Desaparecen parcialmente información de antiguas víctimas colombianas de Lockbit; aparecen nuevos afectados
Lockbit está vivo. Esa es la realidad técnica. A pesar de la espectacular operación que fue llevada acabo por varias autoridades de diferentes países, el domingo pasado el villano detrás del Ransomware más poderoso del mundo publicó un extenso comunicado donde explica qué pasó y advierte que nadie nunca podrá detenerlo.
El drama digital de los últimos tiempos, que en Colombia poco o nada interesa, se desarrolla a una velocidad vertiginosa donde los actores se acusan mutuamente de ser unos principiantes en temas de ciberseguridad.
Aunque todo lo que está pasando es un tema irrelevante para los medios masivos colombianos y autoridades, tiene profundas implicaciones en el país.
Estamos hablando de la posibilidad real de la presencia de millones de datos privados de colombianos que estuvieron (o están) publicados en diferentes sitios de Internet sin que nadie en el país pueda hacer algo para evitalo.
Como lo reportó MuchoHacker.lol e incluso medios digitales, en su momento se accedieron a evidencias que permitían afirmar que Mintic, Schrader Camargo, Sistema Integrado de Emergencias y Seguridad de Medellín, Viseg, Medellín.gov.co, Grupo Nutresa, Mario Hernández y Fiduagraria estaban dentro de las empresas colombianas que habrían sido afectadas por Lockbit.
Existe otra lista de afectados colombianos que realizó la empresa Lumu que incluye seis empresas más. Esta lista no está en MuchoHacker.lol porque no se pudo verificar su autenticidad.
Durante toda la semana quienes accedían a la infraestructura técnica de Lockbit ,que tenía un portal de víctimas, se dieron cuenta que las autoridades tomaron posesión del sitio web y lo modificaron para hacer quedar en ridículo al misterioso atacante.
Dentro de esta lista estaban las empresas colombianas y desde allí se podía acceder a la nota extorsiva y eventualmente a los datos robados para su descarga. Toda mención de la lista de empresas se realizó en este portal o porque aparecieron en la lista de advertidos o se tuvo acceso a datos privados y se verificó su existencia, como en el caso de Medellín.
Aunque el portal de víctimas de Lockbit estuvo caído cuatro días el domingo pasado sorpresivamente empezaron a funcionar nuevos links donde se observa una restauración de la plataforma.
Es decir, lo que habían hecho las autoridades, de restringir el acceso a la lista de víctimas solo duró cuatro días por que hoy se pueden observar nuevas víctimas y el historial de atacados.
Lockbit, restaurada
MuchoHacker.lol revisó con detenimiento la lista de víctimas restaurada y comprobó que ninguna de las víctimas colombianas reportadas en el pasado tiene información privada disponible en línea. Es decir, la información de las ocho empresas afectadas, al menos por ahora, desapareció.
Lo anterior no quiere decir que los datos robados no estarán disponibles en el futuro. Lockbit en su comunicado indicó que existe una lista de víctimas que no fueron atacadas por las autoridades y que existe un backup de la información.
“Estas y los datos de otras compañías han sido salvadas, todo esto se publicará posteriormente en un nuevo blog”, advierten los atacantes.
Lockbit
Lo que pudo pasar es que las víctimas colombianas pudieron estar en servidores intervenidos por autoridades y por ello no aparecen ahora.
Es muy difícil establecer qué pasará con los datos colombianos robados. Hoy en día no existe evidencia de su publicación, pero puede ser que parte de la restauración de la plataforma los incluya.
Las nuevas víctimas
En la revisión que se hizo de la nueva lista de víctimas aparecen dos empresas colombianas que no estaban en el registro inicial que hizo MuchoHacker.lol.
La primera de ellas es Cachibi. Según su portal es una empresa dedicada a la extracción, procesamiento y comercialización de gravas, bases y sub bases granulares, arena de trituración y mezclas asfálticas, ubicada en la ciudad de Cali.
Es una empresa que tiene dentro de su portafolio de clientes el Aeropuerto Internacional Alfonso Bonilla Aragón, entre otras megaobras.
Cachibi aparece en la lista que actualmente tiene acceso público pero que se encuentra en un link .Onion, que no todos los usuarios de Internet pueden visitar ya que se requiere un mínimo conocimiento técnico.
De esta empresa aparecen menciones a dos portales donde supuestamente fueron atacados y de las cuales se extrajo información privada.
MuchoHacker.lol pudo descargar una de las carpetas extraídas y verificó que se publicaron cientos de documentos privados de la organización. Por ejemplo, está en línea una carpeta llamada Explosivos que tiene información privada sensible de personas y organizaciones como Indumil.
Es importante aclarar que MuchoHacker.lol descarga y observa la información publicada ilegalmente como parte de la actividad periodística que se realiza. Una vez se descarga, se verifica la veracidad y se elimina de los dispositivos. No se guardan copias.
De esta empresa se observan cientos de documentos. Según el registro de Lockbit fueron subidos a un servidor el 23 de febrero de 2024.
La otra empresa afectada es la Caja de Compensación de Cundinamarca, Comfacundi con relación a la web Comfacundi.com.co.
Esta organización ya estaba en listas de atacados de Lockbit en el pasado pero no se había podido acceder a evidencia. Al menos a la existencia de los archivos robados y su descripción.
Según Lockbit el 5 de agosto de 2022 se subió a la plataforma de víctimas 49 gigas de datos. Esto representaría millones de datos de robados de la organización. Se desconoce si los datos pertenecen a la EPS ya liquidada o hacen parte de la Caja de Compensación.
MuchoHacker.lol no pudo verificar la existencia real y física de los 49 gigas por falta de capacidad de hardware para la descarga de los archivos. Sin embargo, se accedió a un documento donde aparece la lista de los documentos robados. Serían millones de documentos que estarían al interior de las gigas robadas.
Paralelo a la existencia de la lista de documentos se realizó una búsqueda en medios masivos y portales de Comfacundi para averiguar si se había reportado el ataque como recomienda la autoridad colombiana y no se encontró nada.
Cualquier persona con un mínimo de conocimiento técnico puede acceder a esa información que está en línea solo salvaguardada porque está en un link alojado en Onion, cuyo acceso requiere un mínimo de conocimiento técnico.