AtaquesNacionales

Air-e y el arte de las declaraciones sin evidencias

Los ataques ransomware siguen siendo el dolor de cabeza del sector empresarial colombiano. Esta vez, la víctima fue Air-e, la empresa de energía que da servicio a tres departamentos del caribe colombiano.

El 6 de septiembre realizamos una publicación basada en una serie de evidencias físicas que una fuente anónima nos entregó. En el post dejamos claro que, a pesar de los pantallazos entregados como posible evidencia, quedaban dudas porque en ninguno de las imágenes compartidas aparecía el actor del ataque o alguna url o señal que indicara relación con la empresa Air-e.

Desde la fecha de publicación y el comunicado oficial de la empresa diferentes actores, con diferentes intencionalidades, han hecho una serie de declaraciones que llevan a concluir que al día de hoy no se sabe nada. No existen evidencias de un ataque Ransomware, salvo lo que ha dicho de la propia empresa y que el actual interventor, Carlos Diago, cuestiona.
Lo que sabemos con certeza

El timeline verificable del incidente :

  • 2 de septiembre: Primeros reportes en redes sociales sobre fallas en servicios digitales
  • 4 de septiembre: Confirmación de problemas en sistemas de radicación y consulta de facturas
  • 5 de septiembre: Comunicado oficial de la empresa confirmando el ataque

Red flags en las declaraciones oficiales

1. Sobre los sistemas de seguridad

La empresa afirma que se vulneraron los servicios de SOC Claro Colombia y Kaspersky. Ninguna de las dos empresas ha hecho un pronunciamiento sobre el tema y tampoco se han mostrado evidencias.

2. La misteriosa recuperación

Se menciona una “restauración de sistemas comprometidos” sin proporcionar:

  • Alcance del compromiso
  • Metodología de recuperación
  • Tiempo de inactividad real
  • Impacto en los datos

3. Las declaraciones del interventor

El nuevo interventor sugiere:

  • Un timing sospechoso (4 días antes de un cambio administrativo)
  • La violación de “cinco niveles de confiabilidad”
  • Una posible conexión con operaciones en Pereira
  • Pone en duda la realidad del ataque. (Sin evidencias a pesar de que las puede obtener)

Análisis

Varios elementos que no cuadran:

  1. Sobre la infraestructura comprometida:
    • No se especifica qué componentes del SOC fueron afectados
    • No hay detalles sobre qué productos de Kaspersky fallaron
    • Falta información sobre los vectores de ataque
  2. Sobre la respuesta a incidentes:
    • No se menciona la activación de planes de continuidad de negocio
    • No hay información sobre el aislamiento de sistemas críticos
    • Se desconoce si hubo notificación a autoridades competentes y tampoco ninguna autoridad ha emitido comunicación alguna que pruebe el ataque a infraestructura crítica.
  3. Sobre la información en medios.
    Aparece un nuevo actor sugiriendo que la competencia pudo realizar el ataque. No muestra una sola evidencia.

Es increíble que no se pueda mostrar una realidad comprobable en este caso teniendo en cuenta que es un servicio público. Dado todo lo anterior es momento de poner en duda el ataque Ransomware a Air -e.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *