El ransomware asola a Colombia
El secuestro de información ya no es un delito marginal. 58 servidores en Colombia estuvieron secuestrados durante dos meses.
Hace poco una empresa multinacional sufrió el flagelo del temible ransomware, el secuestro de datos. Lo nuevo es que se trata de una empresa que opera en Latinoamérica y de los 72 servidores que le fueron secuestrados, 58 están localizados en Colombia.
El ataque fue lanzado desde suelo mexicano, utilizando el computador de un empleado en El Salvador, al que tuvieron acceso mediante la clásica operación de phishing (páginas web falsas). El empleado en cuestión utilizó el PC de su hijo para conectarse a tareas de oficina, un craso pero frecuente mal hábito en tiempos de pandemia. Los ciberdelincuentes mexicanos, autores del ataque original, vendieron el secuestro a otro grupo, que permaneció durante dos meses en la red de esta compañía realizando labores de information gathering, mediante la aplicación de diversas herramientas para obtener datos sensibles de la compañía. Cuando juzgaron que tenían información suficientemente carnuda, procedieron a la extorsión. Para ello utilizaron Cuba, también conocido como Fidel, una de las herramientas de software más utilizadas para este tipo de delito informático en Latinoamérica.
Los atacantes exigieron cuatro millones de dólares, que debían ser pagados en criptomonedas en el plazo de una semana, o divulgarían la información empresarial sensible. Tenían datos de los clientes de esta enorme compañía que, si llegaran a divulgarse, le traerían serias consecuencias económicas, puesto que la empresa tiene sede en Europa y la conocida ley de protección de datos europea impone severas sanciones.
La historia tuvo final feliz, con tintes cinematográficos. No fue necesario pagar el rescate, porque un grupo de expertos logró vencer a los cibercriminales. Encontraron la puerta de acceso que los atacantes estaban utilizando, la bloquearon, mejoraron la seguridad perimetral y recuperaron gran parte de la información, durante varios días de tensión dramática y una épica batalla de talentos informáticos.
El caso, que es real y muy reciente, deja varias lecciones. Una tiene que ver con las malas prácticas de seguridad, tanto en los niveles más altos de la estrategia como en los más bajos de los usuarios finales en las redes corporativas.
La información no se pudo recuperar completamente porque los backups fueron realizados a medias; un error infantil e imperdonable en el mundo corporativo. “Hay que garantizar que los respaldos estén bien hechos, que se pueden recuperar y que están totalmente aislados de la red”, dice el experto Diego Espitia, Security Researh de Telefónica. Sobre el último punto – alojar los backups en lugar seguro y aislado – agrega que “muchas empresas ponen un disco duro en el servidor principal, o ponen los backups en una carpeta en la nube, gracias a lo cual los atacantes se llevan mucha información en un solo ataque”.
En el caso mencionado, la cadena de descuidos llegó hasta los empleados que fueron enviados a trabajar en casa cuando estalló la pandemia. A estas alturas, todavía el personal carece del entrenamiento básico para asegurar que la red corporativa esté aislada del uso hogareño del computador. El empleado en San Salvador hacía uso en modo promiscuo del PC familiar, el mismo que su hijo utilizaba para tareas escolares y para jugar Fortnite.
Y existe una peligrosa creencia según la cual solo los famosos y los ricos son objeto de interés de los cibercriminales. Espitia nos recuerda que “todos generamos movimientos bancarios, trabajamos en empresas y tenemos un computador o un smartphone”. Con eso basta para convertirse en blanco. La percepción de que a mí no me van a atacar porque no soy nadie, es equivocada. Los análisis forenses de incidentes demuestran que, en la mayoría de los casos, la entrada del cibercrimen en una organización se origina porque alguien abrió un correo, porque el CEO de la empresa se conectó sin utilizar la VPN, o porque un teletrabajador relajó las precauciones en casa.
Ocultarlo es peor
La mayoría de las estadísticas disponibles sobre secuestro de información y, en general, sobre ataques informáticos a las empresas, provienen de Estados Unidos, porque la ley en USA obliga a todas las empresas a denunciar cualquier incidente cibernético. Igual ocurre en Europa desde que se estableció la GDPR. En Colombia nadie está obligado a contar nada sobre sus incidentes informáticos, y la Ley de protección de datos en Colombia refiere solo a los datos publicados, no a los datos privados de las organizaciones. Así que en nuestro país se volvió un hábito ocultar que se ha sido víctima de hackers. No obstante, como en todo el mundo, el ransomware en Colombia ha aumentado al menos 300 por ciento desde marzo de 2020.
Mucha gente se pregunta por qué está de moda este tipo de delito. En realidad, no es nuevo. El primer caso de ramsonware se detectó en 1991 y se le llamo el virus del AIDS Trojan, porque los atacantes aprovecharon una conferencia de la Organización Mundial de la Salud sobre VIH y a todos los asistentes les enviaron disquetes (aquellos viejos formatos de 5,1 pulgadas) con – supuestamente - las memorias del evento. Eddy Willems, funcionario de una compañía de seguros en Bélgica, fue el primero en insertar el disquete y en lugar de las memorias del congreso, encontró que su computador estaba bloqueado y debía pagar 189 dólares para recuperarlo. Era fácil en aquellos días contrarrestar este delito y era poca cosa lo que debía pagarse por el rescate
Pero las empresas hoy dependen de los datos como nunca antes, así que cualquier ataque sobre sus datos puede ser letal, lo que convirtió al ransomware en el delito preferido del cibercrimen moderno. Adicionalmente, ahora es más fácil cifrar datos, porque las capacidades de encriptación evolucionaron de modo asombroso en la última década. “Hoy no dependemos de la capacidad de la máquina, porque con un solo comando se puede cifrar todo un disco. Incluso los sistemas operativos vienen con los cifradores; es una práctica de seguridad”, explica Diego Espitia.
El tercer detonador del secuestro de datos viene de las criptomonedas y el blockchain. En el pasado era sumamente difícil anonimizar los pagos recibidos. Los criminales debían mover el dinero a paraísos fiscales y las operaciones eran rastreadas. Hoy disponen de billeteras de criptomonedas y del popular bitcoin. La tecnología blockchain permite el anonimato absoluto.
Hace treinta años los primeros secuestradores de información aspiraban a obtener 189 dólares. Hoy los rescates fluctúan entre mínimo 100.000 dólares y hasta 50 millones de dólares. Una cadena de proveedores surte esta industria organizada. Unos se dedican a crear las herramientas, otros se encargan de realizar los ataques y vender el secuestro a terceros, que negocian y cobran. Las empresas de cualquier tamaño que subestimen los riesgos están expuestas a alimentar el azote criminal de nuestros días.