Actualización 27 de julio 23:27
Garmin ya ha confirmado el ataque informático del día 23. No hay constancia de que se haya accedido o se haya robado ningún dato, incluyendo los que se refieren a Garmin Pay. Podéis encontrar la nota de prensa completa en este enlace, o encontrarla al final del artículo.
Actualización 27 de julio 08:30
Garmin comienza a recuperar sistemas, y poco a poco vuelve a tener servicios operativos.Puedes comprobar los estados directamente desde aquí.
Nuevo capítulo en el «incidente Garmin», o cómo todos los servicios de Garmin están caídos debido al hackeo que han sufrido.
En este momento ya sabemos a través de fuentes internas que, efectivamente, todo lo que rodea al incidente de la caída de servicios de Garmin se ha debido a un ataque informático que se ha distribuido en toda su red.
Probablemente ya estés al tanto de todo el incidente, pero por si acaso, vamos a dar un repaso a lo ocurrido.
Navegar a secciones específicas
El incidente Garmin, paso a paso
Todo comenzó alrededor del 23 de julio. Sin notificación previa, todos los servicios de Garmin dejaron de funcionar. Lo que comenzó como un posible mantenimiento no programado comenzó a alargarse durante horas. Ningún servicio funcionaba, y la única notificación oficial que teníamos era que Garmin había sufrido una caída de su red no programada y que estaban trabajando en resolverla.
Cuando alguien tropieza con el cable del enchufe… pic.twitter.com/kHsRxShMpU
— Eduardo correrunamaraton.com (@Correr1Maraton) July 23, 2020
Es decir, una situación inesperada pero que entraba dentro de lo posible en cualquier momento. Una caída de servicio de unas horas, algo de trabajo del departamento de IT, y poco más.
Sin embargo, tras muchas horas sin servicio (tampoco funciona el correo electrónico, o call center… incluso el servicio de ventas se ha visto interrumpido), saltaron los primeros rumores. Garmin habría sufrido un ataque de «ramsonware» que había obligado a apagar TODOS los ordenadores y servicios.
🤔🤔🤔🤔🤔🤔 https://t.co/NprS2sdSL6 pic.twitter.com/s6fQ3mOi5H
— Eduardo correrunamaraton.com (@Correr1Maraton) July 23, 2020
La posición oficial de Garmin en estos momentos continúa siendo la misma, no hay ningún cambio en el mensaje oficial y todos los servicios continúan interrumpidos. Eso sí, han modificado la página de estado de servicios y ahora se muestra todo de una forma más clara. Al menos sabemos que de una u otra manera se está trabajando en ello.
Pero hoy ha saltado la noticia. El ataque ramsonware habría sido confirmado a través de fuentes internas (no de manera oficial). Gracias a la web www.bleepingcomputer.com tenemos más detalles de lo ocurrido.
Qué es un ataque ramsonware
Los ataques ramsonware es uno de los ciberdelitos que más están creciendo en los últimos años. Grupos de hackers consiguen introducir un virus en alguno de los ordenadores de la institución o empresa atacada, y éste se reproduce a través de todos los dispositivos conectados a la misma red. Y no sólo la red local, sino que en el momento que exista una red VPN se distribuirá de forma mundial.
La introducción de este virus se hace a través de ingeniería social, generalmente enviando un archivo de correo electrónico para tratar que alguien de la empresa lo ejecute y así infectar el primer equipo.
El funcionamiento del virus ramsonware es, en primer lugar, extenderse. El virus no se quedará en un sólo equipo sino que está programado para alcanzar en la medida de lo posible a cualquier dispositivo conectado a la red.
Más tarde, en una fecha y hora determinada, se activará procediendo a la encriptación de todos los datos del equipo infectado. En ese momento el grupo de hackers se podrán en contacto con la empresa o institución pidiendo una cantidad de dinero determinada como rescate a todos esos datos desencriptados.
El ataque ramsonware que ha sufrido Garmin
Como decía anteriormente, la fuente interna ha confirmado que la infección sufrida por Garmin se ha producido por el virus WastedLocker. En el momento de conocerse el ataque, los administradores de sistemas de Garmin trataron de apagar TODOS los dispositivos de la red lo antes posible, intentando evitar que continuasen encriptándose los archivos.
Pero hay que tener en cuenta que para el momento en que está comenzando la encriptación la infección ya se ha producido, por lo que es simplemente una cuestión de tiempo y de la cantidad de archivos en cada equipo.
No pudieron apagar los dispositivos, y los empleados tuvieron que proceder al apagado manual de todos aquellos a los que tuvieran acceso.
En todos los equipos infectados los archivos se encriptaron con la extensión .garminwasted, junto con la nota de rescate en cada uno de ellos. Estas son las imágenes facilitadas por la fuente a la web de www.bleepingcomputer.com.
Este apagado de todos los dispositivos es lo que ha provocado la caída de los servicios de Garmin. Por tanto no se conoce cuál ha sido la afección, si el virus se ha quedado simplemente en los ordenadores del personal de la empresa o si también ha podido afectar a los servidores donde se alojan los servicios. Por tanto, la interrupción se ha producido intentando salvar la mayor parte de archivos, y aún no hay detalle de hasta dónde haya podido llegar la encriptación.
Qué es lo que los hackers piden a Garmin
Según esa fuente interna, los hackers han solicitado 10 millones de dólares como rescate de los archivos, por supuesto a pagar con Bitcoin y sin forma de ser rastreados.
Mi opinión personal es que Garmin no debe ceder a estos chantajes, pues es la única forma de evitar que se sigan produciendo en el futuro. Si los hackers consiguen ese rescate nada les impedirá para volver a actuar de forma similar, o para que otros grupos hagan lo mismo a otras empresas o instituciones.
¿Ha habido filtración de tus datos?
Probablemente no. Este tipo de ataques se centran en encriptar datos para inutilizarlos salvo para aquellos que dispongan de la clave para desencriptar, pero no están enfocados a robar datos de usuario, contraseñas o datos privados.
Por supuesto no se puede confirmar nada al respecto, al menos hasta que Garmin no se pronuncie al respecto. Las leyes de protección de datos son claras al respecto: si hay filtración de datos privados la empresa tiene 72 horas para comunicarlo, una vez que haya comprobado que así se ha producido.
Por tanto, si Garmin identifica que además de la encriptación se haya podido producir un robo de datos privados, deberá enviar una comunicación a sus clientes en un plazo máximo de tres días desde que lo confirmen. Es decir, desde el momento que lo han confirmado y no desde el momento que la caída de los servicios se ha producido.
Nota de prensa oficial de Garmin al respecto
El 27 de julio Garmin por fin ha emitido una nota de prensa, explicando de forma muy ligera qué es lo que ha ocurrido. Hay que recordar que está bajo investigación de la policía, por lo que tampoco pueden contar muchos más detalles. A continuación copio el contenido de dicha nota:
Comunicado de Garmin sobre la reciente incidencia
Los sistemas afectados se están restableciendo y se espera que pronto funcionen con normalidad
27 de julio 2020.- Desde Garmin anunciamos que hemos sido víctimas de un ciberataque que encriptó algunos de nuestros sistemas el pasado 23 de julio de 2020. Como resultado, muchos de nuestros servicios en línea fueron interrumpidos, incluyendo las funciones del sitio web, atención al cliente, las aplicaciones de los clientes y las comunicaciones de la empresa. Inmediatamente comenzamos a evaluar la naturaleza del ataque y empezamos a remediarlo. No tenemos indicios de que se haya accedido, perdido o robado ningún dato de los clientes, incluida la información de pago de Garmin Pay™. Además, la funcionalidad de los productos de Garmin no se vio afectada, salvo la capacidad de acceso a los servicios en línea.
Los sistemas afectados se están restaurando y esperamos volver a operar con normalidad en los próximos días. No esperamos ningún impacto material en nuestras operaciones o resultados financieros debido a esta interrupción. En el proceso de restauración de nuestro sistema, la información se restaurará paulatinamente y podría sufrir retrasos. Agradecemos la paciencia y comprensión de nuestros clientes durante esta incidencia y esperamos seguir proporcionando un excepcional servicio y apoyo al cliente, que ha sido siempre nuestro sello distintivo y nuestra tradición.
Así están las cosas de momento. Mi recomendación es tener paciencia, porque esto puede durar unos cuantos días más. Mientras tanto podéis continuar sincronizando vuestro Garmin de forma manual aunque Garmin Connect no esté operativo.
Eso sí, tened claro que vuestros teléfonos y ordenadores están seguros y que no tenéis nada que temer, aunque tengáis software de Garmin instalado no os encontráis dentro de su red.
¡Gracias por leer!
Muchísimas gracias por la información.
Excelente nota!! muchas gracias!!
Muchas gracias por la aclaración
Los datos de nuestros móviles y ordenadores están seguros?
Esa pregunta la responde en el último párrafo del artículo.
Sí, tus dispositivos no están dentro de la red de Garmin, no hay peligro con ellos.
A mi me dejo de funcionar el reloj al día siguiente, se de más gente que le ha ocurrido algo similar.
A alguien de este foro también le ha pasado?