El CSIRT Nacional ha emitido una alerta sobre un incidente de seguridad que afecta a servicios esenciales y operadores vitales del país. El protagonista de este ataque es INC Ransom, un grupo de ransomware que ha demostrado una capacidad destructiva notable en la región y que en 2024 causó estragos en el sector salud de Estados Unidos.
Análisis de la amenaza
INC Ransom destaca por lograr un acceso a través de FW. De acuerdo con el análisis técnico del CSIRT de Chile y reportes de inteligencia:
-
Acceso Inicial: El grupo utiliza credenciales comprometidas o vulnerabilidades en la administración de firewalls (específicamente FortiGate) para penetrar en la red institucional.
-
Movimiento Lateral: Una vez dentro, aprovechan la falta de segmentación de red para desplazarse lateralmente mediante protocolos como RDP, NetBIOS y SSH. Su objetivo final suele ser la infraestructura de virtualización para comprometer múltiples servicios de forma simultánea.
-
Cifrado Selectivo: Poseen un encriptador con diferentes velocidades ("Fast", "Medium", "Slow"). En su modo rápido, solo cifran fragmentos iniciales y finales de los archivos para acelerar el impacto, aunque esto paradójicamente puede permitir una recuperación parcial con herramientas forenses.
-
Evolución en 2025: Solo en el tercer trimestre de 2025, INC Ransom incrementó su actividad en un 98.4%respecto al trimestre anterior, convirtiéndose en el tercer grupo con más ataques a nivel global.
Impacto y consecuencias
El impacto de este ransomware es multidimensional, afectando especialmente a sectores con "baja tolerancia al tiempo de inactividad":
-
Sector Salud: Un caso emblemático fue el ataque a McLaren Health Care en EE. UU., donde la intrusión obligó a los hospitales a activar "procedimientos de tiempo de inactividad", reprogramando citas no urgentes y solicitando a los pacientes llevar resultados de exámenes impresos.
-
Doble Extorsión: Además del cifrado, el grupo suele realizar exfiltración de datos para presionar mediante la amenaza de publicar información sensible en la Dark Web.
¿Qué medidas debe tomar su empresa?
Para mitigar el riesgo de un compromiso por INC Ransom, las empresas deben adoptar controles estrictos a nivel de acceso:
-
Robustecer el Acceso Remoto: Es vital restringir el acceso a consolas de administración de firewalls y permitir conexiones VPN únicamente desde direcciones IP permitidas o mediante "allow-lists".
-
Segmentación de Red: Bloquear el movimiento lateral restringiendo protocolos como RDP y SSH por segmentos, permitiéndolos solo donde sea estrictamente necesario para la operación.
-
Monitoreo y Parches: Mantener actualizados todos los sistemas perimetrales (como FortiGate) y contar con registros (logs) activos para detectar intentos de acceso inusuales.
¿Qué pueden hacer nuestros Servicios por tu empresa?
-
M-SOC (Managed Security Operation Center): Este servicio proporciona visibilidad integral y respuesta optimizada, lo cual es fundamental para detectar el movimiento lateral del atacante antes de que llegue a los servidores críticos.
-
Ciberseguridad Exterior: Útil para identificar fugas de credenciales en la Dark Web, uno de los métodos de entrada preferidos de este grupo.
-
Protección de Endpoints Avanzada: Implementación de soluciones de ciberdefensa que utilicen inteligencia artificial para detener la ejecución del encriptador de INC Ransom en tiempo real.
-
Consultoría en Ciber Resiliencia: Para establecer planes de continuidad de negocio y evaluaciones de madurez con WSC que aseguren que la infraestructura pueda recuperarse rápidamente tras un incidente.