Lista de sitios web con dominio asociado a IFX Networks que estarían afectados por ataque digital

Esta lista no la debería estar publicando Muchohacker.lol sino la empresa IFX que de forma irresponsable guarda silencio por lo que está pasando en Colombia.

Debido a la falta de información disponible a un técnico anónimo se le ocurrió utilizar su habilidad técnica para determinar qué sitios web colombianos e internacionales estarían afectados por el incidente digital.

Este técnico compartió con MuchoHacker.lol la lista de sitios web que estarían alojados en servidores de IFX.

MuchoHacker.lol revisa de manera manual cada uno de los sitios para determinar cuál está en línea y cuál no. La verificación tomará tiempo así que publicaré los primeros 25 casos ya verificados.

Esta metodología para determinar la magnitud del ataque no es perfecta, ni pretende serlo. Es una aproximación con una serie de herramientas gratuitas disponibles y tiene un componente de automatización complejo.

Según nos explicó se usó el Api de un servicio llamado Host.io. Este servicio se usa para obtener datos completos sobre nombres de dominio y sus diferentes relaciones. Es un servicio que se usa en ciberseguridad y para este ejercicio se usó la información del API gratuita.

Con el API de Host.io se hizo una búsqueda de Asn, que según no es explicó, es como la cédula de los operadores y de esta forma se asoció a los dominios de IFX.

Aclara nuestro informante que esta lista no es completa porque con otros servicios se podrían ubicar más datos y tampoco es la medición real de la magnitud del ataque ya que no se cuentan intranets ni aplicativos.

Como leer: Hasta el momento solo he podido verificar 25 dominios gov.co. La columna más importante es la de los dominios estatales y su status. De las otras columnas no realizaré ninguna verificación porque no tengo tiempo. Lo dejo acá porque es información de interés público. Si uno de estos sitios no pertence a IFX por favor deje en los comentarios.

Evidencias de la verificación

Actualización. 19 de septiembre de 2023. 2:00 p.m.

La combinación de una técnica de scrapping (extracción de información de sitios web ) junto al desarrollo de un script automatizado permite concluir que de 19.301 sitios web alojados en parte de Infraestructura IFX Networks 14.902 están sin servicio casi ocho días después de conocerse la fecha de un ataque ransomware.

Un total de 415 sitios web que usan el dominio estatal .gov.co no funcionan. La conclusión se logra luego de correr el script automatizado cargado en Google Collab. El análisis digital se realizó ayer a las 5:00 de la tarde.

Dos personas con conocimientos técnicos y cuyos trabajos se complementaron ayudaron a construir las conclusiones que acá se presentan. Los datos no se han podido verificar con IFX porque no respondieron a comunicaciones. Tampoco ha sido posible verificarlo con un tercero.

Sin una comunicación clara por parte de IFX Networks es difícil saber la dimensión de las afectaciones. Esta compañía debió ser la primera en avisar no solo por decencia institucional y ética sino porque según la SIC es un deber informar incidentes digitales a los afectados.

La falta de respuesta por parte de la organización no es solo una afirmación que ha salido de este blog sino que el propio gobierno lo ha manifestado públicamente.

Dado lo anterior, dos personas con experiencia en asuntos tecnológicos, compartieron con MuchoHacker.lol una forma de para tratar de establecer técnicamente cuál es la dimensión del ataque. La información compartida no es usual ni tradicional si se observa desde la forma tradicional de hacer periodismo.

Los técnicos que ayudaron a elaborar esta lista lo hicieron como un ejercicio personal en el que invirtieron tiempo, recursos técnicos y conocimiento.

Ninguno de los expertos se conocen pero su trabajo se complementó. El trabajo de Muchohacker.lol consistió en entender los procesos, tratar de verificar, ordenar la información, intentar comunicación con IFX y publicar.

Como toda solución tecnológica basada en desarrollo web puede ser susceptible de ser mejorada e incluso puede tener errores ya que es un proceso automático que se hace gracias al desarrollo de código que trata de resolver una necesidad, en este caso, dimensionar la magnitud de un ataque digital que dejó sin servicio a miles de sitios web y cuya dimensión no se conoce.

Se publica esta información y se comparten los datasets completos por considerarse de interés público.

El ideal sería que IFX Network comentara estos hallazgos pero desde el día uno de la emergencia se ha tratado de encontrar reacciones por parte de esta organización sin resultados positivos.

Específicamente, antes de publicar este dataset, se estableció comunicación vía Whastapp con Luis Gabriel Castellanos, que según Linkedin es el Gerente de IFX. Se envió un mensaje al chat personal que no respondió. Igualmente, se intentó comunicación al PBX 3693000 y 3693024 donde se escucha una comunicación automática. Se hicieron tres intentos sin respuesta postiva.

Cualquier comentario que quiera hacer un técnico, periodista, ciudadano o IFX puede hacerlo a [email protected]

A continuación una serie de preguntas que surgirán luego de esta publicación

1, ¿Debe considerarse como una verdad periodística?

Desde el punto de vista de Hyperconectado sí. Este dataset demuestra una realidad verificable.

El script desarrollado que verificó los sitios web afectados ayudó a una tarea que habría tomado meses en desarrollarse si se hubiera hecho de manera manual.

Además, se realizó una verificación, aleatoria a los sitios que aparecen como afectados. En todas las pruebas coincidió con la realidad. Se hicieron 10 pruebas.

Algún periodista que acceda a esta información puede tener consideraciones diferentes a las acá expuestas.

Estamos ante un caso sin antecedentes, donde se usan herramientas tecnológicas que no están incluidas en lo que se denomina periodismo tradicional para verificar una información.

Si bien es algo nuevo creo que este caso demuestra cómo técnicos y periodistas pueden unir esfuerzos para revelar información en la cual se hace un esfuerzo de ocultamiento o se guarda silencio.

2. ¿Qué acciones se hicieron para verificar que el proceso del scrapping efectivamente aloje resultados de sitios web en infraestructura de IFX?

Técnico que realizó el scrapping explicó que usó el API de host.io para conectarlo con el ASN asignado a IFX. ASN es un número internacional de identificación para IFX. La conexión entre el ASN y el API dio como resultado la lista.

Como la anterior explicación tiene un alto componente técnico Muchohacker.lol usó el servicio https://whois.domaintools.com para verificar si existe evidencia de la relación con IFX.

Como no se puede hacer esta verificación en 19.000 sitios se seleccionaron 7 aleatorios, un ejemplo: https://whois.domaintools.com/sispro.gov.co

Se verificó en alupa.com.co, aero-line.com.co, bienhecho.co, CastorData.com.co y pertenecen a Mi.com.co que anunció ser una empresa afectada por IFX

Los sitios web bicentenariocolombia.gov.co, sispro.gov.co y cineparatodos.gov.co están asociados a IFX directamente. En los 7 casos la información coincide.

3. ¿Esto es de toda la infraestructura de IFX?

No, es un parte. Acá solo se analizaron unos dominios relacionados con un ASN. Sin embargo dentro de esta lista no están aplicativos, bases de datos, intranets, etc.

4. ¿El script analizó toda la infraestructura de IFX?

No, solo el scrapping

5 ¿Cómo debo leer el dataset ?

Se debe entender que muchas compañías están buscando soluciones y puede que sus servicios ya inicien alojamiento en otros sitios. Por eso lo primero para entender es que esta información corresponde a un script que se corrió ayer a las 5:00 pm.

Lo importante en temas de interés público es la URL. True significa en línea. False, que la página no funciona

Actualización. 20 de septiembre de 2023. 8:47 a.m.

Se realizó una doble verificación de la lista inicial del scrapping en el que se usó host.io. Producto de esto:

1. Solo se dejaron dominios .co.
2. Se crearon tres pestañas y se filtró información para que sea más sencilla de entender.
3. En la pestaña Totalizados quedaron todos los dominios que dieron positivo para IFX.
4. En la Pestaña Migrados quedaron los dominios que ahora usan otros servicios.
5. En la pestaña Caidos, dominios caídos.

En esta actualización se tomó una muestra representativa de dominios que usan .CO. Esto, con el fin de reducir el tamaño de la lista para nuevamente mostrar evidencia sobre los alcances de la afectación. Este ejercicio se hizo con el fin de comprender con más evidencia técnica la relación entre número de IP de un dominio y una verificación de Whois y el número ASN.

Igualmente, en la anterior verificación autmática se incluyeron sitios https y no sitios http lo que podría arrojar discrepancias. En esta versión solo están http. Igualmente se mejoró el escaneo y se verificó directamente a la IPs de los dominios.

En términos sencillos y prácticos: Para comprender mejor la evidencia de las afectaciones se hicieron cambios en el metodo de escaneo y verificación automática con el ánimo de ser más precisos. Esto arrojo los siguientes resultados.

1. IFX network en una parte de su infraestructura tendría alojados 74 sitios .gov.co. De los cuales 46 no funcionan.
2. IFX network en una parte de su infraestructura tendría tendría alojados 25 sitios .edu.co. De los cuales 21 no funcionan.
3. IFX Network en una parte de su infraestructura tendría alojados 3.273 sitios web empresariales. De los cuales 3.178 están caídos.

Dado lo anterior y la evidencia que se muestra en este dataset el Diario La República es usado por IFX para difundir mensajes basados en estrategias de comunicación y no en hechos verificables. IFX no puede afirmar que “que los sistemas y clientes afectados por el ataque cibernético funcionan con normalidad “.

---

Se realizó un cambio de título en el post original.
Paso de “Lista de sitios web con el dominio gov.co que estarían afectados por ataque ransomware a IFX Network” a “Lista de sitios web con dominio asociado a IFX Networks que estarían afectados por ataque ransomware”