El secuestro de información (‘ransomware’) no es algo que sea muy novedoso, pues el primero se presentó en 1991, usando una conferencia sobre el sida para que las víctimas insertaran un disquete –sí, un disquete–, que contenía el secuestrador y que cargaba en la máquina de la víctima un mensaje de cómo pagar el rescate. Desde ese momento los equipos de ciberseguridad tenemos una guerra contra este tipo de ataque cibernético.
Pero en los últimos meses se ha visto un incremento bastante significativo de este tipo de ataque, y con una serie de cambios en sus objetivos. Al inicio, los delincuentes usaban ataques masivos en los que cualquier usuario podía ser infectado. Incluso hasta hace solo 3 años se presentaron casos de impacto mundial, como WannaCry.
Pero hoy el enfoque es diferente, y se trata de ataques mucho más selectivos y con víctimas muy puntuales, como el ransomware WastedLocker, con el que atacaron a Garmin.
Este cambio de objetivos obedece exclusivamente a factores económicos: los delincuentes encontraron mecanismos adicionales para generar presión sobre el pago del secuestro de la información al poder amenazar a las organizaciones con la divulgación de los datos secuestrados, lo que en algunos países genera sanciones económicas muy altas, sin contar también con los problemas de reputación que esto genera.
Retomemos los casos antiguos, y el más representativo, el ataque masivo con WannaCry, ocurrido el 13 de mayo de 2017: este afectó unos 300.000 equipos en cerca de 150 países del mundo, y aún se ven afectaciones de este. El seguimiento de las 3 billeteras de bitcóin en las que los delincuentes recibían los pagos hacían las víctimas reveló que estos lograron recaudar 51 bitcoines, que en ese momento representaban un poco más de medio millón de dólares.
Lo cual para algunos es una cifra que se puede considerar alta y suficiente, pero tras la información que se ha revelado de los ataques de empresas como Garmin y CWT, en los que se pedían rescates de 10 millones y 4,5 millones de dólares respectivamente, es evidente que con un solo ataque la cifra de la recompensa puede ser mucho mayor a la recaudada en un ataque masivo.
Adicionalmente al secuestro de la información, se ha podido conocer que los atacantes amenazan con la divulgación de los datos secuestrados si no se hace el pago del rescate solicitado, como se puede ver en los mensajes divulgados en el caso de CWT. Esto aumenta significativamente el riesgo para una compañía, pues no es solo la pérdida de datos, sino la exposición de información sensible de clientes o de sus servicios.
Estos dos no son los únicos casos, pues se han conocido otros en los que empresas en Latinoamérica se han visto afectadas por este tipo de ataque extorsivo, pero ninguna de estas ha aceptado el pago de la extorsión. Todas han restaurado la operación o parte de esta usando los respaldos que tenían.
Sin lugar a dudas, tener respaldos de la información de las empresas es algo vital en los procesos de recuperación de incidentes, pero en el caso de la extorsión por divulgación de información sensible estos son poco útiles para la prevención del impacto reputacional y económico que puede generar que se materialice la amenaza de los delincuentes.
Por lo tanto, las empresas deben empezar a pensar en los mecanismos de protección que requieren para prevenir, más que para reaccionar, ante un ataque que está totalmente orientado y pensado en afectar su organización, que a diferencia del ransomware común, tienen un estudio previo de sus debilidades en los sistemas de seguridad.
Por ello, ante esta nueva generación de ransomware, las recomendaciones tradicionales no se pueden aplicar y las medidas reactivas no son suficientes.
Es fundamental que se empiece a pensar en esquemas de cero confianza (Zero Trust), en los cuales todo lo que sucede con cada dato es monitoreado y tiene una trazabilidad permanente de quien y cuando lo accedió, para lo que se requiere tomar medidas que pueden ser simples y no requieren inversiones, sino cambios de mentalidad dentro de unidades de TI en las empresas.
Medidas como deshabilitar las contraseñas locales, eliminar la posibilidad de cuentas administrativas en los equipos de la empresa y no permitir la instalación de aplicaciones o software adicional en las máquinas, no requieren de inversión sino de cambios en las configuraciones y aplicación de restricciones en los sistemas de administración de usuarios en la red.
Sin duda, este es solo un primer paso que se debe tomar para prevenir este tipo de ataques. Se trata de recomendaciones de acciones que parecen simples y comunes, pero que en nuestra experiencia las empresas no cumplen rigurosamente. Esto lo confirman los mismos delincuentes en las conversaciones dadas a conocer con el equipo técnico de CWT, que fueron algunas de las debilidades que les permitieron tener éxito en el ataque.
