El riesgo oculto de un Ransomware

Ransomwere
Comparte:

Por: Diego Samuel Espitia.-

En los últimos años, es indudable que el secuestro de información (Ransomware) se ha convertido en la herramienta seleccionada por los grupos criminales cibernéticos para obtener dinero de forma rápida.

Esto debido a que aunque el concejo siempre es que no se pague, algunas empresas no pueden esperar recuperar los datos con procesos técnicos.

Existen muchos ejemplos globales, donde la empresas han decidido ceder a la extorsión para recuperar la operación. Los 5 más grandes que se han confirmado y que han sido aceptados públicamente son los siguientes:

  1. Universidad de California ($1,14 Millones de Dólares)
  2. Travelex ($2,3 Millones de Dólares)
  3. Brenntag ($4,4 Millones de Dólares)
  4. Colonial Pipeline ($4,4 Millones de Dólares)
  5. CWT Global ($4,5 Millones de Dólares)

Esta es una muy pequeña lista, inclusive parecerían cifras relativamente bajas, sin embargo, según las estadísticas de Statista los grupos de ransomware en 2022 han recibido $5,500M de Dólares y en 2018 la cifra llego a los $10,500M de Dólares. Esto demuestra que lo que se ve es solo la punta del iceberg.

Por otra parte, el numero de empresas que tras la negociación con los delincuentes no lograron recuperar los datos, así pagaran la extorsión, sigue creciendo día con día.

Sin embargo, estos son los efectos que se ven y que son perceptibles par ala sociedad, bien sea porque lo ven en medio o porque han vivido un incidente.

Pero… Existen cosas que se deben tener en cuenta cuando eres víctima y que usualmente no son tenidas en cuenta. Vamos a analizar algunas de estas.

¿Por qué fui víctima del ataque de Ransomwere?

Los grupos delictivos cibernéticos, no suelen ser enfocarse en lugares donde les sea muy complejo ejecutar sus acciones, a menos que sean acciones patrocinadas por algún interés más allá de lo que intentó tratar en este articulo.

Teniendo en cuenta eso, una de las principales razones por la que una empresa fue víctima de un ataque de Rasomware, es debido a que tiene una o varias debilidades publicas que pudieron ser aprovechadas.

No necesariamente todas son técnicas, algunas veces la debilidad se debe a la falta de preparación de los empleados o incluso de los proveedores con quien se trabaja.

En el caso de Colonial Pipeline, una contraseña débil expuesta en Internet, combinada con una VPN sin control ni monitoreo efectivo de los usuarios ni de las horas de acceso, generó uno de los incidentes que más a impactado a una sociedad, pues dejo sin hidrocarburos a la costa este de los Estados Unidos.

Entonces, muchas veces la respuesta a la pregunta es el comportamiento y cultura cibernética de la misma víctima, que permite mantener debilidades expuestas durante muchos años o la falta de monitoreo de comportamiento y amenazas dentro de la red.

¿Sabes como se desarrollo el ataque?

En medio del caos que genera en la empresa ser víctima de un ransomware, los directivos solo quieren recuperar la operación en el menor tiempo posible. Esto genera una presión a los equipos de respuesta de incidentes, donde no se analiza cuales fueron las fases o pasos que siguieron los atacantes, para así entender que esta comprometido.

No obstante, en muchas ocasiones el no entender la forma en que los delincuentes ingresaron, la información que extrajeron, los información que conocieron durante el ataque, entre otras, hace que las empresas sean mucho más propensas a ser víctimas nuevamente, bien sea por el mismo grupo delictivo o por otro.

Un caso conocido de esto, es la ciudad de Baltimore en Estados Unidos, que durante el 2019 fue atacada pro ransomware en más de 4 ocasiones.

Nunca a la misma entidad, pero si afecto a toda la comunidad, pues servicios como el educativo, el servicio de emergencias, entre otros. Siendo el mes de mayo donde en muchos medios de comunicación del mundo salían las noticias que la ciudad estaba paralizada.

Este es el motivo, por el cual quienes trabajamos en respuesta de incidentes siempre intentamos conocer todo el flujo del ataque, para con esta información tomar medidas eficaces a la hora de contener, erradicar y recuperarse de un ataque cibernético.

Aprender del entorno

Existen cientos de casos, muy bien documentados, de como se realizaron los ataques cibernéticos, incluso algunos son usados durante años para explicar en entornos educativos las técnicas y tácticas usadas por los grupos delictivos. En sistemas industriales uno de los casos más usado es Stuxnet, que fue descubierto en 2010.

A pesar de toda esta documentación, es usual que las víctimas de ransomware no puedan recuperarse debido a que sus respaldos fueron comprometidos, lo que quiere decir, que el backup también se lo cifraron y no pueden usarlo.

Los delincuentes saben que la única forma que sus víctimas tienen de recuperar la operación de forma rápida es usar los respaldos, así que es lo primero que buscan para garantizar que el ataque no pueda ser resuelto.

Pese a ello, muchas de las empresas dejan su respaldo conectados en discos duros o NAS directamente a los servidores, en el mejor de los casos en servidores dentro de la misma red. Anulando con esto cualquier posibilidad de recuperarse rápidamente y permitiendo que los delincuentes les presionen porque saben que también comprometieron esa información.

Una de las mejores estrategias de gestión de los respaldos, es la conocida como 3-2-1. Donde de cada respaldos se sacan 3 copias, de las cuales dos están en local pero en diferentes medios de almacenamiento, y la tercera copia esta fuera de linea en un lugar remoto a la sede principal.

¿A quienes afecta tu ataque?

Ninguna empresa en nuestros días trabaja completamente sola, tiene conexiones de red con proveedores y clientes, además de los servicios que se prestan por la empresa. Esto hace que un ataque de Ransomware no afecte únicamente a la víctima del ataque sino a su entorno.

Uno de los casos más recientes, es el ataque a IFX Networks, que al ser víctima de RansomHouse en su plataforma de gestión de virtualización (por lo que se sabe), dejo por fuera de linea a más de 700 clientes, incluidos servicios del estado Colombiano y Chileno.

En el caso anterior, esto se genera debido a los servicios que ofrece esta empresa, donde sus clientes se vieron afectados directamente en la perdida del accesos a sus portales o datos, pero e 

Comparte:

    • Redacción

    Periodista

    Related Posts

    Opinión
    Economía circular: cambiar el motor mientras seguimos en marcha
    Economía circular: cambiar el motor mientras seguimos en marcha

    Por: Sergio Rengifo – Director Ejecutivo de CECODES. Imaginen por un momento que la economía global es un gran vehículo en plena autopista. Durante décadas lo hemos conducido a toda…

    Continue reading
    Opinión
    El retorno a la sensatez
    El retorno a la sensatez

    Por: FERNANDO SALGADO QUINTERO MD MSc.*  Cuando el ruido de los agravios satura el espacio público,  la sensatez no es solo una virtud, sino el único escudo  capaz de preservar el porvenir…

    Continue reading

    Deja una respuesta

    You Missed

    Actualidad Newsletter

    Las señales que llegan de afuera

    Las señales que llegan de afuera
    Actualidad

    Abelardo de la Espriella denuncia presunta coacción armada al voto en elecciones de Colombia

    Abelardo de la Espriella denuncia presunta coacción armada al voto en elecciones de Colombia
    Actualidad

    Abelardo de la Espriella amplia ventaja a Iván Cepeda

    Abelardo de la Espriella amplia ventaja a Iván Cepeda
    De interés

    Entre el temor y el arraigo: Así ven los profesionales a Colombia 2046

    Entre el temor y el arraigo: Así ven los profesionales a Colombia 2046
    Actualidad

    Roku lanza su «Zona de Fútbol» en Colombia

    Roku lanza su «Zona de Fútbol» en Colombia
    De interés

    Kit para sobrevivir al Mundial con un bebé

    Kit para sobrevivir al Mundial con un bebé