by drmunozcl
Share
Por drmunozcl
Compartir
Resumen del incidente
El 23 de octubre de 2023, el grupo chileno de telecomunicaciones y servicios TI, Grupo GTD, sufrió un severo ataque de ransomware que comprometió su plataforma de Infraestructura como Servicio (IaaS), impactando servicios clave como data centers, acceso a internet, telefonía IP, VPN y televisión OTT.
Ransomware: Rorschach (BabLock)
-
El ransomware utilizado fue la variante Rorschach, también conocida como BabLock, identificada como un cifrador altamente sofisticado y veloz, capaz de encriptar un dispositivo completo en solo 4 minutos y 30 segundos.
-
Se aprovechó de vulnerabilidades de DLL sideloading en software legítimo como Trend Micro, BitDefender y Cortex XDR, para cargar un DLL malicioso en procesos como Notepad y ejecutar el payload del malware —config[.]ini—
Impacto
-
Se estima que el ataque afectó a más de 3.000 empresas y organismos públicos en Chile, y en menor medida, en Perú.
-
Entre los afectados se encontraban instituciones como FONASA, Salud Responde, firmas digitales del Ministerio Secretaría General de la Presidencia, el sistema RPE que impactó a más de 77 municipios, y numerosos gobiernos regionales.
-
La empresa debió desconectar su plataforma IaaS de internet para detener la propagación del malware.
Respuesta institucional
-
El CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática del Gobierno chileno) fue notificado del incidente y decretó que todas las instituciones públicas afectadas debían reportarlo según el decreto N° 273.
-
Se compartieron indicadores de compromiso (IOCs) y se recomendó realizar escaneos antivirus, revisar software sospechoso, auditar cuentas en servidores, analizar rendimiento de hardware, monitorear tráfico de red, mantener registros actualizados y restringir el acceso SSH.
Consecuencias financieras y legales
-
GTD calificó el incidente como un evento de fuerza mayor y presentó una denuncia penal ante el Ministerio Público.
-
La repercusión financiera fue notable: la compañía registró pérdidas por CLP $1.910 millones, ingresos corporativos reducidos en CLP $763 millones, costos adicionales por CLP $877 millones y inversiones extraordinarias por CLP $2.497 millones asociadas al incidente (La Tercera).
-
Algunos clientes corporativos, como Odis SpA y Assa Abloy Chile SpA, presentaron recursos legales (recurso de protección) alegando “incalculables daños” por la interrupción de servicios críticos; estos reclamaron ante la Corte Suprema provenientes de su imposibilidad de acceder a servidores y datos esenciales.
Aprendizajes clave y mayor visión estratégica
| Área | Lección Aprendida |
|---|---|
| Cadena de suministro | Un ataque a un proveedor como GTD puede comprometer a múltiples organizaciones; se necesita verificar la seguridad de terceros. |
| Velocidad del malware | Rorschach es extremadamente rápido; la detección y contención deben ser inmediatas. |
| Respuesta coordinada | La colaboración entre empresa, autoridades (CSIRT) y clientes fue vital para mitigar el impacto. |
| Impacto económico | Más allá del rescate, los costos incluyen restauración, inversión en seguridad, y pérdidas de ingresos. |
| Compliance regulatorio | Normativas como el decreto 273 obligan al reporte de incidentes, mejorando transparencia y respuesta. |
| Resiliencia operativa | Migrar a arquitecturas con respaldo y segmentación robusta reduce el alcance de futuros ataques. |
Conclusión
El ataque de ransomware a GTD expone cómo un sofisticado cifrador como Rorschach puede paralizar servicios esenciales y desencadenar una cadena de afectaciones a nivel institucional y económico. La experiencia recalca la necesidad de fortalecer la ciberseguridad en proveedores críticos, agilizar la respuesta ante incidentes y fomentar la cooperación público-privada bajo marcos regulatorios sensibles.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La filtración y explotación de datos personales para microsegmentación política convirtió al caso Cambridge Analytica en un punto de inflexión. Para responsables de TI y seguridad, el escándalo evidenció que la gobernanza de datos no es solo un asunto técnico: define el cumplimiento regulatorio, el riesgo reputacional y la legitimidad del proceso democrático. Las autoridades
La superficie de ataque crece, los presupuestos no tanto. Muchas pymes y equipos TI reaccionan a incidentes, pero pocas miden su exposición de forma sistemática. En InfoProteccion defendemos que la clave está en aplicar metodologías evaluación riesgos ciberseguridad que permitan priorizar inversiones con datos y no con intuiciones. No necesitas una bola de cristal: necesitas
La adopción acelerada de la inteligencia artificial generativa está impulsando productividad, pero también abre una brecha silenciosa: Shadow AI. En ciberseguridad, este término describe el uso no autorizado o no gobernado de modelos de lenguaje (LLM), asistentes de código, agentes y APIs de IA por parte de equipos y usuarios, fuera del control de TI
Las superficies de ataque en la nube evolucionan más rápido que los catálogos de controles. Hoy, los adversarios apuntan a la identidad y a las sesiones para saltarse el perímetro y las políticas tradicionales. Bajo ese contexto, las nuevas técnicas de intrusión cloud, en particular token hijacking y session replay, se han convertido en vectores
