'Runners' y ciclistas, sin 'trackeo' de sus actividades durante días por el ciberataque a Garmin

Garmin, el fabricante estadounidense de relojes inteligentes, dispositivos GPS y que ofrece soluciones de software para deportistas y equipos de seguimiento para la conducción terrestre e incluso navegación marítima y aérea, sufrió un ataque informático el 23 de julio a consecuencia del cual ha estado casi 96 horas inoperativo.

Como resultado, el servicio Garmin Connect, la aplicación preferida por los deportistas ―permite a sus usuarios controlar sus rutinas de ejercicio físico y compartirla con otros dispositivos y servicios―, estuvo caído en todo el mundo. Su página web y el centro de atención telefónica también experimentaron problemas. El fallo de seguridad, en un principio atribuido a un problema temporal con los servidores, lo propició un ciberataque con un virus. Según informa ZDnet, varios empleados de la compañía señalan en redes sociales al ransomware WastedLocker como responsable del incidente.

En principio no figura ninguna firma o autoría en los mensajes recibidos por Garmin. Existen programas que presentan similitudes con WastedLocker, tales como Dridex y BitPaymer, malware desarrollados por Evil Corp, un grupo cibercriminal ruso. De ahí que algunas fuentes señalen a este grupo como posible autor del ataque.

Cómo actuó el virus

Durante el ataque, las cuentas de correo, los ordenadores personales y los servidores de la compañía se mostraron inactivos, así como los servicios flyGarmin (para la navegación aérea) y Garmin Explore.

Incluso las fábricas de la empresa en Taiwán detuvieron sus líneas de producción durante más de 48 horas. Diversas fuentes aseguraron que los atacantes pidieron a la compañía el desembolso de 10 millones de dólares (unos 8,5 millones de euros al cambio) para restituir la normalidad en sus servicios. El virus actúa restringiendo el acceso a determinadas partes o archivos del sistema y pide un rescate a cambio de levantar la restricción. Mientras ha estado activo, los dispositivos Garmin y sus aplicaciones para celulares han podido abrirse, pero no sincronizar datos.

Y este hecho, frecuente cuando los servidores fallan, ha tenido lugar al mismo tiempo que el bloqueo de la página web y el centro de llamadas. Durante la contingencia, Garmin notificó a sus usuarios que estaba procediendo a realizar un mantenimiento de sus servicios por unas horas, aunque al parecer este se alargó durante todo el fin de semana.

¿Robo de datos?

Por el momento se desconoce si los datos de los usuarios han quedado expuestos. Con altibajos, los dispositivos volvieron a funcionar en la mañana del 27 de julio y se han podido recuperar los resultados de las actividades deportivas realizadas por sus usuarios durante el tiempo en que Garmin ha estado caído.

Con el ransomware Wasted Locker se han podido encriptar datos de Garmin y exigir un rescate a cambio. Los usuarios de Garmin suelen compartir sus resultados deportivos en las redes sociales, pero los dispositivos GPS de la compañía permiten vincular su ubicación con nombres y cuentas en la red.

WastedLocker ejerce un ataque de especial sofisticación, por lo que no se conocen métodos de defensa. Es un programa que captura los archivos guardados en el sistema y los encripta mediante una clave. Rastrea archivos personales, bases de datos, servidores de archivo e incluso entornos en la nube. Acto seguido muestra un mensaje requiriendo el pago de una cantidad de dinero para descifrar los archivos. Con todo, a las empresas se les aconseja no pagar ningún rescate, pues ha habido casos en que los ciberdelincuentes cobran el dinero y dejan el virus activo.

A fecha 27 de julio, Garmin ha recuperado ya los datos y los servicios, al menos de manera parcial. En todo caso, esto no tiene por qué haber significado una quiebra total de las rutinas deportivas de sus usuarios, ya que existe la posibilidad de volcar manualmente los resultados registrados por un reloj deportivo de esta marca o utilizar otras aplicaciones.

En los últimos meses este tipo de ciberataques han sido habituales. Por lo que respecta a España, empresas como Adif (el operador y gestor de la red ferroviaria del país) y Prosegur (servicios globales de seguridad) se han visto también afectadas.