El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

-

Por Genaro Delgado – Cofundador de </cyberwag>

Este post pretende ser una pequeña guía para las organizaciones y personas no familiarizadas con este tipo de amenazas a la hora de conectarse a sus mundos digitales ya sea por trabajo, educación o entretenimiento. Debemos conocerle y saber cómo prevenirlo y prepararnos para saber cómo enfrentarlo en caso de ser víctimas.

El “ransomware” es un malware (programa de software malicioso) que impide que el usuario acceda a los archivos o programas, y para su eliminación se exige pagar un “rescate” a través de ciertos métodos de pago en línea, comúnmente piden transferencias a cuentas no rastreables de criptomonedas como BITCOINS. Una vez pagada la cantidad, el usuario puede reanudar el uso de su sistema. Generalmente se propaga a través de correos electrónicos tipo phishing, publicidad maliciosa, visitando sitios web infectados o explotando vulnerabilidades de los sistemas operativos o programas con los que trabajan o se divierten los usuarios. 

De acuerdo con un informe publicado por Coverware, en los últimos meses del 2019 comenzó a observarse una nueva tendencia en los ataques de ransomware sumando al secuestro de los archivos, la práctica extorsiva de amenazar con la filtración de la información comprometida. Esta técnica conocida como doxing, consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. 

Existen muchas razones que explican el interés por parte de las víctimas para intentar evitar la filtración de la información pagando los rescates, ya que además del daño a la reputación, las afectaciones a la productividad, los accesos no autorizados, la interrupción de las operaciones o las pérdidas financieras, a la lista de las consecuencias se suman las multas o penalizaciones debido a legislaciones, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Los ataques típicos suelen pedir montos de USD$1,000 a USD$5,000. Sin embargo, otros ataques son mucho más ambiciosos, especialmente si el atacante es consciente de que los datos que capturó pueden causar pérdidas financieras directas y considerables a una empresa, y en este caso puede pedir cantidades que van desde los USD$50 Mil y hasta cifras que superan los USD$100 Millones. 

De acuerdo a datos del laboratorio de amenazas de SYMANTEC, en este segundo semestre del 2020 se ha detectado una oleada de ataques ransomware contra unas 30 compañías, algunas de ellas pertenecientes a la lista de Fortune 500. Y prevén que el costo ocasionado por estos incidentes cobrará USD$6 Billones en el 2021 a nivel mundial.

Otro dato preocupante es que el 75% de las empresas víctimas del ransomware estaban ejecutando software de protección tipo anti-malware, o anti-spyware de licencia y actualizado. 

 Según datos de empresas como ESET y Checkpoint, cada 12 segundos en este 2020 hay una víctima por ransomware, y para el 2021 serán cada 10 segundos o menos.

¿Cómo puedes caer y ser víctima de un ransomware?

Normalmente los cibercriminales usarán varios métodos, y combinaciones de los mismos, para “explotar” las vulnerabilidades de los sistemas y de las personas.

Entre los métodos y técnicas más comunes están:

Conseguir cuentas con privilegios de administrador para tener acceso a la red. Con estas cuentas administradoras podrán instalar software, en este caso malware en los equipos.

Comúnmente obtienen estos datos mediante:

1.- Correos y mensajes tipo phishing y sus variantes, que contiene enlaces web maliciosos o adjuntos como un documento de Microsoft Office (normalmente un archivo Excel pretendiendo ser un pedimento o una factura) o un archivo comprimido (.rar, .zip) que contienen macros o ficheros de JavaScript que descargan el malware.

2.- Debilidades de procedimiento, por ejemplo no cambiar el usuario y contraseña por defecto, o vulnerabilidades del software. 

Engañar a los usuarios, mediante técnicas de ingeniería social, para que instalen el malware. 

Esta es la más frecuente y la más fácil para el cibercriminal. Por ejemplo mediante un mensaje suplantando a un amigo o conocido con un enlace a un sitio que aloja el malware. También se utilizan estas técnicas a través de redes sociales o servicios de mensajería instantánea.

ingenieria-social

A través del método conocido como drive-by download. 

Este método consiste en dirigir a las víctimas a sitios web infectados, descargando el malware sin que lo perciban, aprovechando las vulnerabilidades de su navegador. También utilizan técnicas como malvertising la cual consiste en incrustar anuncios maliciosos en sitios web legítimos. El anuncio contiene código que infecta al usuario con y sin que este haga clic en él. 

Aprovechando los agujeros de seguridad o vulnerabilidades del software de los equipos, sus sistemas operativos y sus aplicaciones. 

Los desarrolladores de malware disponen de herramientas que les permiten reconocer dónde están las vulnerabilidades e introducir así el malware en los equipos. Por ejemplo, algunas variedades de ransomware utilizan servidores web desactualizados como vía de acceso para instalar el malware. Otro caso que está tomando mucha relevancia en estos últimos años es que los cibercriminales se están aprovechando de sistemas industriales SCADA (Supervisión, Control y Adquisición de Datos) conectados a Internet (sistema de Internet de las Cosas) sin las medidas básicas de seguridad. Por ejemplo, en las industrias están conectando a Internet equipos de aire  acondicionado, impresoras en red, máquinas de control numérico, sensores en las líneas de producción, etc., sin las mínimas medidas de seguridad que esto representa para la organización.

¿Quién suele ser víctima de un ransomware?

A finales del 2019, El Economista realizó un análisis sobre los sectores más atacados por cibercriminales. Con base en los estudios de organizaciones internacionales e instituciones del sector privado, el diario mexicano determinó que las instituciones financieras, los sistemas de infraestructura crítica, la industria 4.0, la cadena de suministro y los usuarios finales, registraron el mayor número de ataques cibernéticos.

1. Instituciones financieras

De acuerdo con el reporte “Estado de la Ciberseguridad en el Sistema Financiero Mexicano”, realizado por la Organización de Estados Americanos (OEA) en colaboración con la Comisión Nacional Bancaria y de Valores (CNBV), ninguna de las instituciones financieras en nuestro país se salvó de recibir intentos de ciberataques durante el 2019.

Más del 40% de estos intentos tuvieron éxito. Tanto bancos como Fintechs, Sociedades Cooperativas de Ahorro y Préstamo (Socaps) y Sociedades Financieras Populares (Sofipos) fueron víctimas de ataques cibernéticos que les costaron durante el 2019 alrededor de 107 millones de dólares en respuestas y recuperación.

2. Sistemas de infraestructura crítica

Los sistemas de infraestructura crítica (físicos y virtuales) son aquellos que proporcionan funciones y servicios esenciales para dar respaldo a los sistemas sociales, económicos y ambientales; por ejemplo, las infraestructuras de corriente eléctrica, suministro de agua, sistemas de transporte, fuerzas de seguridad, servicios médicos de hospitalización y servicios de emergencia. En las empresas, estos sistemas hacen posible la operación y expansión del negocio.

De acuerdo con la firma de ciberseguridad Kaspersky, en nuestro país más del 50% de los sistemas críticos en México sufrieron intentos de infección con algún tipo de malware durante el 2019.

La mayoría de estos ataques se realiza a través de internet, de dispositivos removibles, como memorias USB o de mensajes de correo electrónico.

3. Industria 4.0

Actualmente las empresas empiezan a integrar la producción y las operaciones físicas con tecnología digital, creando espacios ciberfísicos hiperconectados a través de internet.

Estás características han colocado a la industria 4.0 como blanco de ciberdelincuentes, una tendencia que va en aumentos sobre todo en el sector automotriz.

4. Cadena de suministro

Una cadena de suministro o abastecimiento es un conjunto de elementos que permiten que las empresas cuenten con la organización necesaria para llevar a cabo el desarrollo de un producto o servicio y que éste cumpla el objetivo principal de satisfacer las necesidades del cliente final. Por ello, cuando son atacadas por ciberdelincuentes, la operación y reputación de las empresas se ven afectadas.

Los ciberataques tienen como objetivo vulnerar los sistemas de los equipos y maquinaria provistos por terceros proveedores de una empresa para luego introducir malware que afecta a otros sistemas de la organización.

5. Usuarios finales

Todos somos tan vulnerables a un ciberataque tanto como un Pemex, Coca Cola, SAT, Condusef o hasta Banorte o  HSBC o Facebook, incluso hasta más. La población en general hace uso de internet a través de dispositivos en los que almacenan información sensible como datos personales, bancarios o laborales. Por ello, México se encuentra entre los primeros 10 países con mayor número de infecciones con malware en dispositivos móviles.

A partir de 2018 los ataques masivos de ransomware empezaron a disminuir para enfocarse en ataques más dirigidos,  es decir, dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. Los atacantes tienen varias formas de elegir a qué organizaciones apuntar. Podría ser una cuestión de oportunidad o la probabilidad de pago. Y bajo este concepto…

las empresas catalogadas como PyME se convierten en “blancos” casi seguros de pago, ya que el 26%  de este tipo de empresas opta por el pago de rescate. 

Tipos comunes de ransomware

Cifrado ransomware

El malware cifra los archivos y se exige el pago para descifrarlos. La única forma de recuperar la información es pagar el rescate (lo cual no se recomienda en lo absoluto) o usar una herramienta de descifrado. Incluso si paga el rescate, no hay garantía de que el atacante mande la llave o programa de desencriptación de archivos.

TeslaCrypt

Scareware

Es un software de seguridad falso que afirma que hay malware en la computadora. El usuario final recibe una ventana emergente que exige el pago de la eliminación. Si no se realiza un pago, las ventanas emergentes continuarán, pero los archivos generalmente son seguros.

Bloqueadores de pantalla

El ransomware reemplaza la pantalla de inicio de sesión con una pantalla que exige el pago. A menudo, la pantalla tiene el logotipo de organismos o agencias de aplicación de la ley, por ejemplo del FBI o de la CIA.

Mobile ransomware

En este caso, se aplica alguno de los tipos anteriores, pero en sistema operativo móvil, comúnmente en Android, ya que éste sistema operativo, a diferencia de iOS de Apple, te permite la instalación de apps de terceros o de sitios no seguros. 

¿Pagar o no pagar el rescate?

Esta pregunta es más compleja de lo que parece ya que por un lado, tanto los organismo de seguridad, por ejemplo aquí en México la policía cibernética, como muchas de las empresas que nos enfocamos a la Gestión de riesgos digitales y ciberseguridad, no recomendamos que se haga el pago del rescate con el objetivo de reducir el incentivo para crear más ransomware, además como lo habíamos mencionado, no tenemos la certidumbre de que con el pago realmente nos manden la llave o programa de descifrado de los archivos. 

Por otro lado, es importante reconocer que para las empresas que pueden perder datos vitales de su negocio que los puede llevar a un cierre de operaciones, puede tener mucho sentido pagar el rescate. Recordemos que muchos ataques de ransomware han mantenido los precios bajos, entre USD$500 a USD$1,500 con el objetivo de que las empresas puedan pagar. Actualmente los cibercriminales ya pueden detectar el país en el que se encuentra el equipo secuestrado y así ajustan la cantidad del rescate de acuerdo a las zonas económicas. Y como todos buenos negociantes, hasta descuentos ofrecen por pagar rápido. 

Con esta situación, algunas empresas PyME han incluído dentro de sus presupuestos anuales, pagos de rescates para ataques ransomware. Sin embargo para nada esto es una solución, solo es una forma de salir del problema sin arrancarlo de raíz.

¿Por qué no recomendamos pagar el rescate?

  • Pagar no te garantiza que volverás a tener acceso a los datos, recuerda que se trata de criminales.
  • Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
  • Puede que te soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los cibercriminales.

¿Qué hacer en caso de ser víctima de ransomware?

Si cuentas con un plan de respuesta a incidentes y continuidad de negocios y operaciones (DR/BC), ejecútalo lo antes posible para minimizar los daños causados y poder recuperar la actividad lo antes posible. Este plan de respuesta, nos marcará las pautas a seguir para la obtención de evidencias para una posible denuncia de la acción delictiva y como caso de nuestra organización para mejorar los controles.

Sin embargo, solo el 20% de las organizaciones en todo el mundo tienen este tipo de planes, y probablemente estás dentro del 80% que no lo tiene, lamentablemente esto es muy normal y ojalá que empieces a corregirlo. Pero por lo pronto,  es importante que conozcas los pasos mínimos para enfrentar lo mejor posible este ataque:

Aísla los equipos detectados con ransomware inmediatamente, desconectarlos de la red para evitar que este se expanda y ataque otros equipos o servicios compartidos. Aísla o apaga los equipos que no estén aún del todo afectados para contener los daños. Sospecha de todos los equipos y dispositivos conectados en la red, y aplica medidas para garantizar que todos los sistemas no estén infectados. En caso de no contar con personal calificado del área de soporte de TI, simplemente desconecta el o los equipos con ransomware a Internet, apagando el módem o poniéndolos en modo avión por ejemplo.

Si fuera posible cambia todas las contraseñas de red y de cuentas online. Después de eliminado el ransomware volver a cambiarlas.

Identifica el malware o tipo de ransomware que te está atacando. Si fuera posible recoge y aísla muestras de ficheros cifrados o del propio ransomware como el archivo adjunto en el mensaje desde el que nos infectamos.  

Clona los discos duros de los equipos infectados, pues pueden servir de evidencia si vamos a denunciar. Este es un procedimiento que debe realizar técnicos experimentados. Esta copia también puede servirnos para recuperar nuestros datos en caso de que no exista aún forma de descifrarlos (eventualmente la habrá)

Analiza tus opciones. Tendrás que elegir alguna de las siguientes opciones (incluso escalar en ellas):

  • Intentar eliminar el malware.  Si tienes servicios de empresas como ESET, Kaspersky, Symantec, BitDefender, entre muchos más, es importante contactarlos para que ellos te puedan ayudar a definir los pasos a seguir para probar los descifradores que han desarrollado y tener oportunidad de recuperar la información.
  • Limpiar los sistemas y volver a instalarlos desde cero. La forma más segura de eliminar el malware que ha causado el ransomware, es borrando / formateando completamente todos los dispositivos de almacenamiento y volver a instalar todo desde cero. Si has seguido una estrategia de copia de seguridad, deberías de tener copias de todos tus documentos, medios y archivos importantes muy cercanos a la fecha del cifrado de la información, permitiendo mitigar en gran medida el impacto. Pero si no contabas con copias de seguridad, estas en graves problemas.
  • Pagar el rescate 

En cualquiera de los casos, se recomienda analizar de manera inmediata el impacto y consecuencias que tienen para la organización, su costo de implementación de medidas de remediación, y el tiempo de recuperación de operaciones. Esto nos ayudará a tomar la mejor de las decisiones. 

En la medida posible informar a las autoridades pertinentes, por ejemplo en México, a la policía cibernética. Tal vez ellos no podrán ayudarte técnicamente, sin embargo tú ayudarás a proporcionar una mayor comprensión de la amenaza, justifica las investigaciones de ransomware y aporta información relevante a los casos de ransomware en curso. Esto permite la creación y fortalecimiento de leyes o iniciativas a niveles de gobierno que enfoquen a ayudar a las víctimas de estos ataques cibernéticos de una mejor manera.

En el caso de nuestro país México, el Código Penal Federal no proporciona ninguna definición para delitos (ransomware, troyanos, spyware, virus, etc.). Sin embargo, este tipo de comportamiento es similar a la piratería y las sanciones son aplicables en este caso:

“… establece que quien, sin autorización, modifique, destruya o cause la pérdida de información contenida en sistemas o equipos informáticos protegidos por un mecanismo de seguridad, recibirá una pena de prisión de seis meses a dos años, por la autoridad competente, así como una multa. La multa podría duplicarse en caso de que la información se utilice para beneficio propio o para un tercero…”

¿Es conveniente hacer un análisis forense del ataque de ransomware?

Es muy parecido a la pregunta del por qué si pagar un rescate o no hacerlo. Es decir, dependerá de los objetivos e intereses de la organización, y sus recursos disponibles. 

De manera sencilla, lo que se obtiene de un análisis forense es un informe de los resultados de las pruebas que se hicieron para hacer una “ingeniería inversa” del ataque y tratar de hacer visible su ruta de ataque, incluso descubrir el posible atacante. El objetivo es reunir las pruebas para hacer un procedimiento jurídico encontrar del o los criminales. Sin embargo este procedimiento técnico suele ser muy costoso, iniciando con cifras de miles de dólares, y que necesita mucho tiempo para su análisis, y no tiene como objetivo solucionar la restauración de la información.

Por tal motivo, aconsejamos este procedimiento cuando necesitamos reunir evidencias para empezar un procedimiento legal sobre el posible atacante ya detectado con anterioridad. En muchas ocasiones, el atacante suele ser un ex-colaborador enojando o incluso la competencia de la organización.

Si este no es su caso, no mal-gaste sus recursos, mejor inviértelos en mecanismos de prevención y remediación.

¿Cómo protegerse contra el ransomware?

Para protegerse ante el ransomware es necesario adoptar una serie de buenas prácticas con dos propósitos: por una parte, evitar caer víctimas de engaños conociendo los métodos y técnicas que usan comúnmente los cibercriminales, y por otra parte, configurar y mantener los sistemas evitando que sean técnicamente vulnerables.

Para lograr el primer objetivo se necesita una cultura de seguridad de la información tanto en la organización como en el hogar mismo. Y para ello es importante tener una estrategia de Concientización y Formación.  

Es esencial que formemos y concienticemos a todos los integrantes de una organización y/o familia, enseñándoles a reconocer situaciones de riesgo de brechas de seguridad y cómo actuar en consecuencia.

Todos deberán de conocer las políticas de la organización en materia de ciberseguridad, por ejemplo las relativas al uso permitido de aplicaciones y dispositivos, el uso de redes públicas, la seguridad en el puesto de trabajo y en movilidad, y la política de contraseñas.

Más de la mitad de las infecciones con ransomware tienen lugar por medio de ataques de phishing. Es decir, engañan a los usuarios dando acceso a las redes y equipos, instalando el malware, o bien los engañan para conseguir las contraseñas que les permitan los accesos e instalar el malware.

Ahora bien, para lograr el segundo objetivo, y evitar ser infectado, además de ser imprescindible las medidas de concientización, se deben tomar una serie de medidas técnicas y de procedimiento, encaminadas a una estrategia de Prevención.

De manera general y sin profundizar en ellas, las acciones preventivas más significativas serían:

  • Todo el software y sistemas operativos siempre actualizado
  • Política de copias de seguridad periódicas
  • Controlar los accesos
  • Restringir el uso de aplicaciones o equipos no permitidos (Políticas de Bring Your Own Device),
  • Desarrollar y mantener “vivo” el Plan de Desastres y Continuidad de Negocios DR/BC.
  • Software antimalware de licencia, de acuerdo a nuestras necesidades
  • Plan de vigilancia y auditorías 

Lo anterior no garantizará que no seas víctima de un ataque tipo ransomware, pero si te ayudará a mitigar su impacto y consecuencias en las operaciones de tu organización o en un entorno familiar. 

Si su organización está pasando por algún problema como este, o requiere ayuda para desarrollar un plan preventivo, no dude en contactarnos, tenemos planes de gestión de riesgos y ciberseguridad flexibles y adaptables para todo tipo de organizaciones desde micro-empresa hasta grandes corporativos. 

Share this article

Recent posts

La libertad se fundamenta en la privacidad

La libertad empieza con la planeación y contención de los riesgos más allá de la confianza o discreción de la persona en casa.

Nulas y malas prácticas de privacidad, generan brechas de seguridad en todas las organizaciones.

Un estudio a más de 11 mil sitios web, ha demostrado que las organizaciones con malas o nulas prácticas de privacidad tienen un 80% más de probabilidades de sufrir una filtración de datos.

El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

Los ataques de ransomware siguen siendo un gran negocio para los criminales, los avances en la tecnología como la Inteligencia Artificial y los modelos de negocio como el Ransomware as a Service (RaaS), ha permitido que con $50 USD y un poco de conocimiento en computación, cualquier persona se convierta en un cibercriminal.

Sextorsión + Deepfake – Una mezcla peligrosa que generó una amenza de “destrucción masiva” de vidas de jóvenes y adultos en el cibermundo.

Con los avances en IA y Deep Learning, solo es cuestión de tiempo para que las personas resulten en una posición en la que otros suplantan su identidad. No hay diferencia entre alguien hackeando la cuenta de un “famoso” o alguien hackeando a la persona que está en la fila del supermercado. Solo depende de si alguien tiene o no el deseo de apuntarle. - Scarlett Johansson - Víctima de deepfake

Cibervigilancia laboral. La polémica aplicación Hubstaff que ayuda a las organizaciones a “espiar” los movimientos de los empleados a cada segundo en el teletrabajo.

Hubsatff, un “agente” informático que da seguimiento a profundidad de los movimientos de los empleados a cada segundo.

Popular categories

Recent comments