Los ataques informáticos han estado presentes desde hace varias décadas; con la masificación de Internet y el acceso a los contenidos digitales, personas inescrupulosas o curiosas se han dado a la tarea de desarrollar software malicioso que afectan los sistemas informáticos. Inicialmente los efectos de un ataque informático eran menores y se caracterizaban por su sencillez, sin embargo, con el paso del tiempo cada vez son más sofisticados y tienen como objetivo grandes superficies.
El panorama de la ciberseguridad es un ecosistema cambiante que día a día evoluciona, marcando una tendencia con respecto a las ciberamenazas que mayor impacto generan en las organizaciones. En el caso del Ransomware, -un malware que se caracteriza por restringir el acceso a la información y solicitar un rescate para restablecer el acceso-, se ha catalogado como una amenaza de severidad critica que afecta gravemente las operaciones tecnológicas y los procesos productivos de una compañía.
Por definición el Ransomware es un software malicioso que cifra la información o impide acceso al sistema exigiendo un pago para tener nuevamente control sobre los datos; en ocasiones a pesar de recibir el pago de la víctima, el atacante deja inaccesible la información, ejemplo de este tipo de ataque es Wannacry, Kaseya, Bad Rabbit o Petya. Aunque últimamente se han visto comportamientos de sustracción y publicación no autorizada de información, en general, este tipo de amenaza cifra los archivos o unidades de almacenamiento de la víctima sin ninguna autorización y luego el ciberdelincuente exige un rescate a cambio de las llaves de descifrado. Este modelo de negocio es bastante lucrativo para un cibercriminal, actualmente existen estructuras organizadas que ofrecen herramientas maliciosas de cifrado como servicio en la dark web; recuperar el control sobre los equipos infectados con Ransomware puede ser tedioso y llevar mucho tiempo.
Si un dispositivo está infectado con ransomware, recibirá un aviso en su pantalla indicando que los archivos están cifrados y son inaccesibles o también se puede recibir un mensaje en la pantalla que indica que el dispositivo está bloqueado y no se puede acceder hasta que se pague el rescate. Por lo general el pago se solicita en forma de moneda digital porque la transferencia sería más difícil de rastrear; sin embargo, también pueden solicitar tarjetas de crédito pre-pagadas o tarjetas de obsequio. En la nota de rescate se proporciona un límite de tiempo para efectuar el pago, después de vencerse el plazo establecido, los actores de amenazas pueden extorsionar a la víctima a través del aumento de la cifra del rescate, destruir los archivos de forma permanente o filtrar los datos en Internet.
El Ransomware se ha transformado en una amenaza avanzada que utiliza una combinación de vectores de ataque, como el envío de un correo electrónico malicioso en conjunto con ataques de fuerza bruta donde el ciberatacante usa intentos de inicio de sesión extensos o adivinando contraseñas para acceder a sistemas y redes. El Ransomware también puede materializar por la explotación activa de vulnerabilidades y extenderse a los sistemas y redes de organizaciones conectadas a través de la cadena de suministro, para infectar a otras compañías. Ante un incidente de Ransomware se pueden establecer 3 etapas previas al compromiso del activo informático:
• Obtener acceso: El adversario intenta encontrar la manera de tener acceso mediante fuerza bruta (intentos coordinados y/o automatizados de adivinar contraseñas), explotación de vulnerabilidades en un software específico o correos maliciosos (Phishing) que traen enlace o archivos adjuntos sospechosos. Con esto el atacante puede desplegar malware en la red o comprometer el sistema
• Tomar Control: Con el acceso garantizado el adversario procede a propagar el ataque a otros dispositivos e intenta obtener acceso con privilegios administrativos al sistema comprometido.
• Impactar la organización: El adversario cifra y/o copia la información valiosa, también puede eliminar copias de respaldo en línea o configuraciones del sistema, para eventualmente demandar el pago de una suma de dinero, por lo general en criptomonedas.
Según un reporte de tendencias en materia de ciberseguridad realizado por ESET, en 2021 las detecciones por Ransomware han disminuido considerablemente con respecto a años anteriores; esto confirma que los actores de amenaza han modificado el modus operandi, -desde cifrado y bloqueo hasta robo y extorsión-, y el enfoque, - de propagación de campañas masivas a objetivos específicos-. Lo anterior tiene sentido si se analiza desde un punto de vista económico a la víctima potencial, dado que solo quien tiene un poder adquisitivo para pagar un rescate accederá a designar recursos monetarios para intentar recuperar el acceso y para un atacante no tendría sentido comprometer un objetivo que no cuente con el capital suficiente para pagar el rescate. Esto no quiere decir que las empresas con menos recursos no estén sujetas a verse afectadas por un Ransomware, por el contrario, ratifica que los ataques de Ransomware son una amenaza global que afecta corporaciones independientes de su tamaño, la única diferencia radica en la especialización en determinadas industrias, de tal forma que le facilita al atacante comprometer a una organización y ser letal al ejecutar el ciberataque.
Las consecuencias de un ataque de Ransomware son indisponibilidad de los datos, perdida de información crítica, sensible y valiosa, interrupción completa o parcial del negocio. A una escala mayor se tiene afectación completa a la triada de la seguridad de la información, (Confidencialidad, Integridad y Disponibilidad), hasta el pago de multas y perjuicios a la reputación a la marca de una compañía; lo cual es supremamente delicado porque una empresa comprometida por un Ransomware pierde dinero desde el primer momento que se detienen los procesos T.I; gracias al acceso restringido a la información o al pago de sanciones, -normativas o contractuales-, por incumplimiento en los acuerdos de servicio. Contemplar el pago de un rescate no garantiza la recuperación del acceso a la información o la ocurrencia de daños colaterales tales como: ex filtración, divulgación, alteración o pérdida total de los datos críticos para el negocio. Por otra parte, la pérdida de confianza es otro de los efectos negativos que ocasiona el Ransomware, debido a que puede generar que los clientes, actuales o potenciales, cuestionen la continuidad o establecimiento de una relación comercial con la organización comprometida.
La principal línea de defensa ante un ataque de Ransomware son todas las acciones proactivas de prevención y mitigación como la gestión de cuentas y accesos privilegiados, optar por el principio de menor privilegio, sensibilizar y capacitar al personal e implementar controles de ciberseguridad. Si bien, estas acciones no son infalibles o la panacea contra el Ransomware, si permiten reducir considerablemente la probabilidad de la materialización de un ataque y disminuyen el impacto que se pueda ocasionar por un incidente de este tipo. Por otra parte, si se desea combatir el Ransomware sin desfallecer en el intento, es imperativo contar con una estrategia de ciberseguridad que contemple un plan de respaldo, un plan de respuesta ante incidentes y un plan de recuperación.
Para concluir se puede decir que el Ransomware está en constante evolución y puede tener un impacto catastrófico en las organizaciones, ocasionando pérdidas económicas, filtraciones de datos y daños a la reputación. Estar preparado ante un incidente de ciberseguridad y aplicar las medidas proactivas para proteger la red, los dispositivos conectados y la información es fundamental para mejorar la capacidad de respuesta y recuperación. Si fue víctima de un ataque de Ransomware, es importante tener en cuenta las lecciones aprendidas e implementar las medidas de mitigación y corrección.
Referencias