otra entidad relacionada con el conglomerado empresarial del Distrito.
Parte de las críticas tienen que ver con las relaciones de los dos hermanos de origen cartagenero con empresas del sector de tecnología. Darío ha sido Gerente General de Quipux SA., la misma del escandaloso contrato de las fotomultas de Medellín, criticado por el amplio margen de ganancia que al parecer le dejaba y la poca efectividad para mejorar la seguridad vial en la ciudad. Esta también tuvo el contrato del Registro Único de Tránsito (Runt) que igualmente despertó quejas por la tajada considerable que debía ser del Estado y que le trasladaba a particulares. Por su parte, César Amar, según su perfil de LinkedIn, es el representante legal de Selecta Consulting Group, a la que también habrían estado vinculados su mamá y el padrastro. Lo particular es que se trata de la misma empresa que en 2020 apareció en medios porque habría hecho para la alcaldía de Medellín perfilamientos de periodistas y personas que han cuestionado a la actual administración distrital.
A la Línea Ética de EPM llegaron a finales de 2020 denuncias acerca de que Darío Amar estaría incurriendo en conflicto de intereses y solo después este declaró ese conflicto por su cercanía con Quipux y Selecta Consulting.
No obstante, periodistas de este diario hallaron que esta misma firma suscribió varios contratos en los dos últimos años por más de $37 millones con la Empresa de Energía del Quindío (EDEQ), filial de EPM, justamente para el suministro de licencias de software, y en septiembre de este año le dieron otro contrato por $334 millones a través de la Institución Universitaria Pascual Bravo para dictar cursos de marketing digital. Estos dos ejemplos que le darían sustento a las suspicacias que circulan en el edificio inteligente de EPM y que ahora se acrecientan más al asignarle los $5.000 millones para conjurar los efectos del ciberataque
FUENTE EL COLOMBIANO