Por: Diego Samuel Espitia
El año pasado sin duda mostró la capacidad destructiva de las campañas de Ransomware que se están propagando por todo el mundo. Sin embargo, en muchas empresa aún no han calculado el riesgo asociado a verse afectado por una campaña de este tipo de software malicioso, ya sea porque consideran que no se verán afectadas o porque aún no tienen claro el funcionamiento de este ataque cibernético.
Por lo que es importante iniciar explicando de forma básica y practica qué es el Ransomware. Este software malicioso una vez entra al equipo toma cada uno de los archivos del sistema y los cifra, logrando que cada uno de los archivos requiera una clave de descifrado para acceder a la información. Lo que hace que la victima tenga toda su información en el sistema pero no pueda usarla pues desconoce esa clave de descifrado.
Esta amenaza no es nueva, pues en 1990 usando una conferencia sobre el VIH – SIDA, se solicito rescate por la información de equipos de personas que tras asistir a esta conferencia recibieron unos diskette con lo que se suponía eran las memorias del evento, pero realmente contenía un software que cifraba toda la información del sistema y pedía un rescate en efectivo en unas cuentas en paraísos fiscales. Sin embargo, el termino Ransomware no tiene más de 4 años y se empezó a denominar así pues como en todos los secuestros, el victimario solicita un monto económico por retornar sano y salvo a la persona secuestrada.
En la actualidad, los criminales cibernéticos han combinado varias técnicas de software malicioso para hacer que los usuarios reciban el software de cifrado y puedan pedir un rescate, el cual es usualmente solicitado en criptodivisas por el anonimato que estas tienen sobre el real receptor de una transacción económica.
Ahora bien, ya teniendo un poco más clara la amenaza generada por este software malicioso, podemos entender con varios ejemplos la forma en que puede llegar a afectar a una empresa, sin importar su tamaño o su tipo de industria, pues cualquiera puede ser objetivo directo de un ataque con Ransomware o caer en una de las campañas mundiales que se orquestan por delincuentes para recolectar fondos de sus víctimas.
Vamos entender el impacto que se pueden ocasionar financiero y reputacional a una empresa a través de ejemplos de la vida real, que hemos podido conocer por trabajar directamente en seguridad de la información y en una unidad dedicada a mitigar las amenazas de ciberseguridad como lo es https://www.elevenpaths.com/.
Contabilidad cifrada
Este ejemplo es un ataque dirigido a una empresa de contabilidad, la cual era la responsable de llevar los procesos de impuestos y declaraciones tributarias a más de 150 empresas pequeñas y medianas de un país, para lo cual tenia tres servidores en sus instalaciones y un equipo de dos personas encargadas del mantenimiento y gestión de sistemas.
A uno de los encargados le llega un correo de la entidad oficial de impuestos de la nación, informando la necesidad de instalar un parche en el software de recaudo, por lo que planean la instalación de este parche en el sistema. Una vez es instalado toda la base contable de sus 150 clientes ha quedado cifrada y se solicitaban 7BTC para entregar la clave de descifrado.
La promesa de valor de la empresa no se puede cumplir por no tener acceso a la información que almacenaban en sus equipos, adicionalmente sus clientes se ven amenazados en incumplir sus deberes tributarios y por ende ser sancionados, debido a que su proveedor de este servicio incumplió.
El resultado de este incidente fue el cierre definitivo de la empresa contable y el pago de múltiples multas a sus clientes por los daños generados en el manejo de su información tributaria
Factura de Servicio Eléctrico
Este ejemplo es de una campaña de engaño en un país, donde los delincuentes suplantan una de las empresas de servicio publico de electricidad enviando correos a miles de personas con una factura de cobro por cerca de 800USD.
Uno de esos correos llega a la jefe de servicio al cliente de una empresa de renta de vehículos, la cual tiene en su computadora la sesión por la que los agentes de servicio se conectan al servidor de facturación y al servidor que maneja la disponibilidad de los vehículos para rentar. Al ver el correo la jefe se intimida y abre el adjunto que dice ser la factura, el cual muestra una ventana para ejecutarse, aunque es un pdf que no requiere ese tipo de ventanas.
La jefe intimidada le da ejecutar y todos los archivos de sistema inician a cifrarse, dejando afuera del sistema a todos los agentes de servicio al cliente. Por lo que ninguno de los agentes en los 12 puntos en el país puede facturar los servicios que actualmente están activos y no pueden acceder a tener la disponibilidad de los vehículos para los clientes que llegan.
El respaldo de la maquina de la jefe tarda 2 horas en entrar en operación, generando inconvenientes de facturación y perdiendo los clientes durante ese periodo en uno de los fines de semana de mayor movimiento del mes.
Conclusiones
Así como estos dos casos se han presentado en miles de empresas al rededor del mundo, en unas con mayor impacto que en otras, pero siempre generando inconvenientes en la operación normal de las labores.
Para poder tomar medidas es necesario que las organizaciones conozca a que se enfrentan y midan cual es el posible impacto en su funcionamiento en caso de verse afectado por un software malicioso que cifre la información, calculando que sucede si afecta algo de cara a sus clientes o su es solo afectación interna.
Para contrarrestar el impacto las empresa deben implementar medidas de protección avanzadas en todas sus terminales y generar cultura entre sus empleados para evitar caer en engaños, que son el medio más usado para propagar el Ransomware. Pero la principal medida de protección que deben tener es realizar un respaldo de su información, verificando que esta pueda ser recuperada y que contenga todo lo necesario para recuperar el funcionamiento del servicio.
Si una empresa se ve afectada por este ataque, no es recomendable pagar el rescate solicitado por los delincuentes, pues en su mayoría jamás entregan la llave de descifrado. Para poder recuperar la información es necesario validar que tipo de software fue usado y buscar en https://www.nomoreransom.org si ya se hizo publica la llave de descifrado.
* Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths – Telefónica Cyber Security Unit
@dsespitia
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.