El reciente ataque a Garmin, que provocó una disrupción de la funcionalidad de todos sus dispositivos que duró varios días y que terminó con el pago de varios millones de dólares a los criminales, es un caso enormemente preocupante tanto por su escala como por lo que tiene de aviso a navegantes.
Generalmente, el ransomware, o petición de un rescate a cambio de desbloquear el acceso a los datos de un sistema, solía dirigirse, con algunas notables excepciones, a compañías relativamente pequeñas, casi siempre carentes de sistemas sofisticados de seguridad o de personal experto en esa materia. A lo largo del tiempo, hemos visto a compañías como la farmacéutica Merck, el gigante de la logística Maersk, y hasta una amplia variedad de hospitales o de ayuntamientos y gobiernos locales recibir la llamada de los criminales exigiendo un pago a cambio de devolverles el acceso a sus propios datos o de evitar que fuesen publicados (algo que, en ocasiones y según la naturaleza de esos datos, puede dar lugar a indemnizaciones mucho mayores).
En el caso de Garmin, hablamos de una compañía cotizada en el NASDAQ desde el 2000, con una valoración cercana a los 20,000 millones de dólares, una evolución creciente, y millones de usuarios en todo el mundo. Además, la compañía optó por pagar el rescate correspondiente de varios millones de dólares, lo que indudablemente funciona como incentivo para que haya más ataques de este tipo en el futuro. Otra compañía, la agencia de viajes CWT, sufrió otro ataque de este tipo recientemente, y terminó por pagar 4.5 millones de dólares tras negociar una petición inicial de 10 millones, tras un intercambio de mensajes con los delincuentes que incluso llegaron a darles consejos para que problemas de ese tipo no volviesen a ocurrir y un «precio muy especial» por haber contactado rápidamente (¡!!!!)
Esto nos lleva a una progresiva escalada del coste de este tipo de ataques, que se ha duplicado a lo largo del último año y alcanza como media los $84,000 y, sobre todo, a un cambio en las técnicas utilizadas por los delincuentes: del simple mensaje de phishing disparado de forma genérica en plan «vamos a ver si cae algo interesante», pasamos a ataques cuidadosamente diseñados para acceder a una compañía o persona concreta, a menudo con componentes que utilizan no solo la tecnología, sino también elementos sociales, conocimiento de la víctima, etc. Ahora, los mensajes ya no son simples correos electrónicos genéricos, en ocasiones incluso mal escritos o mal traducidos, en los que solo caían los muy incautos o los muy torpes: ahora, pueden venir y ser reforzados por varias vías, buscar a personas especialmente vulnerables en la organización, y responder a esquemas muy cuidadosamente preparados. Riesgos cada vez cuantitativamente mayores, y en consecuencia, herramientas cada vez más sofisticadas. Prácticamente cualquiera puede caer en esquemas de ese tipo: hacer clic en un enlace en un mensaje o página que desencadena la instalación inadvertida de un programa de malware no es algo que ocurra simplemente a los torpes o a los tontos.
Una situación así equivale, cada vez más, a tratar de montar toda una economía en un entorno en el que, constantemente, te puede aparecer un salteador de caminos y robarte. Hace ya tiempo que el mundo civilizado no es así, o al menos, que existen mecanismos para encontrar al que intenta hacerlo y ponerlo en manos de la justicia. Ahora, aparentemente, no es así. Por mucho que podamos entender que la tecnología es adoptada de manera muy proactiva precisamente por aquellos, como los delincuentes, con un incentivo importante para ello, y que el desarrollo de las criptomonedas hayan podido proporcionar un entorno de mayor impunidad para el cobro de los rescates, resulta cada vez más importante emprender acciones coordinadas internacionalmente para evitar algo que amenaza con convertirse en epidémico. Y sobre todo, dejar de incentivarlo más aún mostrando que, en un número peligrosamente elevado de ocasiones, los delincuentes consiguen su propósito y se van con el dinero bajo el brazo.
No podemos incorporar el coste de este tipo de acciones a un capítulo contable considerado como «el coste de hacer negocios en la red». El problema de ransomware tiene difícil solución, pero siempre es posible encontrar una. Necesitamos hacer las cosas de otra manera, evitar que los delincuentes se refugien en países a los que no llegue la legislación o que ofrezcan cierta impunidad, educar a todos los posibles implicados para evitar esos ataques, y protegernos de todas las maneras posibles. Cuando algo se generaliza globalmente, requiere de respuestas globales y coordinadas, y el reto del ransomware amenaza con convertirse en eso, en un desafío global que precisará de respuestas a gran escala. Veremos quién se decide a plantear algo en ese sentido.
This article was also published in English on Forbes, «Ransomware is a global threat that requires a coordinated, global response«
Nuestro proveedor de web y servers antiguo sufrió ese ataque y NO pagaron: datos perdidos.
Lo tuve que gestionar y puedo resumir en una sola palabra la solución: backups. La empresa original los guardaba en servidores ahí mismo, así que en el hackeo los perdieron también.
Por suerte nosotros teníamos nuestra propia política de copias, y aunque eran algo antigüillas, solo perdimos 2 meses de información en la base de datos y el resto lo reconstrimos con los informes excel que exportábamos cada semana.
No entiendo esa manía de las grandes empresas de guardar los backups en el mismo sistema, edificio o espacio. Backups fríos y en localizaciones seguras y externas, búnkers. De eso se ofrece y a buen precio. No más ransomware.
PD: Lo que sí implementamos a posteriori fue el OneDrive y Office365 en todos los equipos corporativos, haciendo «tonta» la terminal y derivando los datos al cloud de Microsoft. Si hackean uno, siempre dispones del otro
Un problema con las extorsiones de ransonware actual es que no solo se afecta la producción sino que se te amenaza de publicar toda la información que ellos han capturado (aunque después rompan sus palabras). También, en los casos donde los blancos son bien específicos los atacantes intentaran llevarse de encuentro todos los respaldos que les sea posible.
Así que ya no basta con ser capaces de poner todo el sistema de vuelta tan pronto como sea posible, sino que también es prepararse para perder todos tus secretos industriales, e incluso tu comunicación privada.
Y si, hemos llegado a esta situación porque estos ataques se están volviendo jugosos.
Es sin duda un problema de seguridad informática y de admistración de sistemas: ¿cómo es posible que no tengan copias de seguridad en distintas plataformas? Si una intrusión puede encriptar todos tus datos y no tienes una copia de respaldo inafectada en algún lugar diferente, algo estás haciendo mal.
Pagar por las claves para recuperar la información puede tener sentido si toda tu actividad depende de ello y no tienes copias de seguridad que puedas restaurar de forma eficaz. Pagar para que no publiquen información me parece absurdo, una vez que la tienen la tienen para siempre y nada te garantiza que en un momento vayan a publicarlo (me viene a la cabeza un episodio de Black Mirror).
También es significativo que hayan pedido bitcoin y no cualquier otra criptomoneda con mayor privacidad u otras características supuestamente superiores. Al igual que en el hackeo de Twitter, pedían bitcoin, por algo será.
Estas cosas pasan, si hacen el butrón en las cajas fuertes de los bancos, pensar que se puede evitar los ransomware es pura entelequia.
De lo que se trata es de ponerlo mas difícil y como por ahí dicen, una buena política de copias de seguridad, realizada forma sistemática e inflexible lo dificulta,
Asistiremos a un «switch» de la delincuencia. Si bien siempre existieron estafas, las futuras estafas serán sobretodo electrónicas y basadas en internet.
Mientras que la delincuencia callejera, atracos, robos de coche…etc pronto disminuirán enormemente con el uso masivo de la videovigilancia y reconocimiento facial.
¿Tenemos policías y jueces preparados para afrontar la nueva delincuencia electrónica?
¿Tenemos policías y jueces preparados para afrontar la nueva delincuencia electrónica?
No, porque estos delitos suelen ser extraterritoriales y carecemos de policia y jueces internacionales, Interpol no fue ideada para combatir estos tipos de delitos y resulta complicado encontrar un tribunal con competencias efectivas en un asunto internacional. .
Es sin duda un problema, pero las grandes operadoras ya protegen a sus usuarios y empresas con sw especiales contra esos ciberdelicuentes y paginas maliciosas, como el programa de SecureNet en Vodafone España o de Conexion Segura en Telefonica, no dudéis en contratarlo y dormir mas seguros por las noches.
Claro! Como no se nos había ocurrido! Todos aquí hablando de triple backup y similares, cuando todo lo que hace falta es contratar un servicio basuriento de Movistar o Vodafone!!! Anda, haztelo mirar.
Nos dice Gorki que evitar el ransomware es una entelequia. Pues una vez más si y no.
Desde que tengo uso de razón (laboral) con PC guardo mi trabajo por lo menos en tres sitios, si no hay backup triple no hay seguridad, ademas que lo que haga la empresa(casi ahora) de forma automática. Conclusión, jamas he perdido un fichero.
Hace como dos años hablando con «un cuñado real» estaba muy mosqueado porque se le había «perdido» un excel que era imprescindible para su trabajo, cosas de windows que a veces crees que has puesto el fichero y por arte de magia desaparece.
Le pregunto ¿y no haces copias en una pastilla cada semana? Eso era mucho lío… si nunca pasó nada porque lo iba a hacer. En un «cuñado» bueno, pero muchas pequeñas empresas sus políticas son del mismo nivel…
En la mayoría de las empresas, guardar un BackUp fuera del edificio ,es algo rarísismo, lo habitual, si se hace BackUp, es guardarlo incluso en la habitación del Ordenador, con lo que en caso de incendio se pierden juntas las copias.
Cierto los disaster-recovery tienen que estar en otras localizaciones, y además si puede ser con servidores corriendo UNIX securizados
Y otra práctica «personal» que no sirve es llevar los USB en el maletin del PC si te lo roban, desaparece todo… Una copia en casa, otra en la oficina, y otra en el maletin…
Y para hacer los backups, nada de comprar SW de ventanitas, se usa un shellscript bash con el comando «rsync» y se automatiza con cron.
1980, fábrica de teles y radios. Hacíamos tres copias. Una quedaba en un armario ignifugo en el mismo CPD, otra en la cámara acorazada que había en la fábrica y la tercera en unas oficinas de la empresa a unos cuantos kilometros de la fábrica.
En el 80…. En Madrid Marconi-ITT? , En Barna Saba o Sony?
Que tiempos cuando no eramos una mierda de país y se hacían cosas …. ahora ni para cubatas para los ingleses
En Barna y otra multinacional. Los cubatas solo en el turno de noche, excepto la del 23F que cayó una de champany que había en la nevera, por si acaso no salía bien la cosa.
Gracias al Ransomware, está creciendo mucho el Backup a Cinta ( que ya parecía algo de dinosaurios…) y muchas empresas están volviendo incluso a implementarla
La regla de oro ahora es 3-2-1-1 : 3 copias en 2 medios diferentes, una de ellas offsite y otra offline.
En esta última categoría encaja como un guante la cinta, con capacidades de hasta 30 Tb por cinta en compresión y velocidades de hasta 700 MB/s a día de hoy.
A finales de año , con la disponibilidad de la tecnología LTO 9 , estos datos valores se pueden casi doblar.
Muchos gigantes del Cloud ( Google, IBM y Azure lo reconocen explícitamente, AWS de momento no lo reconoce…) ya la usan de forma creciente por su bajo coste y seguridad
La seguridad conlleva costes que todos procuramos evitar.
En mi mundo de Petete, los hackers estarían contratados como expertos en seguridad, pero como las empresas quieren reducir costes, solo les queda el usar los conocimientos para coaccionar a las empresas.
¿Quien coacciona a quien? ¿las empresas a los trabajadores o los trabajadores a las empresas?
84000 USD no cubre ni el sueldo de un profesional yanki durante un año.
Parece que se persigue el sabotaje de los paises pero no el de los particulares
https://www.technologyreview.es/s/12477/europa-sanciona-hackers-rusos-chinos-y-norcoreanos-por-primera-vez
Muy interesante todo lo que cuentas. No sabía que podría ser tan peligroso. Gracias por compartir esta información. saludos
Buenos días,
Estuve escuchando este tema en un podcast de la BBC que se llama Tech Tent, que os recomiendo porque creo que a los que leen este blog les gustará, es este:
http://www.ivoox.com/54630933
Y bueno, entre las cosas que comentaron estaba lo de las copias de seguridad que comentaba Gorki.
Un cordial saludo.
Me hace gracia como se usa profusamente el término delincuente, para los piratas, que tanto pueden robar a simples contrabandistas como a complejos corsarios, y para los mangantes de guante blanco, como la mísmísima reina Victoria o el rey Leopoldo, que siempre se dedicaron a robar a los desheredados del llamado «tercer mundo».
Vaya! esa no la vi venir, bienvenidos a la era de la consultoría a la fuerza, atención al cliente después del pago, descuentos preferenciales.
Consultoría en seguridad informática 2.0
» tras un intercambio de mensajes con los delincuentes que incluso llegaron a darles consejos para que problemas de ese tipo no volviesen a ocurrir y un «precio muy especial» por haber contactado rápidamente (¡!!!!)»
Excelente post profesor Dans.
Hay cosas que se leen aún hoy, y cuestan creerse. No hay seguridad si no hay copia a 100 km de distancia, (mínimo), todo lo demás es hacerse trampas al solitario. Y sí o sí, estas cosas solo le pueden ocurrir, a estas alturas de la película, a «tontos y a torpes», ¡¡¡pero por supuesto!!! (A rematadamente tontos intensos y torpes entrenados; entrenados para ser torpes). Qué nivelazo los de Garmin, pero qué nivelazo.
Saludos.