22 May Los ataques ‘ransomware’ y cómo protegerse
Un ataque ransomware o secuestro de información se produce cuando una organización criminal consigue que se ejecute un programa dañino en nuestro equipo, infectándolo. Para que un programa entre en nuestro ordenador y se ejecute, lo más fácil es que llegue a través de una página web, un correo electrónico o el intercambio o descarga de ficheros. En algunos casos, los programas maliciosos también se han propagado a través de pendrives, CDs de programas gratuitos o cualquier otro engaño que lleva a un usuario a introducir un dispositivo en su ordenador.
Esta infección va a consistir en que el programa atacante cifra los ficheros de datos del ordenador atacado, de manera que no serán accesibles hasta que se descifren de nuevo. Si el dueño del equipo atacado paga cierta cantidad en un tiempo dado, se le enviará la clave, podrá descifrar sus datos y recuperar la normalidad; si no lo hace, los datos quedarán inservibles o se borrarán definitivamente.
Para recibir los pagos sin ser identificados, los atacantes exigen una transferencia a una cuenta de otro país y en ocasiones el pago debe hacerse en una moneda no sujeta al control de ningún gobierno, como los Bitcoins u otras monedas virtuales (esta es una de las razones por el que el uso de las monedas virtuales se ha cuestionado desde su origen). El rescate no tiene por qué ser una cantidad elevada, puesto que los delincuentes saben que una pequeña cantidad fácil de pagar (varios cientos de dólares) multiplicada por múltiples infecciones de ordenadores les puede proporcionar un beneficio más seguro que una cantidad grande.
Algunos de los ataques ransomware más sofisticados no se conforman con atacar al ordenador que ha recibido el programa dañino, sino que presentan un comportamiento vírico, utilizando el equipo atacado como anfitrión para propagarlo a otros equipos cercanos de la misma red, o enviarlo por correo a los contactos. Aunque los ataques ransomware son relativamente antiguos, cada vez son más comunes y más sofisticados. Uno de los ataques más conocidos entre los particulares es el denominado ‘virus de la Policía’, donde el programa atacante muestra el logo de la policía y presenta el secuestro como una supuesta inmovilización y multa legal al usuario por visitar webs con contenidos para adultos.
El ataque ransomware del pasado 12 de mayo fue un ejemplo de cómo aprovechar una serie de vulnerabilidades para perpetrar un ataque complejo: el programa dañino se distribuye dentro de un fichero adjunto en un correo que un usuario abre y ejecuta. Este programa no solo secuestra los ficheros del ordenador atacado, sino que aprovecha una vulnerabilidad conocida pero no parcheada de las unidades de red local, y extiende el ataque a otros equipos de la misma. En ese momento la organización atacada no tiene un incidente aislado, sino que todo su parque de ordenadores puede estar secuestrado, y propagando el ataque a sus socios y clientes.
Por qué es efectivo
Los sistemas operativos, los navegadores y los antivirus de los ordenadores, así como los equipos de seguridad perimetral de las redes corporativas son cada vez más sofisticados para evitar intrusiones, pero su propia complejidad hace que cada día aparezcan nuevos agujeros de seguridad que son aprovechados por los atacantes. Prácticamente a diario los fabricantes de los sistemas publican actualizaciones y parches (actualizaciones parciales) que solucionan entre otros temas problemas de seguridad detectados por sus propios laboratorios o denunciados por otros usuarios o por centros de alerta (CERTS , del inglés Computer Emergency Response Team). Pero la producción y aplicación de estas vacunas no es instantánea, y en ese intervalo los sistemas están expuestos a amenazas que son incluso conocidas.
Cuando un fabricante tiene noticia de una debilidad en uno de sus sistemas que puede ser aprovechada para que un programa atacante penetre, sus laboratorios de seguridad intentan reproducir el problema y diseñar una solución lo más inocua posible para el comportamiento del sistema. Esta solución se prueba y se distribuye a los clientes registrados para que puedan aprovecharla. Además de las pruebas del fabricante, a veces las grandes corporaciones hacen sus propias pruebas antes de distribuir los parches para ver si son incompatibles con algunos de los programas que usa la organización. Así, cada día, los responsables de seguridad de una organización se enfrentan a múltiples amenazas: nuevos programas dañinos recién aparecidos, programas dañinos ya conocidos por los fabricantes y para los que se está diseñando la cura correspondiente; y programas dañinos para los que ya hay vacuna pero no se ha distribuido o no se ha implantado todavía por problemas de compatibilidad.
Soluciones
No existe una protección absoluta para proteger un ordenador que intercambia ficheros con el exterior: siempre va a existir un grado de exposición mayor o menor a los programas dañinos, y es un riesgo que hay que gestionar.
En primer lugar, es preciso complicar todo lo posible el trabajo a los atacantes: se necesita contar con un buen diseño de seguridad de las redes de la organización y una buena concienciación de los usuarios. Los equipos deben tener versiones actualizadas y convenientemente parcheadas de los sistemas operativos, el software antivirus y el software de navegación. Esta actualización permanente exige, entre otros aspectos, tener al día los contratos de mantenimiento del software con los proveedores. La seguridad puede ser incómoda 364 días al año, pero puede ser vital el día 365 si la organización se ve comprometida.
En segundo lugar, hay que tener previsto el peor escenario: qué sucede si mi ordenador o los ordenadores de una parte de mi organización se ven atacados. Hay que tener un plan de actuación y estar en disposición de ejecutarlo. Este segundo aspecto es uno de los más difíciles de conseguir en muchas organizaciones, puesto que exige el compromiso de la dirección para, llegado el momento, tomar decisiones difíciles como parar la producción y comunicar que se ha producido el ataque.
El tercer lugar, una vez que el problema está controlado y no se está propagando, es el momento de analizar los daños y efectuar las reparaciones que sean posibles. En el caso del ransomware, son muchas las organizaciones que han conseguido revertir el secuestro de sus ordenadores sin pagar un rescate, que posiblemente sea la peor de las soluciones. En España, por ejemplo, podemos contar con la ayuda del INCIBE, que ofrece diversos servicios gratuitos. Por otro lado, algunas asociaciones como No more Ransom también trabajan para combatir este tipo de amenazas. Otra solución que siempre debería estar entre las posibles es la recuperación de una copia de seguridad de los datos una vez que el agujero de seguridad se ha cerrado. Para que esta solución sea aplicable se precisa realizar copias de seguridad con una periodicidad alta, y tener la certeza de que la recuperación de los datos copiados es posible (el sistema de copias de seguridad debe evolucionar con el resto de los sistemas de la organización y ser a la vez el más seguro de ellos).
En un mundo cada vez más comunicado no nos queda más opción que conocer las amenazas y tener las salvaguardas adecuadas. Es preciso considerar la seguridad desde el diseño de los sistemas y las redes de cualquier empresa u organización (nuestra red doméstica también es una organización importante). Es preciso proporcionar a los aspectos de seguridad un mantenimiento adecuado y sobre todo concienciar a los usuarios y a los responsables de la necesidad de cumplir las normas. En los momentos ‘tranquilos’ deben prepararse los planes de contingencia precisos para que sean efectivos en los momentos más ‘confusos’ de una compañía. Y por último deben contarse con una estrategia de copias de los datos para minimizar los daños de un eventual ataque.
La AEPD ayuda a las empresas y organizaciones a desarrollar sus políticas de seguridad orientadas principalmente a la protección de los datos personales. La Guía de privacidad y seguridad en internet es un buen punto de partida para concienciar y explicar algunos conceptos clave a los usuarios finales. Por otra parte, la guía Cómo gestionar una fuga de información en un despacho de abogados explica algunos principios de la seguridad de una forma muy clara para personas sin experiencia en sistemas de información.