La creciente profesionalización del ransomware

IMAGE: Max Pixel - CC0

Un intento de ataque de ransomware a Tesla confirmado por el propio Elon Musk, que termina con el atacante detenido por el FBI tras rechazar un empleado hasta un millón de dólares por colaborar para comprometer los sistemas de la compañía, pone de manifiesto el creciente nivel de profesionalización planteado por los delincuentes dedicados a esta vertiente del cibercrimen: un ataque cuidadosamente planificado, con un componente de ingeniería social bien planteado – tratar de obtener la colaboración de un empleado ruso de la compañía utilizando a otra persona de su misma nacionalidad – y dirigido a una de las compañías estrella del momento.

El primer escenario del ransomware tuvo como referencia mensajes de spam enviados masivamente para tratar de pillar a incautos que, al abrirlo y hacer clic en un archivo determinado, se instalaban un virus que permitía poner en marcha el esquema de cifrado. Era, por así decirlo, como lanzar semillas al viento para ver si alguna caía en terreno fértil y abonado, y se podían obtener beneficios, generalmente pequeños, de particulares que no querían perder sus datos. La idea era ganar «muchos poquitos», y con un esfuerzo muy moderado.

El segundo escenario que llevamos ya algún tiempo viendo no tiene nada que ver con el anterior. Se trata de criminalidad altamente organizada y enfocada a entornos corporativos: cualquier compañía es susceptible de recibir ese tipo de ataques, aunque seguramente lo sea más si es conocida, prestigiosa o exitosa. El modus operandi varía radicalmente: ya no hablamos de mensajes enviados al azar, sino de esquemas cuidadosamente planeados, con una gran investigación previa para identificar tanto a la compañía como a los posibles empleados susceptibles de colaborar, y con formas de contactar que pueden ser desde por correo electrónico o telefónicas hasta, como en el caso de Tesla, con esquemas que evocan auténticamente los de las películas de espías. Casos recientes como el de Garmin o, en España, el de la aseguradora Mapfre, dan buena cuenta del incremento de la frecuencia en este tipo de esquemas delictivos.

¿Cómo deben las compañías protegerse ante este tipo de esquemas de criminalidad cada vez más habituales? La primera cuestión es evidente: sabiendo que la amenaza está ahí, y que tenemos cada vez más posibilidades de que alguien esté diseñando un ataque específicamente preparado para nosotros. Este tipo de esquemas de spear phishing o de whaling (según el objetivo sea un simple trabajador de la organización o directamente alguno de sus directivos) son muchísimo más difíciles de proteger de manera genérica, lo que nos deja ante la alternativa de métodos indirectos: incrementar el nivel de conocimiento de nuestros trabajadores con respecto a este tipo de delincuencia.

Formar, formar y formar. Las personas que trabajan en una organización tienen que entender no solo la mecánica de este tipo de ataques y en qué medida es fácil caer en ellos, sino además, tener perfectamente claro que, en caso de colaborar con los criminales, las posibilidades que tienen de obtener un balance positivo son prácticamente nulas. En muchos casos, los delincuentes procuran trabajar con empleados de la compañía que no necesariamente tienen por qué estar contentos en ella, utilizando, por ejemplo, sus perfiles de LinkedIn y averiguando, mediante una licencia premium, si están en búsqueda de otro empleo. Es importantísimo que un empleado entienda que la alternativa de colaborar con criminales es ni más ni menos que eso, convertirse en criminal, y que no es ya algo que pueda entenderse como un error de buena fe, un descuido o un problema derivado del desconocimiento. Hablamos, en muchos casos, del ofrecimiento de dinero a cambio de colaboración, y eso ya no es un descuido: es un comportamiento criminal que debe ser investigado y tratado como tal.

Además, debemos incrementar el nivel de preparación en las metodologías concretas: cualquier empleado debe entender las precauciones que debe tener ante un correo electrónico, ante los posible enlaces o ficheros incluidos en él, o ante posibles contactos a través de otras herramientas, como mensajería instantánea. Herramientas como WhatsApp, generalmente utilizadas en muchas compañías pero no controladas por el departamento de sistemas, son muy buenas para contactar con posibles candidatos, dado que únicamente es necesario tener acceso a su número de teléfono para poder iniciar una conversación. Que nuestros empleados sean conscientes y entiendan los riesgos implicados es importantísimo: sin caer en la paranoia, pero asimilando que un enlace no es siempre lo que su texto revela, o que un attachment puede contener un archivo ejecutable aunque parezca un pacífico documento o una hoja de cálculo.

También es importante crear protocolos que introduzcan elementos de comprobación. Muchos ataques se están llevando a cabo mediante la simulación de la voz de personas: una llamada supuestamente del CEO de la compañía, que pide a alguien del departamento de contabilidad, típicamente un becario o alguien con poca experiencia, que haga una transferencia determinada. No exactamente delincuencia organizada, pero sí un golpe rápido que puede proporcionar beneficios importantes. Es fundamental que ese tipo de posibilidades se encuentren con protocolos de comprobación que eviten esa búsqueda de la situación de excepcionalidad que el delincuente trata de explotar.

Formar a las personas que trabajan en la compañía es uno de los factores principales para evitar ese tipo de delincuencia. Dicho esto, la parte tecnológica también es fundamental: rutinas de backup rigurosas y con ficheros almacenados fuera del ámbito corporativo que permitan restaurar una copia muy reciente en caso de cifrado de nuestros sistemas, valoración adecuada de los riesgos, y niveles de protección adecuados para cada uno de esos riesgos.

Además, planes de contingencia bien diseñados: la preparación en el ámbito tecnológico es fundamental, pero no pensemos que nos salva de todo, porque ni funciona en el caso de colaboración de algún empleado desde dentro, ni siquiera, en la mayoría de los casos, es capaz de evitar disrupciones en el servicio o problemas de coordinación derivados de la reconstrucción del sistema a partir de una copia de seguridad. Las mayor parte de las compañías funcionan hoy en día en tiempo real, y volver a obtener toda la funcionalidad transaccional a partir de un backup, aunque sea muy reciente, no es algo en absoluto sencillo. Los planes de contingencia tienen que prever ese tipo de cuestiones operativas.

Tengamos en cuenta que en este tipo de esquemas, pagar no siempre termina con el problema: son muchos los casos en los que , tras recibir el pago, los delincuentes simplemente desaparecen sin dejar rastro, o en los que al rescate pagado por el descifrado de los datos se sucede un segundo ataque en el que el delincuente vuelve a pedir dinero, pero esta vez a cambio de no hacer públicos los datos sensibles obtenidos. Como siempre, cuanto menos tengamos que hablar con gente que tenga ese perfil, mejor.

Finalmente, un reto para la justicia internacional: la sensación de impunidad en este tipo de delitos cometidos desde diferentes jurisdicciones, con marcos legales diferentes y con atribuciones difusas está jugando un papel importantísimo en su crecimiento. Crear instituciones supranacionales que funcionen de manera rápida y sin trabas es cada vez más importante si queremos que la web no termine pareciéndose cada vez más al salvaje oeste.

Para los profesionales de la seguridad, esta escalada supone la necesidad de escalar también en las metodologías empleadas para protegerse de ella. Pero además, tengamos en cuenta que por muy rigurosos que seamos en el ámbito tecnológico, hay un componente social que es fundamental cuidar a través de la formación actualizada, de la concienciación y de la comunicación.


The original article was also published on Forbes, «Here’s what we can do to reduce the risk of a ransomware attack«


6 comentarios

  • #001
    sin censura - 28 agosto 2020 - 13:23

    Hay una derivada más sobre el empleado que se criminilaza. Qué ademas sirve de «tonto útil» ya que la empresa que le mancillan su honor querrá tener una cabeza de turco para decir eso de que una organización criminal ha sido desarticulada y hemos cogido la pieza clave que era un empleado corrupto y bla bla. Se cierra la investigación y el cerebro de la banda se queda tan tranquilo y con el botín. Vamos lo que se dice hacer un «Rafi Escobedo» sirva la comparación.

    Por cierto, me he podido desintoxicar y no opinar sobre los chinos…. ¿Habrá habido censura al tal Ernesto Blanco? que era su tema favorito bombardear Shan-gay y demás…

  • #002
    Xaquín - 28 agosto 2020 - 15:24

    Información formativa para concienciar… al final del texto… difícil hacer mejor síntesis, para cualquier problema humano que se plantee.

  • #003
    Gorki - 28 agosto 2020 - 22:22

    Veo muy difícil, casi imposible, poderte proteger de un informático infiel dentro de la organización.

    Yo me tengo por honesto, pero también es cierto que nadie me ha ofrecido un millón de dólares por no serlo.

    • Escrut - 31 agosto 2020 - 09:49

      Y si tienes cientos de informáticos con acceso privilegiado a todas las contraseñas, la superficie de ataque es enorme. Esas claves tan sensibles no puede estar en manos de todos los informáticos. Al contrario: el acceso a ciertas actividades de administración solo debería ser posible a través de equipos de dos personas: la que lanza la actividad y la que autoriza. Los delincuentes tendrían que convencer al menos a dos personas clave para tocar esa información sensible. Es la segregación de tareas.
      En el último timo de criptomonedas perpetrado desde Twitter usaron cuentas hackeadas desde dentro. En un servicio de correo bien gestionado los administradores no tienen forma de suplantar a un usuario. En Twitter parece que casi todos los administradores podían hacerlo.
      https://www.theverge.com/2020/7/15/21326656/twitter-hack-explanation-bitcoin-accounts-employee-tools

  • #005
    Gorki - 28 agosto 2020 - 22:23

    Quise decir honrado, honesto también lo soy, pero no en el mismo grado.

  • #006
    Lopezquitos - 30 agosto 2020 - 15:04

    Sin duda formar es clave. Trabajo en el el departamento de cyberseguridad de una multinacional Japonesa. Nosotros dedicamos una seccion del departamento solo a la formacion sobre seguridad a empleados de toda la empresa. Hay miles de empleados, asi que imaginad el desafio. Las necesidades de formacion de un developer son muy diferentes a las de un empleado de marketing , pero claves igualmente para prevenir brechas en la seguridad de diferente naturaleza.

    Por ejemplo, este mes llevaremos acabo un penetration testing de ingenieria social. Veremos….

Dejar un Comentario

Los comentarios están cerrados