El secuestro de información (Ransomware) no es algo que sea muy novedoso, pues el primero se presento en 1991 usando una conferencia sobre el VIH, donde a los asistentes se les enviaron unas memorias, que contenían un disquete, si un disquete, el cual tenia un software para ver las memorias, que en realidad era el secuestrador y que cargaba en la maquina de la víctima un mensaje de como pagar el rescate, desde ese momento los equipos de ciberseguridad tenemos una guerra contra este tipo de ataque cibernetico.

Pero en los últimos meses se ha visto un incremento bastante significativo de este tipo de ataque y con una serie de cambios en sus objetivo de ataque. Al inicio los delincuentes usaban ataques masivos donde cualquier usuario en Internet podía ser infectado, donde se presentaron casos de impacto mundial como WannaCry, pero hoy el enfoque es diferente y son ataques mucho más selectivos y con víctimas muy puntuales, como el Ransomware WastedLocker con el que atacaron a Garmin.

Este cambio de objetivos obedece exclusivamente a factores económicos, donde los delincuentes encontraron mecanismos adicionales para generar presión sobre el pago del secuestro de la información al poder amenazar a las organizaciones con la divulgación de los datos secuestrados, lo que en algunos países genera sanciones económicas muy altas, sin contar también con los problemas de reputación que esto genera.

Viendo los casos antes mencionados, el 13 de mayo de 2017 tras el ataque masivo con WannaCry que afecto a más de 300.000 equipos en todos el mundo, y que aun se ven afectaciones, se hace un seguimiento de las tres billeteras de bitcoin donde se recaudaba el pago que hacían las víctimas y los delincuentes logran un recaudo de 51 Bitcoins, que en ese momento representaban un poco más de medio millón de dólares.

Lo cual para algunos es una cifra que se puede considerar alta y suficiente, pero tras la información que se ha revelado de los ataques de empresas como Garmin y CWT, donde los rescates que se pedían eran de 10 millones y 4,5 millones de dólares respectivamente, es evidente que con un solo ataque la cifra de la recompensa puede ser mucho mayor a la recaudada en un ataque masivo.

Adicionalmente al secuestro de la información, se ha podido conocer que los atacantes amenazan con la divulgación de los datos secuestrados si no se hace el pago del rescate solicitado, como se puede ver en los mensajes divulgados en el caso de CWT. Esto aumenta significativamente el riesgo para una compañía, pues no es solo la perdida de datos sino la exposición de información sensible de clientes o de sus servicios.

Estos dos no son los únicos casos, pues se han conocido de varios casos donde empresas en Latinoamerica se han visto afectadas por este tipo de ataque extorsivo, pero ninguna de estas ha aceptado el pago de la extorsión y ha restaurado la operación o parte de esta usando los respaldos que tenían.

Sin lugar a duda tener respaldos de la información de las empresas es algo vital en los procesos de recuperación de incidentes, pero en el caso de la extorisión por divulgación de información sensible son poco útiles para la prevención del impacto reputacional y económico que puede generar que se materialice la amenaza de los delincuentes.

Por lo tanto, las empresas deben empezar a pensar en los mecanismos de protección que requieren para prevenir, más que para reaccionar, ante un ataque que esta totalmente orientado y pensado en afectar a su organización, que a diferencia de los Ransomware comunes estos tienen un estudio previo de sus debilidades en los sistemas de seguridad. Donde las recomendaciones tradicionales no se pueden aplicar y donde las medidas reactivas no son suficientes.

Es fundamental que se empiece a pensar en esquemas de cero confianza (Zero Trust), donde todo lo que sucede con cada dato es monitoreado y tiene una trazabilidad permanente de quien y cuando lo accedió, para lo que se requiere tomar medidas que pueden ser simples y no requieren inversiones, sino cambios de mentalidad dentro de unidades de TI en las empresas.

Medidas como deshabilitar las contraseñas locales, eliminar la posibilidad de cuentas administrativas en los equipos de la empresa y no permitir la instalación de aplicaciones o software adicional en las maquinas, no requiere de inversión sino de cambios en las configuraciones y aplicación de restricciones en los sistemas de administración de usuarios en la red. 

Sin duda esto es solo un primer paso que se debe tomar para prevenir el incidente y son recomendaciones que parecen simples y comunes pero que en nuestra experiencia no se cumplen a rigurosamente por las empresas y que lo confirman los mismos delincuentes en las conversaciones dadas a conocer con el equipo técnico de CWT, que fueron algunas de las debilidades que les permitieron tener éxito en el ataque.

About Author

Diego Samuel Espitia Montenegro

Diego Samuel Espitia Montenegro es Colombiano, egresado como ingeniero electrónico y especialista en seguridad de redes con más de 12 años de experiencia en el proceso de prueba y la implementación de infraestructura de seguridad de redes, donde ha implementado principalmente software de código abierto para el desarrollo de esquemas de redes seguras. Diego trabaja actualmente como Chief Security Ambassador en ElevenPaths (Unidad de Ciberseguridad de Telefónica). Es investigador de seguridad y publica artículos sobre diferentes temas de seguridad de la información. Ha sido ponente internacional en diferentes conferencias de seguridad y conferencias de negocios, donde ha presentado sus investigaciones en eventos como 8dot8 Chile, Bsides CO, SegurInfo, Colombia StartUp, Andicom y convenciones de negocios.

Deja un comentario