La página gob.pe, relacionada al Gobierno del Perú, habría sufrido un presunto ataque cibernético por parte de hackers, lo que ocasionó que el sitio web se cayera temporalmente. A pesar de la interrupción, el portal fue restablecido después de unos minutos de inactividad.
El ataque estaría a manos de Rhysida Ransomware, un tipo de malware que forma parte de un grupo de ciberdelincuentes que utilizan la táctica de “ransomware” para extorsionar a sus víctimas. Según el reporte publicado por DarkWeb Informer, los ciberdelincuentes habrían solicitado un rescate de 5 bitcoins, lo que equivale a aproximadamente 1,779,568.25 soles.
Los atacantes habrían dado un plazo de siete días para que se realice el pago, de lo contrario, podrían revelar información sensible o realizar nuevos ‘hackeos’.
¿Se cayó el sitio web del Gobierno de Perú?
Tras la divulgación de este hecho por la plataforma especializada en ciberseguridad, algunos usuarios afirmaron que experimentaron dificultades para acceder al sitio web oficial del Gobierno peruano (www.gob.pe).
Algunos usuarios en redes sociales, especialmente en X, comentaron que los problemas de acceso fueron causados por no incluir el prefijo “www” en la dirección, lo que generó confusión.
En diálogo con Infobae Perú, César Vílchez, secretario de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros (PCM), descartó que la plataforma www.gob.pe haya sufrido un ataque o caída reciente. Indicó que, según los reportes recibidos, el sitio ha funcionado con normalidad durante todo el día y no se han registrado caídas sospechosas en las últimas semanas.
“Los datos de www.gob.pe están a salvo, se tiene copias de respaldo diario y en alta disponibilidad”, comentó.
Vilchez precisó que la dirección oficial del Gobierno es www.gob.pe, y no gob.pe, dominio que pertenece a la Red Científica Peruana, actual NIC.pe. Añadió que la plataforma cuenta con copias de respaldo diario y sistemas en alta disponibilidad, lo que garantiza la integridad y seguridad de la información alojada.
Ciberataque afectaría documentos oficiales
De acuerdo con capturas divulgadas en redes sociales, el grupo de ciberdelincuentes Rhysida habría accedido a documentos oficiales pertenecientes a distintas esferas del Estado peruano. Entre los archivos comprometidos figurarían comunicaciones internas de ministerios, gobiernos regionales y otras entidades públicas.
Pese a la difusión de estas imágenes, la Presidencia del Consejo de Ministros no ha confirmado el ataque ni ha brindado detalles sobre la presunta filtración. En lugar de ello, emitió un comunicado en el que anunció que la Mesa de Partes Digital de la PCM permanecerá fuera de servicio el domingo 4 de abril, desde la medianoche hasta las 8:00 p.m.
“Este mantenimiento es necesario para continuar mejorando la calidad y disponibilidad del servicio que brindamos a la ciudadanía a través de nuestra plataforma digital”, indicó la institución.
Rhysida, el grupo detrás del ataque
Rhysida es un grupo de ciberdelincuentes que opera bajo el modelo de “ransomware como servicio” (RaaS), ofreciendo herramientas de cifrado a otros atacantes a cambio de una parte del rescate. Desde su aparición en mayo de 2023, ha atacado a diversas organizaciones en sectores como salud, educación, tecnología y gobiernos de América Latina, Europa y Estados Unidos.
Su modus operandi incluye la infiltración mediante correos electrónicos de phishing, el uso de herramientas como Cobalt Strike y PsExec para moverse lateralmente en las redes, y la exfiltración de datos sensibles antes de cifrarlos.
Tras el ataque, exigen un rescate y amenazan con publicar la información robada en su sitio en la dark web si no se paga.
Entre sus víctimas más conocidas están el Ejército de Chile, el PAMI en Argentina y la Biblioteca Británica, donde robaron 600 GB de información y la difundieron tras no obtener el pago.
¿Qué es un ransomware?
Un ransomware es un tipo de malware (software malicioso) que bloquea el acceso a los archivos o sistemas de una víctima y exige un rescate para liberarlos. Funciona cifrando la información del usuario, lo que impide que pueda acceder a ella sin una clave de descifrado que solo poseen los atacantes.
Generalmente, el ransomware se propaga a través de correos electrónicos de phishing, archivos adjuntos infectados o enlaces maliciosos. Una vez que infecta un equipo, muestra un mensaje con instrucciones para pagar el rescate, usualmente en criptomonedas como Bitcoin.
Si no se paga dentro del plazo que imponen los atacantes, estos amenazan con borrar los datos o hacerlos públicos. Algunas variantes también roban la información antes de cifrarla.