Categories: Ciberseguridad, Incidentes, News

by drmunozcl

Share

Categories: Ciberseguridad, Incidentes, News

Por drmunozcl

Compartir

Resumen del incidente

El 23 de octubre de 2023, el grupo chileno de telecomunicaciones y servicios TI, Grupo GTD, sufrió un severo ataque de ransomware que comprometió su plataforma de Infraestructura como Servicio (IaaS), impactando servicios clave como data centers, acceso a internet, telefonía IP, VPN y televisión OTT.

Ransomware: Rorschach (BabLock)

  • El ransomware utilizado fue la variante Rorschach, también conocida como BabLock, identificada como un cifrador altamente sofisticado y veloz, capaz de encriptar un dispositivo completo en solo 4 minutos y 30 segundos.

  • Se aprovechó de vulnerabilidades de DLL sideloading en software legítimo como Trend Micro, BitDefender y Cortex XDR, para cargar un DLL malicioso en procesos como Notepad y ejecutar el payload del malware —config[.]ini—

Impacto

  • Se estima que el ataque afectó a más de 3.000 empresas y organismos públicos en Chile, y en menor medida, en Perú.

  • Entre los afectados se encontraban instituciones como FONASA, Salud Responde, firmas digitales del Ministerio Secretaría General de la Presidencia, el sistema RPE que impactó a más de 77 municipios, y numerosos gobiernos regionales.

  • La empresa debió desconectar su plataforma IaaS de internet para detener la propagación del malware.

Respuesta institucional

  • El CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática del Gobierno chileno) fue notificado del incidente y decretó que todas las instituciones públicas afectadas debían reportarlo según el decreto N° 273.

  • Se compartieron indicadores de compromiso (IOCs) y se recomendó realizar escaneos antivirus, revisar software sospechoso, auditar cuentas en servidores, analizar rendimiento de hardware, monitorear tráfico de red, mantener registros actualizados y restringir el acceso SSH.

Consecuencias financieras y legales

  • GTD calificó el incidente como un evento de fuerza mayor y presentó una denuncia penal ante el Ministerio Público.

  • La repercusión financiera fue notable: la compañía registró pérdidas por CLP $1.910 millones, ingresos corporativos reducidos en CLP $763 millones, costos adicionales por CLP $877 millones y inversiones extraordinarias por CLP $2.497 millones asociadas al incidente (La Tercera).

  • Algunos clientes corporativos, como Odis SpA y Assa Abloy Chile SpA, presentaron recursos legales (recurso de protección) alegando “incalculables daños” por la interrupción de servicios críticos; estos reclamaron ante la Corte Suprema provenientes de su imposibilidad de acceder a servidores y datos esenciales.

Aprendizajes clave y mayor visión estratégica

 

Área Lección Aprendida
Cadena de suministro Un ataque a un proveedor como GTD puede comprometer a múltiples organizaciones; se necesita verificar la seguridad de terceros.
Velocidad del malware Rorschach es extremadamente rápido; la detección y contención deben ser inmediatas.
Respuesta coordinada La colaboración entre empresa, autoridades (CSIRT) y clientes fue vital para mitigar el impacto.
Impacto económico Más allá del rescate, los costos incluyen restauración, inversión en seguridad, y pérdidas de ingresos.
Compliance regulatorio Normativas como el decreto 273 obligan al reporte de incidentes, mejorando transparencia y respuesta.
Resiliencia operativa Migrar a arquitecturas con respaldo y segmentación robusta reduce el alcance de futuros ataques.

 

Conclusión

El ataque de ransomware a GTD expone cómo un sofisticado cifrador como Rorschach puede paralizar servicios esenciales y desencadenar una cadena de afectaciones a nivel institucional y económico. La experiencia recalca la necesidad de fortalecer la ciberseguridad en proveedores críticos, agilizar la respuesta ante incidentes y fomentar la cooperación público-privada bajo marcos regulatorios sensibles.

 

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • Recordatorio: Fecha límite de transición de ISO 27001 versión 2013 a 2022

    La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite

  • Adquisición de Securiti AI por parte de Veeam Software (~1.73 mil millones USD)

    Veeam Software anunció la adquisición de Securiti AI por aproximadamente 1.73 mil millones de dólares. La Adquisición de Securiti AI por Veeam Software no es un movimiento menor: combina protección de datos de clase empresarial con seguridad y gobernanza impulsadas por IA para responder a amenazas modernas, cumplimiento regulatorio y el auge de la IA

  • configuración spf dkim dmarc

    Charla: «Implementación efectiva de SPF, DKIM y DMARC»

    La Agencia Nacional de Ciberseguridad de Chile (ANCI) está transmitiendo en vivo la charla “Implementación efectiva de SPF, DKIM y DMARC”, un espacio clave para entender cómo fortalecer la autenticación del correo electrónico y prevenir fraudes digitales. En esta sesión, se explican las mejores prácticas para configurar correctamente estos protocolos y proteger la reputación de los dominios frente a ataques de suplantación (phishing y spoofing).

  • Ataque a proveedor tercero de Discord: exposición de identidades

    El ataque a proveedor tercero de Discord ha expuesto identidades y datos personales de decenas de miles de usuarios. Según reportes iniciales, cerca de 70.000 personas que realizaron verificaciones de edad o identidad en servidores de Discord podrían verse afectadas. En InfoProteccion analizamos qué ocurrió, por qué importa, y cómo responder con rapidez para reducir