Ataques informáticos a empresas públicas crecen 56% en el mundo

El virus ramsomware secuestra la información y los sistemas a cambio de rescates.

El mecanismo utilizado es el virus ransomware. En el Ecuador, la más reciente víctima es la Corporación Nacional de Telecomunicaciones (CNT).

Desde el inicio de 2021, la organización Check Point Research ha constatado un aumento del 56% en los ataques de ransomware contra los sistemas informáticos de instituciones públicas a nivel mundial .

El ataque más conocido fue el que afectó, en mayo 2021, a Colonial Pipeline. Esa compañía suministra aproximadamente el 45% del combustible que se consume en la costa este de Estados Unidos. Según confirmó el FBI, el grupo cibercriminal DarkSide fue el responsable de que se interrumpieran todas las operaciones y el suministro durante varias horas.

En países como España, por ejemplo, los ataques cibernéticos a empresas públicas han crecido 160% en el número de ofensivas que utilizan este virus durante 2020. Hace tan solo unos días se produjo un ciberataque contra Asac Comunicaciones, que es una compañía que ofrece servicios de almacenamiento en la nube y mantenimiento web.

Eso provocó la caída de las páginas oficiales de varios organismos públicos que dependían de esta empresa asturiana, como el Tribunal de Cuentas, el Consejo de Seguridad Nuclear y ayuntamientos como el de Oviedo, Fuenlabrada, entre otros.

En Ecuador, el caso más reciente es el de la Corporación Nacional de Telecomunicaciones (CNT). Desde el 14 de julio pasado, un virus ransomware ha secuestrado los sistemas de atención al cliente y facturación; pero también la información de otras instituciones estatales que se almacenan en el data center.

Según Aníbal Vera, ingeniero en sistemas, ese virus es un tipo de programa malicioso desarrollado para bloquear el acceso a los equipos y los archivos que contienen. El objetivo final es pedir un rescate a cambio de recuperarlos.

Para CNT, sin que exista una confirmación oficial, se manejan versiones de que ese rescate comenzó en $1 millón y ahora estaría en alrededor de $90 millones.

Sin embargo, esa cifras parecen exageradas si se toma en cuenta que los rescate más caro, registrados a nivel internacional, están entre $2,24 millones a casi $5 millones. Ese último monto es el que habría pagado Colonial Pipeline por recuperar la operatividad de su red de oleoductos en EE.UU.

El bloqueo total de la actividad empresarial puede suponer mayores pérdidas que el precio del chantaje. Por ejemplo, Forward Air, una empresa de transporte aéreo y terrestre, tuvo que interrumpir sus operaciones durante varios días por un ataque a su sistema informático. El resultado fueron pérdidas estimadas de más de $7,5 millones.

¿Cómo funciona un ransomware?

Los ciberdelincuentes tienen distintas maneras de infectar un sistema informático. La forma más común es mediante el correo electrónico con un fichero adjunto malicioso. En el caso de CNT, según Vera, solo hacía falta que la computadora de uno de los miles de empleados sea infectada para que el ataque se inicie.

Lo primero que observan los usuarios es que, en el escritorio, aparece un archivo con el nombre 0000-SORRY-FOR-FILES.html. Si se abre utilizando un navegador web, se puede ver cómo se despliegan las instrucciones que hay que seguir para llevar a cabo el descifrado de la información.

Para acceder a todo el proceso para realizar el pago y obtener el código de desbloqueo, el usuario debe instalar Tor Browser. La cantidad a abonar se suele pedir en bitcoins.

Así, por ejemplo, en caso internacionales se ha solicitado es de 0,7 Bitcoin para 1 PC afectado o 3 si se quieres para todos el sistema.

El blanco principal son las empresas

Aunque los ataques informáticos también afectan a personas, donde se piden rescates por la información que van desde los $300 a $500, el negocio más lucrativo está en las empresas, tanto públicas como privadas.

«Los ataques antes iban a por los usuarios particulares, pero ahora solo les usan como método para llegar a las empresas para las que trabajan. Primero van por el sistema de un usuario, con eso acceden al sistema de la empresa, se quedan ahí dentro un tiempo y después empiezan a atacar a toda la empresa”, explicó Jenko Gaviglia, de HelpSystems, durante el último congreso mundial sobre ciberseguridad

Y el motivo de que ahora los ciberdelincuentes se hayan centrado en las empresas no es otro que el dinero. “El ransomware ha llegado para quedarse. Irá cambiando, pero siempre seguirá ahí porque es rentable», acotó.

Este tipo de delincuencia ya ha sufrido una gran evolución, es decir se ha especializado mucho. Los crackers cada vez saben hacer cosas más peligrosas y silenciosas. Incluso, pueden permanecer ocultos dentro de los sistemas informáticos de la empresa víctima, esperando el momento adecuado para cometer el ataque.

En Europa, por ejemplo, pasan 66 días de media desde que se infiltran en las redes de una empresa hasta que son detectados.

Las autoridades en CNT, en Ecuador, no han dado detalles sobre el ataque que están sufriendo, ni sobre el nivel de daño a sus sistemas. Lo único público ha sido la presentación de una denuncia ante la Fiscalía.

Alexis Serrano, especialista de BeyondTrust, cree que cuando ya ocurre el evento, todos los esfuerzos deben centrarse en evitar que los ciberdelincuentes hagan daño una vez hayan entrado en los sistemas.

«Hay que proteger la información con medidas para hacerla inaccesible, porque si un grupo criminal quiere entrar en el sistema informático, lo va a lograr», apuntó.

Las dudas se incrementan en ese punto en el caso de CNT, debido a que Vera explicó que la información de los data center no estaría suficiente y adecuadamente respaldada. Con esto, el riesgo de pérdida es mayor.

¿Qué hacer para evitar el ransomware?

Lo más importante es que  toda organización debe tener un sistema de alerta temprana implementado, el cual dé avisos de potenciales filtraciones. Esto protegería a las empresas contra casos de ransomware y filtrado de información confidencial.

Establecer controles de seguridad efectivos.-  El objetivo es tener sistemas que analicen el tráfico y actividades potencialmente sospechosas dentro de las fronteras de la organización, y bloqueen accesos según salten las alarmas. Por ejemplo, sistemas inteligentes de detección, sistemas de gestión de incidentes de seguridad, cortafuegos, honeypots.

Política de compliance correctamente aplicada.- No vale solo con tenerla, hay que cumplirla. La meta es evitar, por ejemplo, que un usuario infectado pueda exponer todos los recursos de la organización y no únicamente los que compete a sus labores.

Cifrar la información sensible y tener respaldos efectivos.-  El objetivo es que la información esté resguardada y cifrada para dificultar el acceso de terceros. Con ello se logra que, aunque el ataque tenga éxito, no puedan compartir los datos y lucrar de ellos.

Capacitación tecnológica.- Es conveniente formar en competencias digitales a los empleados, debido a que el 95% de los ciberataques a empresas entran por un fallo humano. En Ecuador, apenas el 30% de la fuerza laboral tiene las competencias necesarias para aprovechar las mejoras tecnológicas.

¿Cómo evitar ataque en un computadora y teléfono personal?

Aunque ahora el principal blanco son las empresas, las personas también son un blanco fácil de un ataque de ransomware, el cual puede borrar todos tus archivos, sistemas y contactos de la computadora y el teléfono celular.

Para evitar eso, lo primero es cerciorarse de no caer en las siguientes vulnerabilidades:

Que el dispositivo utilizado sea antiguo
Que el dispositivo tenga software obsoleto
Que los navegadores o sistemas operativos no tengan los parches más recientes
Que no exista un plan de copias de seguridad adecuado

Si uno o más de estos puntos se aplican al dispositivo, se corre el riesgo de ser víctima de un ataque de ransomware.

En segundo lugar, se debe seguir siete acciones concretas para reducir el riesgo de exposición a virus maliciosos

Nunca haga clic en enlaces peligrosos.- Evite hacer clic en enlaces de mensajes de spam o en sitios web desconocidos. Si hace clic en un enlace malicioso, se podría iniciar una descarga automática, lo que podría provocar la infección de su equipo.

Evite revelar información personal.- Si recibe una llamada, un mensaje de texto o un correo electrónico de una fuente que no sea de confianza, en donde se le solicita información personal, no responda.

Los ciberdelincuentes que planean un ataque de ransomware pueden intentar recopilar información personal con antelación, que luego utilizarán para personalizar los mensajes de phishing específicamente para usted. Si duda sobre si el mensaje es legítimo, póngase en contacto directamente con el remitente.

No abra archivos adjuntos de correos electrónicos sospechosos.- El ransomware  puede llegar hasta su dispositivo a través de archivos adjuntos en el correo. No abra archivos adjuntos que parezcan dudosos.

Para asegurarse de que el correo electrónico sea de confianza, preste especial atención al remitente y compruebe que la dirección sea correcta. Nunca abra archivos adjuntos que le soliciten activar las macros para poder verlos.

Si el archivo adjunto está infectado, al abrirlo se ejecutará una macro maliciosa, lo que dará al malware el control absoluto sobre el ordenador.

No utilice nunca memorias USB desconocidas.- Nunca conecte memorias USB u otros soportes de almacenamiento a su ordenador si no sabe de dónde provienen. Es posible que los ciberdelincuentes hayan infectado el soporte de almacenamiento y lo hayan dejado en un lugar público para incitar a que alguien lo use.

Mantenga sus programas y sistema operativo actualizados.- La actualización periódica de programas y sistemas operativos le ayuda a protegerse del malware. Al instalar las actualizaciones, asegúrese de que cuenta con los parches de seguridad más recientes. Esto dificulta que los ciberdelincuentes puedan aprovechar las vulnerabilidades de sus programas.

Utilice solo fuentes de descarga conocidas.-  ara minimizar el riesgo de descargar ransomware, no descargue nunca software ni archivos multimedia de sitios desconocidos. Confíe en sitios verificados y de confianza para las descargas.

Puede reconocer los sitios web de este tipo por los sellos de confianza. Asegúrese de que la barra de direcciones del navegador de la página que visita utilice https y no http. El símbolo de un escudo o un candado en la barra de direcciones también puede indicar que la página es segura. Tenga también cuidado si descarga cualquier cosa en su dispositivo móvil.

Utilice servicios VPN en las redes Wi-Fi públicas.- Un uso consciente de las redes Wi-Fi públicas es una medida de protección sensata para evitar el ransomware. Cuando utiliza una red Wi-Fi pública, su equipo es más vulnerable a los ataques. Para mantener la protección, evite utilizar una red Wi-Fi pública para realizar transacciones sensibles o use una VPN segura. (JS)