Por Sylvain Cortès, experto en gestión de identidades y acceso (IAM), de Alsid.
Todos hemos escuchado al menos una vez acerca de un ciberataque. Efectivamente, ya sea en los diarios, las revistas especializadas o incluso en la radio, los términos «ciberataque» y «rescate» aparecen cada vez con más frecuencia.
El objetivo de este artículo es aclarar estas nuevas y a veces oscuras amenazas al gerente o ejecutivo de la empresa y proporcionar las pistas para al menos protegerse.
Los ataques cibernéticos, un contexto particular
Históricamente, los riesgos de la tecnología de la información se medían en relación con la disponibilidad del sistema. En general, hace unos veinte años, la cobertura del riesgo informático consistía en asegurar la continuidad del servicio de las máquinas que ofrecían las aplicaciones y los datos útiles para la organización. Por lo tanto, el personal de TI puso en práctica estrategias para asegurar la redundancia de estas máquinas, buenos respaldos, redes bien dimensionadas, etc.
Después, aparecieron virus informáticos malignos, y la respuesta fue implementar sofisticados programas antivirus en las empresas, permitiendo la detección de códigos maliciosos específicos que se propagan a través de llaves USB, correos electrónicos o incluso disquetes antediluvianos.
En los últimos cinco años más o menos, hemos visto una explosión exponencial de un nuevo riesgo vinculado a una nueva forma de virus: los rescates.
¿Qué es el ransomware?
Un «ransomware» es un tipo de virus cuya misión es cifrar («encriptar» para los no iniciados, aunque este término sea inapropiado) los datos presentes en la empresa con el fin de exigir un rescate contra una clave que permita recuperar sus datos. En algunas publicaciones también se utiliza el término «criptovirus».
De hecho, los atacantes han comprendido claramente que el valor de una empresa reside en los datos que posee y utiliza. Esto parece obvio para las empresas que utilizan secretos comerciales, como en la industria, por ejemplo – pero imagina poder continuar tu negocio si los siguientes datos ya no son accesibles: órdenes de compra, información de clientes, correos electrónicos, documentos de oficina, notas de entrega, datos de ERP, etc…
Evidentemente, es imposible.
¿Cómo funciona el ransomware?
Por lo general, comienza con un correo electrónico recibido con un archivo adjunto «trampa», si se abre el documento (a menudo un documento PDF o Word) se inicia la reacción en cadena para cifrar los datos.
Así que abres el documento como un archivo adjunto, pensando que es un correo electrónico legítimo, la primera fase del ataque no es muy espectacular, por lo general tiene el único propósito de desactivar tu antivirus.
Luego, se descargará un segundo código de Internet, éste tendrá como objetivo «comprender» tu red informática y sus puntos débiles (que se utilizará un poco más tarde para infectar a la empresa en su conjunto).
En esta etapa, un ladrillo particular de tu infraestructura de TI será el objetivo, a saber, el Directorio Activo. De hecho, observamos que más del 80% de los ataques de rescate pasan a través del Directorio Activo en un momento u otro durante el ataque. El objetivo será que el virus encuentre debilidades en la configuración de tu Directorio Activo o fallas conocidas en la infraestructura – una vez que el mapeo de tus debilidades esté hecho, el cripto-virus puede pasar al tercer paso: la encriptación.
Durante esta tercera y última etapa del ataque, se descargará un tercer código, que se difundirá en tu empresa (a nivel mundial en sus PC y servidores) con el fin de cifrar todos tus datos.
Finalmente recibirás un archivo que explica que todos tus datos están encriptados y que debes pagar un rescate para recuperarlos. No te preocupes, el archivo contiene el modus operandi para que pagues al grupo mafioso que llevó a cabo el ataque.
¿El riesgo cibernético es sólo un problema para las grandes empresas?
Los dos mayores problemas relacionados con los ciberriesgos:
1) Se cree que los ataques sólo se llevan a cabo en grandes empresas
2) Se cree que esto sólo le sucede a los demás.
Debe entenderse que los ataques de rescate no son llevados a cabo por «alguien detrás de un teclado» (bueno, muy pocos) – porque todo está automatizado de la A a la Z.
De hecho, los grupos delictivos que están detrás de estos ataques han industrializado toda la cadena de infección:
- Phishing con el envío de un archivo adjunto infectado
- Desactivación del antivirus
- Descubrimiento del Directorio Activo
- El robo de la contraseña
- Cifrado de datos
- Demanda de rescate
- Sistema de pago del rescate
Como todo está totalmente automatizado, esto implica que los grupos mafiosos que llevan a cabo estos ataques no conocen de antemano a sus víctimas en el 99% de los casos.
Además, en los últimos meses, ha sido posible comprar kits completos de creación de programas de rescate por unos 200 dólares. Todo lo que tienes que hacer es ir a algunos sitios web conocidos por los internos, comprar tu kit y usar la plataforma online para automatizar todas las fases del ataque. Esto significa que además de los grupos mafiosos, «cualquiera» puede ahora llevar a cabo estos ataques.
Pero entonces, ¿qué tienes que hacer para protegerte?
Sea cual sea el tamaño de tu negocio, podemos aconsejarte con los siguientes pasos a seguir para mitigar el ciberriesgo:
- Sensibilizar a tus usuarios entrenándolos en seguridad informática para que puedan detectar más fácilmente los correos electrónicos fraudulentos (incluso si estos correos se vuelven más difíciles de reconocer a medida que mejoran los ataques).
- Utilizar sistemas de reconocimiento de phishing, como el software Cofense por ejemplo.
- Evitar que los usuarios sean administradores locales de su PC o Mac (asegúrate de que tienen el menor número posible de derechos de acceso en su máquina).
- Desplegar soluciones de verificación y seguridad del Directorio Activo, como el software Alsid, por ejemplo.
- Contactar con tu aseguradora para saber qué ofrece para cubrir la interrupción del negocio debido a un ataque cibernético – esto no cubrirá todas sus pérdidas, pero puede ayudar a mitigar el impacto si algo sale mal.
En lo que respecta a los riesgos informáticos, recuerda que anticiparse al riesgo siempre costará menos que una postura reactiva vinculada al evento y que este tipo de ataque afectará a todas las organizaciones, independientemente de su tamaño en los meses o años venideros.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.