El laberinto del ransomware

IMAGE: Katie White - Pixabay (CC0)

El progresivo incremento de los casos de ransomware a lo largo del tiempo está demostrando la enorme importancia de la cultura de seguridad en las organizaciones, más aún cuando, debido a la pandemia, muchos trabajadores pasaron a trabajar en modo distribuido sin tomar las precauciones adecuadas y generaron con ello muchas más vulnerabilidades. Y si bien algunos afectados han sido capaces de conseguir recuperar su actividad gracias al uso de copias de respaldo, en muchos otros casos hemos visto importantes interrupciones en su funcionamiento o cuantiosos pagos de rescates.

En Europa, los ciberataques se duplicaron a lo largo del pasado año precisamente a causa de la explotación de las circunstancias de la pandemia por los criminales. El 41% de las reclamaciones a aseguradoras durante el primer trimestre de 2021 estuvieron relacionadas con el ransomware, una técnica cada vez más profesionalizada, que afecta ya a todas las industrias, desde bancos a hospitales y sistemas de salud nacionales, pasando por sistemas industriales, oleoductos o plantas de procesamiento de productos cárnicos, provocando efectos cada vez más críticos para la población.

La oleada de ciberataques está provocando que el gobierno norteamericano se plantee medidas que van desde convertir en obligatorio el informar de los ataques sufridos por las compañías, que tradicionalmente intentaban tratar este tipo de situaciones con discreción, o multar a quienes paguen los rescates, hasta llegar a plantear acciones diplomáticas o incluso militares. La administración norteamericana está planteándose homologar el ransomware a acciones terroristas como el 11 de septiembre, otorgar prioridad total a combatirlo, y clasificarlo como amenaza para la seguridad nacional. Ver peligrar en poco tiempo el suministro de combustible y el de productos cárnicos en algunas zonas del país es algo que, indudablemente, genera temores importantes.

La realidad es que este tipo de ciberataques, que pueden mantenerse latentes durante mucho tiempo y activarse cuando el perpetrador lo considera oportuno, pueden resultar enormemente versátiles: desde servir para paralizar prácticamente la actividad en un país entero, hasta ser simplemente – como en la mayor parte de los casos hasta ahora – parte de un esquema lucrativo en el que participan incluso intermediarios, o llegar a convertirse en armas para determinadas causas: hipotéticamente, una oleada de ciberataques que paralizase la actividad de líneas aéreas, explotaciones petrolíferas, ganaderas o de otros tipos, como centrales de carbón, podrían ser, por ejemplo, parte de un intento de reducir las emisiones de dióxido de carbono llevada a cabo por un supuesto grupo ecologista.

Hablamos de un esquema profundamente versátil y, sobre todo, de un problema complejo: protegerse no resulta sencillo, y puede implicar desde la adopción de arquitecturas zero-trust hasta replanteamientos completos de sistemas, incorporación de expertos en seguridad y, sobre todo, de la formación de los trabajadores, en muchos casos, el eslabón más débil de la seguridad. Una batalla con nuevas reglas para la que muchos no están en absoluto preparados, y que aún está en pleno crecimiento. Prepárate de todas las maneras posibles: formando a todos los implicados, desarrollando una cultura que valore la seguridad, creando rutinas eficientes de copias de seguridad, estando muy al día en las actualizaciones… en ningún momento pienses que eso no va a pasarte a ti. Pero por otro lado, tampoco lo veas como algo inevitable, como una batalla perdida contra lo que no vale la pena intentar protegerse. En esto no somos todos iguales, sino que, como decía Orwell, «unos son más iguales que otros». Un ataque de este tipo supone una crisis reputacional y una pérdida económica importante, una posible disrupción en tu negocio, pero sobre todo, la evidencia de que alguien no se estaba tomando una parte crítica de su trabajo suficientemente en serio.


This article was also published in English on Forbes, «Ransomware attacks don’t only happen to other organizations…«


34 comentarios

  • #001
    Gorki - 12 junio 2021 - 19:14

    En efecto, En mi opionión, nadie se toma seriamente la preocupación de defender a una compañía de los problemas derivados del mal funcionamiento de sus Servicio de Informático, sean debidos a ataques ciberterroristas, como a la simplemente aparición inesperada de «bugs destructores» en los programas.

    Desde que en cualquier instalacion predominan los procesos on-line, cada vez es mas dificil hacer un Backup. de los datos en un «determinado instante»

    Por suerte, nunca he participado en servicios de seguridad infortmática, porque no habria sabido ni hacer frente a las trampas que, sin casi riesgo, podia haber montado en cada una de las instalaciones informáticas en las que he participado.

    • pedro - 14 junio 2021 - 16:36

      Por lo visto hay un foro en Reddit llamado «nuclear vengeance», y un youtuber que se dedica a leerlos, en inglés.

      El otro día leyó el de uno que automatizo el control de calidad en una linea de 20 años, y cuando su jefe se atribuyo el mérito, reconfiguró su trabajo para que la maquinaría fallara de manera aleatoria, y que fuera a peor si intentaba arreglarlo mal. La fabrica cerró.

      La venganza es un plato que se sirve frio.

      Hay guardias civiles corruptos por que cobran poco. Hay otros que como Pablo Escobar, nunca tienen suficiente. Con sueldos y trabajos dignos, la mayoría que sabe abrir cajas fuertes trabaja de cerrajero.

  • #003
    Chipiron - 12 junio 2021 - 20:43

    Desde que vi en 1983, muy jovencito, una de mis peliculas favoritas (aún me la miro alguna vez), «Juegos de Guerra», he de reconocer que he sentido una total devoción y admiración por los hackers, dejando totalmente de lado la valoración moral de sus intenciones.

    Siempre les he admirado y hasta envidiado (de forma sana) por su gran creatividad, inteligencia y capacidad (a veces en ingenieria social) para entrar en los supuestos sistemas «mas impenetrables» del mundo y ponerlos bajo sus pies.

    Tener ese don de inteligencia, ingeniosidad, forma de circunventar todos los mecanismos de proteccion, me recuerda a las peliculas de los 70 de «ladrones de guante blanco». Además, se debe sentir un poder con las manos en el teclado de un ordenador conectado a internet sólo comparable a la de un grupo musical con 50.000 espectadores en un concierto metidos totalmente en su bolsillo.

    Obviamente, como en todo, hay hackers de primera (los que descubren loopholes, trucos, etc..) y de segunda (los que copian a los verdaderos genios). Y lógicamente, tenemos a los que tienen intenciones inoucuas y los que realmente criminalizan hasta extremos insospechados dichas prácticas (por ejemplo no me mola el ya tan machacado phishing en el que solo caen gente, generalmente mayor, inocente y con buena fe).

    Pero un ataque potente de ransomware a Google, Apple, Facebook, etc seria una experiencia digna de un guión de pelicula. No hablo del hackeo a cuerpos militares de superpotencias por lo peligrosos que podrian ser para la humanidad.

    Yo comparo los verdaderos hackers de hoy en dia (cuando el concepto de seguridad está bastante expandido, a diferencia de hace dos décadas) a magos como David Copperfield, que te hace alucinar con sus trucos.

    La profesión que me molaria más desarrollar ahora (pero ni tengo la creatividad, ni inteligencia, ni agilidad requerida) es la del «ethical hacker». Vaya, el que hace una verdadera auditoria de seguridad a una empresa descubriendo sus «loopholes». Y a los «bountyhunters», que reciben grandes sumas de dinero por empresas como Apple cuando les reportan «Zero Day Exploits» a cambio de dinero y no hacer publico el exploit hasta que está parcheado.

    En fin, fascinado con el tema, ya lo veis.

    • Javier - 12 junio 2021 - 21:35

      Este aporte solo busca complementar lo que ya expusiste, y sí, también comparto tu admiración por la noble profesión de hacker (no así cracker) …aunque recuerdo que… alguna vez… nah…olvídalo…

      https://es.wikipedia.org/wiki/Cracker

      https://es.wikipedia.org/wiki/Hacker

      • Chipiron - 12 junio 2021 - 22:22

        Dilo, dilo, no nos dejes en ascuas..

    • LUA - 12 junio 2021 - 21:57

      Empieza desarrollando un Bubble Sort, y a partir de ahi… hablamos…

      Peliculas… muchas peliculas… demasiadas peliculas… XDDD

      • Chipiron - 12 junio 2021 - 23:29

        Es que soy muy peliculero…XDD

        • LUA - 13 junio 2021 - 17:12

          Pues que sepas, que con un script de VB en Excel, no vas a ampliar ninguna foto para ver la matricula de un vehiculo… XDDD

          (famoso episodio de CSI Las Vegas) XDDD

          • Chipiron - 13 junio 2021 - 18:39

            Hombre, Lua. No soy un experto en procesado de imagen especificamente, pero si en procesado digital de la señal.

            Se distinguir lo que es posible de lo que no… o al menos de lo que publicamente se sabe.

          • LUA - 13 junio 2021 - 18:55

            Al final si tendre que darte un… como lo llamaste? Crash Course? pero de ironias… XDDD

          • Meji yon - 13 junio 2021 - 19:08

            Chipi

            Acabo de beber 1 botella de güiski Glen Grant 50 años ( sabe igual de asquerosa que el segoviano pero los pijos opinaran distinto), y me cuesta teclear con soltura… perdón…pero no llego a comprender al chipi… mira que es dificil entender a alguien que afirma de si mismo que es un tio feliz de 52 tacos, con una hija de 20, y felizmente casado… y que no tiene ni puta de idea de los smiles y similar pero que es «profe» de Uni ( Válgame la macarena)

            Por favor ( lo había tecleado con b peroi he sido capaz de teclearlo bienI)… puedes recomendarnos un buen programa ( SW es una rebuznancia pero tu lo entenderas) para hecer diseño de circuitos de micro, sin llegar a ser pspice, para hacer practicas de circuitos?

            y gratis !!!

          • Chipiron - 13 junio 2021 - 19:10

            Perdona, si que he visto los XDD pero no lo acababa de captar como ironia al 100%.

            Pues no te digo que no, seguro que en voz no me pasaria, en escrito, a pesar de los emojis, a veces no capto la ironia.

          • Meji yon - 13 junio 2021 - 19:12

            alguien es muy cortito…

          • Chipiron - 13 junio 2021 - 19:15

            De todas formas, como «side note», convendrás conmigo que en el tema del procesado de imagen junto al deep learning y convolutional neural networks se estan consiguiendo cosas alucinantes!

            Desde fake videos cada vez más realistas, que pronto requeriran de AI especifica para certificar si son reales o sintéticos, a determinar el sexo de una persona con la foto de su cara mejor que un humano, o incluso (ya lo habia comentado) a diagnosticar una berruga mejor que todo un equipo de dermatólogos. Es alucinante a donde se está llegando! Para lo bueno y para lo malo…

            Vaya, que lo de la peli de «minority report» (en la que las cámaras identifican a todas las personas que cogen el metro analizando su retina) no está tan lejos…

          • Chipiron - 14 junio 2021 - 10:23

            MEJI YON, hablamos cuando estes sobrio…

          • Meji Yon - 14 junio 2021 - 12:43

            Ja ja ja

            Que sería una paella, sino pasas al chipi vuelta y vuelta en su propia salsa.

            PS: Soy abstemio

  • #017
    Javier Lux - 13 junio 2021 - 00:07

    «Rusia es culpable!»

    Jamás se he hubiese pasado por la cabeza dar la razón al fascista Serrano Suñer, pero aquella frase hoy es cierta en lo que a Ramsomware se refiere.

    • Meji Yon - 13 junio 2021 - 19:10

      Javier Lux

      Creo que era Putin ( Bladimir)
      el que decía que uno era comunista de corazón pero capitalista de cabeza

      PS: Bladimir en cirilico es con B de burro, de boyer, de B con sonido «v»

  • #019
    Luis Hernandez - 13 junio 2021 - 07:16

    La última Mode es la triple extorsión:

    1. Ramsomware clásico.
    2. Amenazar con publicar datos sensibles.
    3. Ataques de denegación de servicio DDOS

    No me extraña nada que quieran equipararlo con el terrorismo.

  • #020
    Javier Lux - 13 junio 2021 - 07:41

    Por cierto, hablando de Terrorismo, cabe recordar que no está internacionalmente aceptada una definición inequívoca y universal de Terrorismo

    Yo la mejor definición de terrorismo que he encontrado define terrorismo como «la violencia que no nos gusta»

    Los USA parece que también van a entrar en ese resbaladizo terreno de definición de Terrorismo. En el caso de los hacker, al no haber violencia de por medio, creo que lo del terrorismo está excesivamente forzado.

  • #021
    Miguel Durán - 13 junio 2021 - 09:01

    Como empresa puedes tomar todas las precauciones posibles, pero el punto débil siempre va a ser la estulticia humana. Desde el que mete un pincho USB que acaba de encontrarse en el ordenador del curro al que le montas un proceso de copia de seguridad manual y no lo ejecuta porque el empleado que sí se quiso enterar está ahora de ERTE. Lo único que le mantiene a salvo de males mayores es que nunca ha tenido un acceso a Internet y que si tiene un modem de 56K es porque necesitaba enviar y recibir fax.

    A veces reviso el buzón de spam de la cuenta corporativa y sigo viendo que el merluzo de turno le dio al enlace que todos dijeron que no se debería de abrir y el se lo pasó por el arco del triunfo. Se hace con todas las direcciones de correo del elemento y luego es comenzar a enviar correos disfrazados bien de la empresa, bien de una oferta de herramienta relacionadas con la actividad a ver que pescas…

    Es una risa ver que te capan el acceso a foros de desarrollo y en cambio el MARCA es algo indispensable para la actividad de la empresa…

    Por cierto las pelis suelen presentar al hacker como un mago de los dedos capaz de hackear un dispositivo sin conexión a Internet y con todo el cableado protegido. Son muy pocos los que de verdad tratan de dar una aproximación a la realidad.

    • Gorki - 13 junio 2021 - 11:18

      El hacker mas peligroso, es el empleado infiel.

      • Chipiron - 13 junio 2021 - 18:52

        Cierto, especialmente del departamento de IT!

        • Gorki - 13 junio 2021 - 20:39

          A ese no hay quien lo pare. Pero en contra de lo esperado, no solemos serlo.

  • #025
    Chipiron - 13 junio 2021 - 13:10

    De todas maneras, hay una cosa clara que no me canso de repetir a todo mi circulo de amigos y familiares que me piden consejo al comprar o arreglar un ordenador:

    En la mayoria de los casos, lo de menos es el hardware o incluso el software. Lo más valioso es la información que hemos ido generando y guardando a lo largo del tiempo, tanto la profesional, como la estudiantil como la familar (fotos, por ejemplo).

    Siempre les digo que no miren tanto el coste directo de un portátil o servicio si no la seguridad con la que tendran a recaudo sus datos.

    Y muchos son reacios a darse cuenta donde yace el verdadero valor. Dan más importáncia a si el portatil u ordenador de sobremesa vale 1000€ más, si pueden piratear para no pagar la licencia de turno de Office de 100€, etc… les horroriza pagar una cuota mensual para garantizar la seguridad de los datos almacenados de sus ultimos 10 años en todas esas actividades.

    Y en el fondo, el ransomware, ataca eso: los datos generados, ni siquiera es necesario atacar al software en sí (y ya no digamos el hardware..). Y, como se dice en el artículo, mientras haya gente que no se dé cuenta de la importancia de los datos generados frente al hardware o software se seguiran aprovechando.

    • Gorki - 13 junio 2021 - 13:21

      Absolutamente de acuerdo, los datos son con mucho el mayor valor de lo digital. Si se pierden, dificilmente se pueden recuoperar.

      Por debajo de eso están los programas, En un particular aun en mayor medida por que exceptuando s el SO, todos los demás son habitualmente «gratuitos»

      Lo que menos vale. el el hardware. y actualmente. tiene en particulares un plazo de amortización superior a 10 años.

      Un disco duro de respalado para Backup y un plan de copias automatizado, es lo menos que se puiede tener.en securidad a nivel particular.

      • LUA - 13 junio 2021 - 17:11

        La “amortización” dependerá mucho del uso que se le dé. Yo suelo cambiar mis dos pc cada 3 o 4 años. ¿La razón? La potencia que necesito para algunas de las cosas que hago (Photoshop/After Effects, etc). No es lo mismo renderizar un video en 48h que hacerlo en 8/10.

        En cuanto a copia de seguridad, nada me hizo mas feliz, que el día que invertí mis dineros (que tampoco fue para tanto, unos 600€) en un NAS Synology.

        16Tb tengo metidos allí dentro en cuatro discos, y dado que lo tengo en casa de mis padres, pronto me hare con otra unidad para tenerla en mi casa y replicar datos. A la nube que le den. (y si, las cuentas salen frente a servicios como Google Drive, Dropbox y similares) 100% online sin caídas, y con los datos bajo mi control.

        Sobre “seguridad” en si misma… en todas las empresas/años que he sido administrador de sistemas, ha sido la punta de lanza, mi caballo de batalla, mi fracaso… pero no por no saber o hacer bien las cosas, sino por la falta de “comprensión” de mis superiores, que consideraban que hacerse con una suscripción de algún servicio de antivirus corporativo, era algo absurdo, porque “yo ya sabia hacer eso de programa gratis” como dice Gorki… tengo para escribir tres libros…

        Completamente de acuerdo con el comentario de Miguel Duran…

        • Chipiron - 13 junio 2021 - 18:45

          Yo también tengo un Synology, donde MacOS hace copias con control de versiones (TimeMachine) sin necesidad de que se lo pida yo.

          Además, hago un backup tambien automático en icloud de la carpeta «Escritorio» y la carpeta «documentos», lo cual me es muy comodo para ir del trabajo a casa y seguir trabajando condiferentes ordenadores pero mismo escritorio y documentos.

          Cualquier precaución es poca. Y lo que dices de lo que te cuesta convencer a las empresas de invertir en software de seguridad y backup, pues es lo que yo decia.

          Mientras no se conciencien de que los datos son (para una empresa) normalmente mucho más valiosos que el hardware, seran victimas de ataques, pues me da la impresión de que se van a generalizar y todo el que no esté mentalizado va a caer.

          • LUA - 13 junio 2021 - 18:58

            No se gastaban la pasta en una licencia de antivirus, como para pedir un Cisco Firepower… XDDD

          • Chipiron - 13 junio 2021 - 19:17

            Demencial!

            En estos casos, si que les vendrian bien unas de tus famosas collejas XDDD!

            O mejor aún, encriptarlo tu y tenerles a todos acojonados unas horas a ver si despiertan y ven lo que puede pasar si les bloquean sus bases de datos…

          • LUA - 13 junio 2021 - 22:38

            No me hagas hablar… bastante «fama» tengo…. (al respecto) XDDD

  • #032
    Xaquín - 13 junio 2021 - 17:25

    Con tanto «ware», ya casi me da igual de que tipo de mecanismo de captación de datos estais hablando.

    Pero si tengo claro que, como con los piratas analógicos, nada es verdad ni nada es mentira en el mundo de la piratería. Y sobre todo, teniendo en cuenta, que el mayor pirata del mundo se llama gobierno (mucho peor si es ilegítimo) de un estado o nación.

    Porque ya el Imperio Británico se inventó lo del corsario autorizado, y supongo que el corsario principal se inventó lo del pirata subcontratado.

    Y si eso pasaba en el mundo analógico, ya no quiero pensar en las filigranas logísticas, que se pueden hacer en un mundo virtual, que nada virtuoso.

    Hoy mismo lei algo de una especie de paranoica empresa de «defensa», llamada Palantir (pobre Tolkien), que tiene la capacidad para entrar donde le llaman y donde no le llaman, y hacer auténticas barbaridades con la seguridad ajena. Y para colmo lo vende como ayuda. Así de gilipollas está el modo de actuación habitual, en este mundo de mediocres homo sapiens.

    Y si tenemos en cuenta que el «homiño» que la dirige, va de libertario y empresario privado, en contra del estado y la democracia (apoyó al Trump y colaboró con su gobierno)… entonces, recogemos las cosas (analógicas) y nos vamos!!

    • Chipiron - 13 junio 2021 - 18:47

      Hace pocos dias, Enrique Dans dedico su entrada a tan infame empresa (Palantir). Por lo que comentas igual no lo has leido y es recomendable, tanto por el articculo como por los enlaces.

      Un saludo.

  • #034
    pedro - 14 junio 2021 - 16:29

    En mi mundo de Petete, los black hats son JASP, jovenes aunque sobradamente preparados.

    ¿Qué tienen en común la seguridad y las copias de seguridad? Que cuando las tienes no las necesitas.

    Si solo se valora la seguridad cuando hay un problema, los expertos de seguridad van a terminar provocándolos.

    Black hat o pen tester, ¿qué es lo que prefieren?

Dejar un Comentario

Los comentarios están cerrados