El año pasado sin duda mostró la capacidad destructiva de las campañas de Ransomware que se están propagando por todo el mundo. Sin embargo, en muchas empresas aún no han calculado el riesgo asociado al verse afectados por una campaña de este tipo de software malicioso, ya sea porque consideran que no les pasará o porque aún no tienen claro el funcionamiento de este ataque cibernético.
¿Softwares maliciosos?
Iniciaremos explicando de forma básica y practica qué es el Ransomware. Este software malicioso una vez entra al equipo toma cada uno de los archivos del sistema y los cifra, obligando a que cada archivo requiera una clave de descifrado para acceder a la información. El resultado es que la víctima tiene toda su información en el sistema, pero no puede usarla al desconocer la clave de descifrado.
Ya sea usted un colaborador o un directivo de empresa es necesario que esté anuente a la existencia de los softwares maliciosos, precisamente porque es a través de una o varias personas que desconocen de su existencia y de su impacto negativo, que estos tienen entrada a las empresas. Desconocer nos hace blanco perfecto y víctimas sin siquiera imaginarlo. Al acceder a archivos y correos siempre es necesario estar alerta sobre todo con remitentes desconocidos. Tal cual se le da mantenimiento a un auto, es necesario estar anuentes a realizar y en muchos casos solicitar, las actualizaciones de seguridad a sus programas por parte de los encargados. Tenga presente que protegiendo su equipo de trabajo se protege usted y protege a la empresa para la que labora.
Esta amenaza no es nueva, en 1990 usando una conferencia sobre el VIH – SIDA, se solicitó rescate por la información de equipos de personas que tras asistir a esta conferencia recibieron unos diskettes con lo que se suponía eran las memorias del evento, pero realmente contenía un software que cifraba toda la información del sistema y pedía un rescate en efectivo en unas cuentas en paraísos fiscales. Sin embargo, el término Ransomware no tiene más de 4 años y se empezó a denominar así porque en todos los secuestros, el victimario solicita un monto económico por retornar sano y salvo a la persona secuestrada.
En la actualidad, los criminales cibernéticos han combinado varias técnicas de software malicioso para hacer que los usuarios reciban el software de cifrado y puedan pedir un rescate, usualmente solicitado en criptodivisas por el anonimato que estas tienen sobre el real receptor de una transacción económica.
Ahora bien, ya teniendo un poco más clara la amenaza generada por este software malicioso, podemos entender con varios ejemplos la forma en que puede llegar a afectar a una empresa, sin importar su tamaño o el tipo de industria al que pertenezca. Cualquiera puede ser objetivo directo de un ataque con Ransomware o caer en una de las campañas mundiales que se orquestan por delincuentes para recolectar fondos de sus víctimas.
Vamos a entender el impacto que se puede ocasionar en los ámbitos financiero y reputacional de una empresa a través de ejemplos de la vida real, que hemos podido conocer por trabajar directamente en seguridad de la información y en una unidad dedicada a mitigar las amenazas de ciberseguridad como lo es https://www.elevenpaths.com/.
Contabilidad cifrada
Este ejemplo es un ataque dirigido a una empresa de contabilidad, la cual era la responsable de llevar los procesos de impuestos y declaraciones tributarias a más de 150 empresas pequeñas y medianas de un país, para lo cual tenía tres servidores en sus instalaciones y un equipo de dos personas encargadas del mantenimiento y gestión de sistemas.
A uno de los encargados le llega un correo de la entidad oficial de impuestos de la nación, informando la necesidad de instalar un parche en el software de recaudo, por lo que planean la instalación de este parche en el sistema. Una vez es instalado toda la base contable de sus 150 clientes ha quedado cifrada y se solicitaron 7BTC para entregar la clave de descifrado.
La promesa de valor de la empresa no se puede cumplir por no tener acceso a la información que almacenaban en sus equipos, adicionalmente sus clientes se ven amenazados en incumplir sus deberes tributarios y por ende ser sancionados, debido a que su proveedor de este servicio incumplió.
El resultado de este incidente fue el cierre definitivo de la empresa contable y el pago de múltiples multas a sus clientes por los daños generados en el manejo de su información tributaria.
Factura de Servicio Eléctrico
Este ejemplo es de una campaña de engaño en un país donde los delincuentes suplantan una de las empresas de servicio público de electricidad enviando correos a miles de personas con una factura de cobro por cerca de 800USD.
Uno de esos correos llega a la jefe de servicio al cliente de una empresa de renta de vehículos, la cual tiene en su computadora la sesión por la que los agentes de servicio se conectan al servidor de facturación y al servidor que maneja la disponibilidad de los vehículos para rentar. Al ver el correo la jefe se intimida y abre el adjunto que dice ser la factura, el cual muestra una ventana para ejecutarse, aunque es un archivo PDF que no requiere ese tipo de ventanas. La jefe intimidada le da ejecutar y todos los archivos de sistema empiezan a cifrarse, dejando afuera del sistema a todos los agentes de servicio al cliente. Ninguno de los agentes en 12 puntos en el país puede facturar los servicios que actualmente están activos y no pueden acceder ni tener la disponibilidad de los vehículos para los clientes que llegan.
El respaldo de la máquina de la jefe tarda 2 horas en entrar en operación, generando inconvenientes de facturación y perdiendo los clientes durante ese periodo en uno de los fines de semana de mayor movimiento del mes.
Conclusiones
Así como sucedió en estos dos casos que hemos presentado, sucede en miles de empresas alrededor del mundo, en unas con mayor impacto que en otras, pero siempre generando inconvenientes en la operación normal de las labores.
Para tomar medidas adecuadas a tiempo es necesario que las organizaciones conozcan a qué se enfrentan y midan cuál es el posible impacto en su funcionamiento en caso de verse afectado por un software malicioso que cifre la información, calculando que sucede si afecta algo de cara a sus clientes o su es solo afectación interna.
Para contrarrestar el impacto las empresas deben implementar medidas de protección avanzadas en todas sus terminales y generar el conocimiento entre sus empleados con capacitación e información permanente sobre cómo actuar con precaución para evitar caer en engaños, que son el medio más usado para propagar el Ransomware. Todo lo mencionado con anterioridad es importante pero la principal medida de protección que deben tener es realizar un respaldo de su información, verificando que pueda ser recuperada y que contenga todo lo necesario para recuperar el funcionamiento del servicio.
Si una empresa se ve afectada por este ataque, no es recomendable pagar el rescate solicitado por los delincuentes, ya que en su mayoría jamás entregan la llave de descifrado. Para poder recuperar la información es necesario validar que tipo de software fue usado y buscar en https://www.nomoreransom.org si ya se hizo pública la llave de descifrado.
Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths – Telefónica Cyber Security Unit @dsespitia