El sistema informático del Instituto Nacional de Defensa Civil (Indeci) fue vulnerado por ciberdelincuentes. Durante varios días, junto con sus informes y reportes de emergencia sobre las lluvias intensas y otros desastres que están afectando al Perú, la entidad adscrita al Ministerio de Defensa estuvo propagando un virus troyano. Los responsables de dicha institución sabían sobre este ataque, pero no lo detuvieron hasta que Convoca.pe publicó este reportaje.

En la última semana, cada vez que un usuario ingresaba al sitio web del Instituto Nacional de Defensa Civil (Indeci) para ver los reportes de emergencia sobre las lluvias intensas, huaicos, inundaciones, derrumbes, desbordes y otros desastres que están azotando al Perú, corría el riesgo de que su computadora o celular se infectara con un virus troyano, que puede robar su información o dañar sus equipos informáticos.

Hasta este sábado 18 de marzo, la página web del Indeci, específicamente en el enlace que permite acceder a los informes y reportes de emergencia de cada desastre registrado por las autoridades de todo el país, estaba infectada con el virus troyano JS/Agent.PIV. Este malware era detectado por antivirus de usuarios que lo bloqueaban cada vez que se cargaba la página de esta entidad adscrita al Ministerio de Defensa.

Los informes de emergencia, reportes complementarios y reportes preliminares sobre los desastres son emitidos por el Centro de Operaciones de Emergencia Nacional (COEN), a cargo del Indeci, tras coordinar con los centros de operaciones de emergencia regional, local y sectorial. En los últimos días, estas publicaciones han sido consultadas por numerosos usuarios que buscan mayor información sobre cómo los fenómenos climátológicos han afectado a la población, las vías de comunicación, cultivos, la infraestructura educativa y de salud, entre otros.

Pero, apenas cargaban el enlace de reportes de emergencia, a los usuarios que tienen ESET NOD32 antivirus les aparecía un mensaje de bloqueo del JS/Agent.PIV. Al hacer click para obtener mayor información, aparece una ventana que reporta que la fecha de máxima actividad mundial de este virus fue el 2 de febrero de 2022. Costa de Marfil, en África, y Tailandia, en Asia, son los países donde el malware ha tenido mayor impacto.

 

Indeci

 

Para reconfirmar la presencia de un virus en la página web del Indeci, Convoca.pe ingresó el enlace en VirusTotal, un sitio web que analiza gratuitamente archivos y páginas en busca de virus y malware. El resultado fue que, hasta el sábado 19 de marzo, esta URL aparecía reportada como maliciosa por un proveedor de seguridad (CRDF).

 

Virus total

 

“Su sitio ha sido hackeado y necesita atención inmediata. Nuestro escáner automático ha detectado código malicioso en su sitio”, señalaba un mensaje de Sucuri, otro sistema de supervisión de sitios web que ofrece protección de virus y malware al cual este medio ingresó.

Si un usuario accedía al portal infectado del Indeci y tenía un antivirus efectivo en su computadora, el virus era bloqueado inmediatamente. Si el visitante no tenía un sistema de protección o este se encontraba desactualizado, el troyano ingresaba a su sistema informático y podía robar información confidencial, como contraseñas y otros datos sensibles. 

“Este malware que aparece en la página del Indeci es de tipo troyano. Trata de correr un script, que es un archivo [del lenguaje de programación] JavaScript, que intenta descargarse en el equipo del usuario que navega en esta página e intenta ejecutarse”, explicó a Convoca.pe Juan Puma, especialista de ESET Perú.

Esto quiere decir que ciberdelincuentes tuvieron acceso al servidor o a la página web de la institución. “¿Cómo han podido tener acceso a esto? Probablemente, hayan podido vulnerar cierta parte de la página del Indeci, haber colgado su malware dentro del contenedor de la página, de tal manera que cualquier persona que intente ingresar tiene la posibilidad de descargar este script en su equipo”, explicó el experto en seguridad informática.

Puma alertó que estos malware son diseñados a medida y que el ciberdelincuente sabe muy bien lo que busca, lo cual es incorporado en el código malicioso, como capturar la pulsación del teclado, establecer una conexión remota con un servidor externo o copiar la información del usuario. Esto último es peligroso si el usuario tiene información confidencial, hace operaciones bancarias de forma virtual o compras por internet.

ESET obtuvo información del tipo de ataque de este virus troyano, pero no sobre lo que pudo haber vulnerado en los ordenadores infectados pues bloqueó el acceso al sistema informático de los usuarios de su antivirus particular. Otros proveedores de software de seguridad también podrían haberlo detectado y bloqueado.

Para afrontar este ataque cibernético, Puma explicó que las medidas de seguridad tienen que tomarse desde ambas partes: el Indeci y los visitantes. Si el usuario tiene la necesidad de ingresar a la página de Defensa Civil, debe contar con medidas de seguridad, como antivirus y sistema operativo originales y debidamente actualizados.

 

ESET
Costa de Marfil, en África, y Tailandia, en Asia, son los países donde el virus troyano JS/Agent.PIV ha tenido un mayor porcentaje de ataques, según la página de ESET.


 

Por su parte, el especialista en ciberseguridad Miguel Guerra León explicó que para que haya ingresado un virus troyano al sitio web del Indeci, esta entidad debe haber tenido una aplicación o servicio que no estaba actualizado, lo que sería un descuido de los responsables del área.

Guerra señaló que la entidad tiene que revisar el servidor para detectar por dónde pudo haberse metido este virus. “Los administradores del Indeci deben estar monitoreando la red o el servidor para detectarlo, deben limpiar todo el servidor. El administrador debe tener una copia de seguridad que nunca haya sido infectada”, resaltó.

El experto en ciberseguridad alertó que, con este virus, se perjudica tanto el usuario como la institución. Destacó que se afecta la imagen del servidor del Indeci porque si muchos antivirus detectan que su sitio web tiene algo malicioso, lo mandan a una lista negra y puede que si dentro de la institución quieren enviar un correo electrónico, no llegue a su destino porque otros servidores lo tienen marcado como negativo.

“Si un usuario se infectó al ingresar a la página web del Indeci, si instala un antivirus, puede limpiar su máquina. Si no tiene un antivirus, va a vivir con este malware en su computadora hasta que se manifiesten algunas características, como que el equipo se vuelve lento, aparecen páginas raras o alguien externo captura sus contraseñas”, dijo Guerra a este medio.

Responsables del Indeci

 

El Indeci depende del Ministerio de Defensa, cuyo titular es el general del Ejército Peruano en retiro Jorge Chávez, quien fue jefe de esa entidad entre 2017 y 2020 y coordinador del COEN durante la emergencia de El Niño Costero, en 2017. El actual jefe del Indeci es el general EP (r) Carlos Yáñez Lazo.

El responsable del sistema informático es el coronel EP (r) Eduardo Malca Valverde, jefe de la Oficina General de Tecnologías de la Información y Comunicaciones, desde el 24 de febrero de este año. Antes de asumir ese cargo fue coordinador del Centro de Operaciones de Emergencia Nacional (COEN) y, en 2017, fue asesor del Ministerio de Defensa.

 

 

Indeci
Jefe del Indeci, Carlos Yáñez, y ministro de Defensa, Jorge Chávez, son responsables del sistema de gestión de riesgos y desastres, pero ciberdelincuentes vulneran su propia seguridad. Foto: Presidencia de la República

 

El jueves 16 de marzo, Convoca.pe se comunicó con el Indeci, a través del jefe de la Oficina General de Comunicación Social, el capitán de armas de comunicaciones del Ejército Peruano Rodolfo Armando Leveau Jarrin, quien sólo respondió "hola" a nuestro mensaje sobre la propagación de un virus a través de su sitio web.

Al día siguiente, el viernes 17 de marzo, llamamos a Leveau para preguntarle si había hablado del virus con el área de informática e insistirle sobre la urgencia de solucionar este problema, pero dijo que estaba muy ocupado coordinando la conferencia de lanzamiento de la cruzada nacional “Con Punche Perú Solidario: Actuemos todos”, que se realizaba en el almacén central de la entidad con la participación de la presidenta Dina Boluarte, y cortó la llamada telefónica.

 

Actualización: Lunes 20 de marzo de 2023

Hoy, en el sitio web del Indeci ya no aparece el virus JS/Agent.PIV, cada vez que se cargan los reportes de emergencia. Fuentes cercanas a esa entidad señalaron que en el área de informática recién se enteraron del malware el sábado 19 de marzo, cuando Convoca.pe difundió esta publicación. Ese día, personas vinculadas a dicho organismo se comunicaron con este medio y dijeron que el coronel EP (r) Eduardo Malca Valverde, jefe de la Oficina General de Tecnologías de la Información y Comunicaciones, nos llamaría para dar su versión, lo cual nunca ocurrió.

 

Portada: La presidenta Dina Boluarte, el premier Alberto Otárola y el jefe del Indeci, Carlos Yáñez, en sede del COEN. Foto: Presidencia de la República