El ransomware supone un auténtico quebradero de cabeza para las organizaciones, ya sean instituciones públicas o empresas privadas. Informe tras informe, no dejan de sucederse las estadísticas que señalan a este ciberataque -con el que los crackers bloquean un sistema informático o sus datos para pedir un rescate– como uno de los más preocupantes y extendidos actualmente. Por ejemplo, desde ESET apuntan a que probablemente sea la amenaza más peligrosa a la que se enfrentan las empresas, sea cual sea su tamaño.
Es por eso que el ransomware tuvo un notable protagonismo dentro del X Foro de la Ciberseguridad organizado por ISMS Forum, que se ha celebrado este jueves. De hecho, fue el plato fuerte de la mesa redonda titulada ‘El mayor riesgo para cada organización’ -en velada referencia al ransomware-.
Los ciberdelincuentes van a por las empresas
En dicha charla, Jenko Gaviglia, de HelpSystems, señaló dos problemas importantes en relación con el ransomware. El primero de ellos, que este ataque está creciendo mucho con respecto al año anterior. ¿El segundo? Que ha cambiado. Estos ataques antes iban a por los usuarios particulares, pero ahora solo les usan como método para llegar a las empresas para las que trabajan. «Primero van a por el sistema de un usuario, con eso acceden al sistema de la empresa, se quedan ahí dentro un tiempo y después empiezan a atacar a toda la empresa», explicó Gaviglia.
Y el motivo de que ahora los ciberdelincuentes se hayan centrado en las empresas no es otro que el dinero. «¿Y dónde está el dinero? En las empresas, por eso van a por ellas», aseguró Jonathan Gándara, de Votorantim Cimentos. Por eso, cree el ransomware ha llegado para quedarse. Irá cambiando, pero siempre seguirá ahí porque es rentable.
Este tipo de delincuencia ya ha sufrido una gran evolución. Gándara afirmó que se ha especializado mucho porque va a la par con la tecnología: cuanto más y mejores sistemas de encriptación hay, más los usan los ciberdelincuentes para atacar empresas. Es decir, los mismos sistemas que usan los hackers para proteger información son empleados por los malos para secuestrarla.
También coincidió con esa teoría de la evolución Jonathan Rendal, de FireEye. Este experto declaró durante la mesa redonda del evento de ISMS Forum que los crackers cada vez saben hacer cosas más peligrosas y silenciosas. Señaló que incluso pueden permanecer ocultos dentro de los sistemas informáticos de la empresa víctima, esperando el momento adecuado para cometer el ataque. Y afirmó que en Europa pasan 66 días de media desde que se infiltran en las redes de una empresa hasta que son detectados.
Por eso, Alexis Serrano, de BeyondTrust, cree que hay que centrarse en evitar que los ciberdelincuentes hagan daño una vez hayan entrado en los sistemas. Hay que proteger la información con medidas para hacerla inaccesible, porque, opina Serrano, si un grupo criminal quiere entrar en el sistema informático, lo va a lograr.
Una cuestión de dinero
Los cuatro participantes en la mesa redonda también hablaron del dinero que pagan las empresas para recuperar la normalidad tras un ciberataque. El rescate más caro que habían visto pagar ascendía a 1,9 millones de euros. Una cifra que parece incluso discreta si se compara con los cinco millones de dólares -4,1 millones de euros- que se rumorea que pagó Colonial Pipeline por recuperar la operatividad de su red de oleoductos en EE.UU. tras sufrir recientemente un ataque por ransomware.
«La gente paga porque el ransomware está bloqueando la operativa de la empresa. Es perder o pagar», sentenció Serrano.
Y es que tener totalmente bloqueada la actividad empresarial puede suponer mayores pérdidas que el precio del chantaje. Por ejemplo, Forward Air, una empresa de transporte aéreo y terrestre, tuvo que interrumpir sus operaciones durante varios días por un ataque a su sistema informático. ¿El resultado? Unas pérdidas estimadas de 7,5 millones de dólares -algo más de seis millones de euros-.
¿Alguna marca de coches ha sufrido ransomware?
De momento, no hay confirmación oficial por parte de ninguna marca de coches de haber sido afectada por un ataque de ransomware.
No obstante, hay ciertas dudas con el problema informático que sufrió Kia a principios de año. Los servidores informáticos de la filial norteamericana de la marca tuvieron problemas para funcionar correctamente durante varios días del mes de febrero. La afección paralizó los concesionarios y la aplicación móvil que usan los propietarios. Bleeping Computer lo atribuyó a un ciberataque de ransomware -incluso cifró en 20 millones de dólares el rescate exigido-, pero Kia, que reconoció las interrupciones en el servicio, negó que la causa fuera un crackeo.
Sin embargo, en la industria auxiliar del automóvil sí se han visto ya algunos casos de ransomware. Uno de los más recientes fue el sufrido por NameSouth, una empresa estadounidense de recambios de automóviles. En este suceso, los ciberdelincuentes lograron sacar del sistema informático de NameSouth 3GB de archivos confidenciales. Tras la sustracción, los crackers pidieron un rescate a la empresa para recuperar los documentos. Al no recibir pago alguno, los crackers publicaron la información en un blog de la Internet oscura.
¿Qué hacer para evitar el ransomware?
Pablo F. Iglesias, consultor de Presencia Digital y Reputación Online, piensa que toda organización debería «tener un sistema de alerta temprana implementado que nos alerte de potenciales filtraciones«. Esto protegería a las empresas contra casos de ransomware y filtrado de información confidencial. Además, como pautas generales, el experto recomienda:
- Establecer controles de seguridad efectivos que analicen el tráfico y actividades potencialmente sospechosas dentro de las fronteras de la organización, y bloqueen accesos según salten las alarmas. Por ejemplo, sistemas inteligentes de detección, sistemas de gestión de incidentes de seguridad, cortafuegos, honeypots….
- Contar con una política de compliance correctamente aplicada -no vale solo con tenerla, hay que cumplirla…- que evite, por ejemplo, que un usuario infectado pueda exponer todos los recursos de la organización y no únicamente los que compete a sus labores.
- Cifrar la información sensible y forzar el tratamiento de dicha información mediante canales cifrados. Con ello se logra que, aunque un ataque tenga éxito, «no puedan recompartir los datos en texto plano como parece que ocurrió en este caso» afirma Iglesias.
Por último, el experto también cree conveniente formar en competencias digitales a los empleados, ya que el 95% de los ciberataques a empresas entran por un fallo humano.
