Mpolishuk's Blog

El secuestro es probablemente uno de los delitos que más tememos como personas. Si se trata de un secuestro personal, el daño a la víctima y su círculo cercano es devastador, aún y cuando se logre su rescate.

Esto mismo llevado a la tecnología tiene un aspecto muy cercano al dolor humano provocado por un secuestro, y me refiero al secuestro de la información o Ransomware.

Muchos consideran que esto es algo “nuevo”. La realidad es que el primer caso de secuestro de la información sucedió en la década de los años 80, específicamente en 1989, por Joseph L. Popp, un biólogo graduado de la universidad de Harvard, que concibió desarrollar un programa que empacó en diskettes y envió a miles de personas por correspondencia llamado el “AIDS Trojan” el cual revolvía los nombres de los archivos en la computadora. Popp pedía que se le pagara enviando el dinero a un apartado postal en Panamá, y muy ágilmente fue detenido.

Ahora con el uso de criptomonedas, poder detectar al delincuente se ha complicado, y este tipo de delitos va en aumento. Tenemos pues que considerar que los ciberataques pertenecen a un segmento de negocios (mal habidos, pero, finalmente negocios) establecidos, con métricas, objetivos, recursos y procesos para hacer daño a empresas de la economía formal y recibir sus ganancias como consecuencia de sus actos.

Punto 1: ¿Se está dispuesto a pagar el rescate de un ataque de Ransomware?

Hay diversas políticas en las empresas, gobiernos y personas.

La posición puede verse en todo un “espectro” de opiniones:

• Existen empresas cuya política es cero negociar con criminales y simplemente tendrá entonces que planear para no convertirse tan fácilmente en una víctima de este tipo de delitos, con planeación física, lógica y de su personal, por ejemplo. La clave está en tecnología de prevención, y en especial en sistemas de almacenamiento capaces de poder recuperar toda la información hasta un segundo antes del ataque, a manera de “regresar el tiempo atrás” y al hacerlo, deshacerse del problema o software malicioso que se infiltró en el sistema, solo por dar un ejemplo de lo que puede hacerse.
• Hay otro tipo de empresas que solo estarían dispuestas a pagar en el caso de perder cierto tipo de información, por dar un ejemplo, y en ese caso, si tienen un problema, fríamente tendrán que pensar que si deben de pagar tienen que considerar cómo comprar criptomonedas, los niveles de autorización para este tipo de transacciones y/o los especialistas o el “equipo de rescate” que pueda tratar de salvar la información antes de proceder a pagar por ella. Puede uno preguntar la razón de no adquirir la tecnología para evitar esto, pero en especial si no se tiene todo en la nube, esta tecnología tiene un precio que no todas las empresas son capaces de poder pagar.
• Y habrá un tercer tipo de empresas que, simplemente pagará sin preguntar demasiado. Son empresas que ni se interesan en el tema, y tienen la filosofía de “resolver el problema si se presenta”, esto en especial por no tener recursos para invertir en proteger su información, o, peor aún, no estar interesados.

Sea como fuere, en estos 3 escenarios, siempre será mejor discutir la posición de la empresa “en frío” en vez de que suceda y entonces se piense lo que se debe de hacer. Yo no puedo tener un juicio de valor en las empresas que optan por pagar, pues puede que lo hacen por no tener alternativa, pero, tenemos que entender que, al hacerlo, se incentiva a esta “industria” a seguir innovando y creciendo.

Punto 2:¿Se puede hacer algo diferente para evitar ser una víctima de Ransomware?

Definitivamente hay mucho por hacer en lo referente a prevención:

• Una política y explicación de creación de contraseñas que sean muy complicadas para ciertos miembros del equipo que están muy expuestos es un punto clave.
• Entrenamiento y simulaciones permanentes de cómo se ve un ciberataque, esto es, entrenar a las personas a no seleccionar ligas en correos que se reciben que aparentan ser reales y en verdad no lo son, esto es, capacitación permanente con escenarios simulados de cómo se ve un correo que provoca un incidente de Ransomware
• Una estrategia de “cuarentena” tecnológica en caso de que un equipo esté afectado para evitar una epidemia del problema

Estos 3 puntos prácticamente no tienen un precio elevado y son solo algunos de los puntos que pueden hacer más y más complicado el ser víctima de un ataque.

En un escenario extremadamente radical, sería que, por disposición gubernamental se prohibiera el pago de Ransomware, y que, por ejemplo, se congelen las cuentas de una empresa que está en ataque. Esto en un principio tendría un impacto devastador para las empresas, pues el daño económico sería parejo para todas sus actividades, y algunas empresas podrían desaparecer, pero, de manera muy rápida, la motivación para el Ransomware desaparecería aceleradamente. Si dudas de esta forma de actuar, de hecho, sucedió en Italia décadas atrás cuando la delincuencia organizada había hecho una industria enorme del secuestro en ese país, y gracias a esa medida el secuestro se erradicó en ese país.

Punto 3: ¿Tu empresa es “de alto riesgo” de un ataque de Ransomware?

Ser una organización de alto riesgo de ser atacada no tiene una estructura de riesgos formal, pero en general, se puede ser más atractiva dadas las siguientes circunstancias:

• Ser una empresa o incluso pertenecer a un segmento empresarial que es un intermediario de alto valor entre un grupo de empresas te ubica como un blanco atractivo porque hay muchos interesados en juego.
• Si tienes evidencia de que ya ha habido algún tipo de incursión a tus sistemas, puedes pensar que estaban “turisteando” pero en realidad estaban estudiando todos tus activos digitales. Si hay sospecha de una incursión, se debe de pensar en las peores consecuencias. En especial, se debe de proteger la forma en la que han logrado penetrar al sistema
• Si eres o perteneces a una empresa que se conoce que tiene grandes recursos, definitivamente eres una empresa de alto valor para los maleantes.
• Si existen sistemas y equipos obsoletos que ya deberían de haber desaparecido, pero siguen en operación, carecen de la seguridad más moderna, y tienden a ser el punto de acceso más sencillo

Entre los riesgos más viables a ser empleados por los atacantes.

Punto 4: Entendiendo la “anatomía” de un ataque de Ransomware

Todo inicia con la capacidad de penetrar al interior de la organización, sea la red, un equipo o ambos. Una vez estudiada la arquitectura de la tecnología, y donde se encuentra toda la información valiosa, procede a efectuar el acto mal intencionado, que puede ser solo cifrar la información, pero preferentemente extraerla y a la vez cifrarla.

Estas personas extraen la información porque de esta forma ganarán nuevas oportunidades de extorsionar a sus víctimas amenazándolas con publicar abiertamente datos confidenciales que afectarían a internos, clientes y proveedores.

Es entonces cuando la tercera etapa sucede, la cual corresponde a la negociación, en pocas palabras, si se piensa pagar, se entra en contacto con las personas que se dedican a pactar el pago de sus acciones.

Conclusión: Ransomware es una industria

A diferencia de una simple infección de un virus que sucedía por un descuido, el Ransomware se ha vuelto una industria. Existen empresas que pueden ser contratadas para efectuar un ataque, y a su ve hay empresas con “subespecialidades”. Algunas de éstas se dedican a la venta de la información para acceder o vulnerar un sistema, otros directamente ofrecen las herramientas y tecnología para efectuar un ataque, e incluso otras más ofrecen servicios para lo referente al cobro y negociación.

A su vez, contra todas estas empresas, en el mundo de “los buenos” existen empresas para hacer análisis de vulnerabilidades, negociación en caso de un Ransomware y productos y/o servicios para evitarlo, anticiparlo y defenderse.

Lo que es un hecho es que, en la medida en la que sigue creciendo la automatización, este tipo de problemas seguirá en aumento, y la clave está en planear y anticiparse en vez de tratar de corregirlo cuando suceda.