Ola de secuestros de datos de empresas: ¿cómo minimizar el impacto del ransomware?
Puede parecer abstracto: un grupo de delincuentes organizado, pero sin rostro que secuestran sistemas informáticos corporativos y exigen millones de dólares a cambio de su regreso seguro. Pero el impacto de estos ataques de ransomware es cada vez más, inevitablemente, real para las personas comunes.
Un ataque de ransomware en Colonial Pipeline en mayo provocó escasez de combustible en los Estados Unidos e incluso situaciones peligrosas causadas por compras de pánico.
Este año los piratas informáticos comprometieron la empresa estadounidense de procesamiento de carne JBS , lo que generó preocupaciones sobre la escasez de carne u otros proveedores clave de alimentos en riesgo.
En la famosa isla de Martha's Vineyard, el servicio de ferry que transportaba personas hacia y desde esta área del estado de Massachusetts dijo que había sido golpeado por un ataque de ransomware que interrumpió su proceso de emisión de boletos y reserva. Los transbordadores continuaron operando durante toda la semana, pero el sistema de venta de boletos aún se vio afectado, lo que provocó retrasos.
El impulso del bitcoin
La reciente avalancha de incidentes de ransomware de alto perfil es exactamente lo que los profesionales de la ciberseguridad han estado advirtiendo durante años. Pero es en parte el impacto en las personas comunes, lejos de las oficinas ejecutivas, las empresas de ciberseguridad o las agencias gubernamentales que se preocupan por las actividades criminales, lo que ha hecho que el riesgo sea más visible.
Los efectos dominó del ransomware pueden resultar en todo, desde molestias leves a personas que pierden la vida, y su frecuencia aumentó durante la pandemia. Los ataques de ransomware no son nuevos. Sin embargo, el dinero en juego ha cambiado drásticamente, aumentando de miles a millones de dólares, y los objetivos también son más sofisticados.
El creciente número de empresas que conectan sus sistemas y agregan más puntos de acceso remotos, junto con cosas como el uso generalizado de bitcoin, han ampliado el grupo de objetivos. Ahora hay ransomware que afecta a redes corporativas enteras y causa trastornos en la vida de las personas.
Técnicas del secuestro de datos
La industria del ransomware ha crecido, pero las técnicas subyacentes para obtener acceso se han mantenido prácticamente iguales. Los piratas informáticos suelen acceder a los sistemas de las empresas a través de ataques de "phishing": correos electrónicos enviados para intentar engañar a los empleados para que cedan contraseñas o acceso.
Una vez dentro del sistema de una empresa, los equipos de ransomware encontrarán información crítica y la bloquearán, luego se pondrán en contacto con una empresa para exigir un rescate para que sea liberada.
Estos delincuentes generalmente trabajan en grupos poco definidos, compartiendo consejos y recursos que hacen posible que los piratas informáticos individuales extorsionen fácilmente a múltiples objetivos. En ocasiones, las empresas tienen copias de seguridad de sus sistemas que pueden restaurar en lugar de pagar un rescate.
Pero eso puede resultar en retrasos y, a veces, los piratas informáticos hacen copias de la información a la que acceden y amenazan con filtrar información privada en línea si no se les paga. Una gran filtración de datos podría ser un gran problema para los consumidores, no solo para las empresas.
El caso de Colonial Pipeline
El ataque a Colonial Pipeline fue uno de los muchos peores escenarios sobre los que los expertos han estado advirtiendo y planificando durante años. Un ataque de ransomware hizo que esta compañía cerrara su oleoducto que conecta Texas con Nueva Jersey.
Presa del pánico porque no podrían conseguir suficiente combustible, los conductores llenaron las estaciones de servicio, lo que provocó largas colas y bombas de gasolina vacías en algunas partes de los EE. UU. Los conductores acumularon combustible cuando las estaciones se quedaron sin suministro, lo que agravó el problema.
El ataque provocó un incendio en una ciudad de Florida, según informes de noticias locales, cuando un vehículo Hummer estalló en llamas después de que el conductor llenó cuatro contenedores de combustible.
La compra por pánico incluso llevó a la Comisión de Seguridad de Productos de Consumo de EE. UU. a publicar un largo hilo en Twitter sobre la seguridad del combustible, incluido un mensaje que rápidamente se volvió viral: "No llene bolsas de plástico con combustible".
Más allá de los inconvenientes físicos, los ataques de ransomware también pueden dañar la confianza del público en la tecnología y los sistemas, y hacer que las personas se preocupen de ser víctimas o que compren en pánico productos que creen que verán un aumento de precios o escasearán.
Universal Assistance, otra víctima
En la Argentina la empresa aseguradora de viajeros Universal Assistance fue atacada en junio por ciberdelincuentes que publicaron 54 GB de información, entre ellos datos personales de clientes, como pasaportes y tarjetas de crédito. Universal Assistance fue infectada por "RansomExx", un ransomware que en 2020 filtró archivos de la compañía brasileña Embraer.
La compañía confirmó en un comunicado el ataque, pero sostuvo: "No hemos experimentado ningún tipo de impacto en nuestras operaciones ni en el servicio a los clientes", aunque expresa: "Lamentamos profundamente los inconvenientes provocados".
¿Cómo proteger a tu organización?
Desde la compañía de seguridad informática Eset compartieron a iProfesional los siguientes puntos claves a implementar hoy por las organizaciones para minimizar el impacto de un posible ataque de ransomware en el futuro.
Contar con copias de seguridad
Muchas empresas afectadas por el ransomware descubren que sus copias de seguridad están en mal estado o que faltan datos clave. Esto se mencionó en el citado ataque a Colonial Pipeline, donde se pagó de forma temprana a los criminales por temor a las demoras en la restauración de los datos a partir de las copias de seguridad.
Pero después de pagar, la herramienta de descifrado proporcionada para recuperar los archivos era tan lenta que de todos modos se restauraron los sistemas a partir de las copias de seguridad, por lo que aún no está claro hasta qué punto realmente necesitaban pagar por el descifrador. Ante una situación tan preocupante como es sufrir un ataque de ransomware, se debe tener una gran confianza en la solidez y calidad del backup.
Saber cómo restaurar las copias de seguridad
Cuando llega el momento de hacer uso de estas copias en medio de un incidente, es demasiado tarde para chequear que este todo guardado correctamente. Es importante contar con copias con diferentes tecnologías para evitar quedar atascado si una presenta problemas. Este factor ahorra tiempo en caso de eliminar o sobrescribir archivos accidentalmente, pero también es de ayuda al momento de la recuperación ante incidentes.
Asegurarse de que las copias de seguridad en la nube funcionen
Si bien es conveniente realizar backup en la nube, su restauración puede resultar en un proceso lento especialmente al tratarse de grandes volúmenes. Además, es importante chequear que la seguridad del sistema proveedor esté bien configurada para evitar filtraciones de datos.
Para los datos más sensibles algunas organizaciones no utilizan la nube sino un backup que no esté conectado a ninguna red, separados en redes aisladas y almacenados físicamente de forma segura.
Estar preparado para la restauración
Hasta que se realiza el proceso de restauración a partir de una copia de seguridad, no se sabe si se realizó correctamente o no. El mejor momento para poner a prueba una copia de seguridad es antes de necesitarla debido a una emergencia.
Puede ser abrumador realizar un simulacro de recuperación ante desastres en toda una organización, pero se puede elegir de manera aleatoria una parte específica del organigrama y realizar un simulacro de recuperación ante desastres. Al hacerlo, es probable identificar cambios que deben realizarse lo que es positivo ya que se pueden realizar las mejoras sin la presión de un ataque real.
Contar con un plan
Se debería tener un plan o estrategia para saber qué hacer en caso de que un ataque de ransomware ocurra. Por ejemplo, ¿Pagar por un rescate o no? Decisiones como esta son difíciles de tomar bien cuando el ataque está activo, por lo que prepararse para este posible escenario será de gran ayuda.