MENÚ
En las últimas semanas hemos visto caer ante un ataque de ransomware a operadoras de teléfono, ayuntamientos, ministerios e incluso al Servicio Público de Empleo Estatal (SEPE). Cuando se publicó este artículo, medios de comunicación y fundaciones dependientes de un ministerio nacional tenían sus páginas web caídas porque la empresa que las tiene alojadas en su nube había sufrido un ciberataque con este tipo de virus.
El ransomware, como explicamos en este artículo de Maldita Tecnología, es un tipo de virus informático que actúa secuestrando la información almacenada en los servidores de una empresa o administración y cifrándola para hacerla inaccesible. Una vez hecho eso, los ciberatacantes piden un rescate económico a cambio de la clave criptográfica que permitirá desencriptarla y hacerla legible de nuevo para sus propietarios.
La base de este tipo de programa malicioso o malware es el chantaje: si no se accede a pagar lo que piden los ciberdelincuentes, normalmente estos amenazan con publicar o incluso borrar la información que han sustraído (ransom significa ‘secuestro’ en inglés). En muchos casos, esta incluye los datos personales de los clientes de una empresa o los ciudadanos de una región, por lo que las entidades no quieren arriesgarse a dejar que esto ocurra y pagan. Sobre todo porque, en el caso del borrado y de no contar con una copia de seguridad se quedarían sin los datos.
Imaginaos este caso con una gestoría que tramita las nóminas y la documentación de facturación de 40 ó 50 compañías: si no pueden acceder a esa información y tampoco cuentan con un backup (una copia de seguridad a la que recurrir), todas las personas que dependen de su gestión se quedarían sin su sueldo mientras se recupera la empresa.
Combatir este tipo de ataque es sumamente difícil porque, a menos que se haya hecho una buena labor preventiva para que el robo de datos no suponga un problema a nivel de infraestructura para la empresa, el chantaje deja a las víctimas sin capacidad de actuación. De ahí que sea tan difícil para una entidad como el SEPE o una empresa de almacenamiento en la nube recuperar su servicio como si nada.
Ciberpolizas contra los ransomware: para qué sirven y por qué pueden terminar desapareciendo
La forma que tienen algunas empresas de combatir estos ataques es contratando ciberpolizas a aseguradoras para cubrir los gastos del rescate de los datos. Pero hasta ese mecanismo está empezando a ser un problema porque se fomenta el resolver el problema cediendo a las extorsiones de los ciberdelincuentes.
En algunos países, como Francia, ya han considerado que estas cláusulas son contraproducentes. El resultado es que una compañía internacional de seguros, AXA, ha decidido eliminar de las pólizas de seguridad informática que ofrece el pago por ataques de ransomware para sus clientes franceses. Según la agencia de noticias Associated Press, Francia es el segundo país después de Estados Unidos que más ataques de este tipo recibe y de ahí esta decisión.
¿Dejar de ceder a los chantajes es entonces la única solución para parar este tipo de ataques? “Normalizar el pago no solo ha hecho que el negocio del seguro no sea rentable sino que ha alimentado la propia industria del cibercrimen. Recordemos que una de las estrategias contra los atacantes es que si no se les paga, el negocio de la extorsión dejará de serles rentable”, expone en su perfil de Twitter Sergio de los Santos, especialista de ciberseguridad en ElevenPaths.
Las autoridades siempre recomiendan que no se realice el pago, pero eso deja a las empresas en la misma encrucijada: o lo hacen o pierden el acceso a su servicio y se meten en un lío igual de grande, el de hacer frente a las consecuencias de perder los datos de sus clientes: “Que se filtren esos datos implica una responsabilidad desde el punto de vista de la reputación pero también dependiendo de la sensibilidad de esos datos hablamos de multas, pérdidas de clientes, etc.”, recalca a Maldita Tecnología Marta Beltrán, coordinadora del Grado en Ingeniería de la Ciberseguridad de la Universidad Rey Juan Carrlos.
La pandemia de COVID-19 ha resaltado lo fácil que es alcanzarnos con este tipo de ataques
Ataques con ransomware llevan produciéndose ya años y años y algunos han tenido una repercusión muy grande, tal y como nos recuerda Jorge Louzao, un maldito especialista en ciberseguridad que nos presta sus superpoderes, pero la facilidad con la que atacan ahora a sistemas de riesgo como hospitales o ayuntamientos los ha hecho mucho más mediáticos, especialmente en España.
La pandemia de COVID-19 ha hecho además que cosas que antes teníamos normalizadas que ocurrieran en el mundo offline, como ir al colegio o ir al médico, ahora transcurran en Internet. De ahí que el Centro Nacional de Inteligencia, del que depende el Centro Criptológico Nacional (CCN), alertase a finales de 2020 que los ataques informáticos se habían duplicado respecto al año anterior, según recogió Efe en una presentación de su directora.
“El problema de la seguridad informática es que en muchos sitios no se aplica correctamente: el trabajo es minimizar el daño y tratar de evitar que entren pero siempre pensando que van a conseguir entrar. A partir de ese punto, analizas cómo minimizar el daño y creas una serie de medidas para que, si entran y consiguen algo, que sea basura para ellos”, aclara Louzao.
El ransomware ‘como servicio’ o por qué cada vez se necesita menos tener conocimientos informáticos
Louzao recuerda que parte de la motivación para atacar a un ministerio o a una empresa es que “hay gente con ganas de conseguir dinero fácil”, pero que hay una razón de trasfondo mucho más importante: “Hay actores extranjeros pagados por gobiernos que lo que buscan es desestabilizar las economías. El ataque al SEPE, si llega a ir más allá y no se cobran las prestaciones, hubiese afectado mucho a la economía”.
En su opinión, la razón por la que hay ataques con ransomware tan difíciles de combatir es porque quienes los diseñan están en países que no tienen un modelo democrático que pueden permitirse pagar y formar a personas para crear este tipo de virus con un fin concreto: “La situación a la que nos enfrentamos es que ellos no juegan con tus reglas porque tú [como empresa o gobierno] estás en un estado de derecho y tienes que seguir unos procedimientos, poner denuncias llegado el caso… A los ciberdelincuentes les da igual todo esto porque ellos están en una batalla”.
Tampoco se necesita tener conocimientos informáticos para dirigir un ataque de este tipo si sabes a quién puedes “comprar” el servicio, según nos explica Beltrán.
“Hay mafias que crean ransomware como un servicio (‘as a service’ en inglés): programan un ransomware y lo ponen a la venta o incluso crean una campaña para venderlo. Es un modelo de negocio para los cibercriminales muy fuerte porque ven que les funciona: hacen campañas muy rápidas donde consiguen mucho dinero en poco tiempo, igual que antes se contrataba a un mercenario”, detalla esta especialista.
El problema para perseguir a estos grupos es que a nivel tecnológico están “deslocalizados geográficamente”: “Las víctimas están en un país, el ataque se ha lanzado desde otro, la mafia que lo ha lanzado está en otro, quien lo ha contratado está en otro y así”, señala.
Cómo hacerles frente: las copias de seguridad y la formación son esenciales para paliar los efectos de un ransomware
Hay que tener en cuenta que, aunque hay ransomware más sofisticados que pueden encontrar, digamos, una “puerta trasera” en una red informática, normalmente este tipo de virus entran por un fallo humano. Aplicando ingeniería social es, según Beltrán, como los ciberatacantes consiguen entrar la mayoría de las veces en los sistemas.
“Los vectores de entrada de ransomware son los tradicionales de cualquier software malicioso: el email, al que adjunto un archivo que hace que te infectes como un PDF o un Excel de una factura o un link en el que pinchas y te llevan a un sitio malicioso en el que te terminas infectando a través de una vulnerabilidad en tu ordenador”, precisa. “Otro tipo de entrada son los links acortados, nos hemos acostumbrado a pinchar en estos enlaces acortados en redes sociales, pero en realidad no ves el enlace y confías en él porque está en Facebook o Twitter, pero puede llevarte a un sitio malicioso”.
Por eso, sin que se forme a los empleados de una empresa al menos en nociones básicas de seguridad informática, hacer frente a este ataque seguirá siendo un imposible. Además, según esta especialista, la herramienta principal para protegerse de un ransomware si no se quiere pagar el rescate es asegurarse siempre de tener una copia de seguridad de todos los datos. Así, si un ciberataque con ransomware se hace con ellos y los cifra, la entidad puede seguir teniendo acceso a ellos y puede poner en marcha de nuevo sus sistemas.
Eso a nivel infraestructura, porque como hemos explicado antes todavía no hay un consenso, más allá de no pagar a los delincuentes, sobre qué hacer cuando el chantaje es extremo y nos amenazan con publicar toda la información que se tiene en Internet, dañando así la reputación de un organismo pero también la privacidad de los usuarios.
En este artículo ha colaborado con sus superpoderes el maldito Jorge Louzao, especialista en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 10/05/2021
