‘Ransomware’: el secuestro de información es una tendencia cada vez más fuerte

Hace un par de semanas, más de mil compañías en el mundo se vieron comprometidas por un ataque de ransomware. Uno de estos ataques provocó que los empleados de la empresa pública CNT tuvieran que apagar sus computadoras, lo que afectó los servicios que brinda a sus clientes. Las interferencias se registraron en los sistemas de atención al cliente, agencias y contact center. Por tal razón, CNT informó a sus usuarios que los servicios no serían suspendidos por falta de pago. Esto porque varios de los ciudadanos que acudieron a pagar sus deudas con la empresa pública no pudieron hacerlo debido a que “no había sistema”.

La empresa pública denunció ante la Fiscalía General del Estado el delito de ataque a los sistemas informáticos, y a través de un comunicado publicado en sus cuentas de redes sociales señaló: “Estaremos vigilantes, a fin de que los culpables reciban la sanción correspondiente por la alteración del normal funcionamiento de este sector estratégico del Ecuador”.

Al menos 17 países han sido afectados en las últimas semanas por ataques de ransomware, entre los que se encuentran Argentina, Colombia, México y España. Ante la gran cantidad de casos de víctimas que decidieron pagar por el rescate luego de sufrir el impacto de un ransomware, especialistas de ESET, compañía de detección de amenazas informáticas, analizaron por qué las compañías deciden utilizar los presupuestos asignados para el área de ciberseguridad o sus fondos de esta manera y qué se necesita para evitar esta práctica.

El comportamiento actual de pagar los rescates probablemente tiene como origen lo que ocurrió con el brote del ransomware WannaCry en 2017, cuando varias organizaciones sentaron un precedente al negarse a pagar. Una de ellas fue el Servicio Nacional de Salud del Reino Unido, que sufrió un impacto significativo en su infraestructura. Se estima que los costos de reconstrucción rondaron cerca de US$ 120 millones; esto sin considerar los costos en términos humanos debido a las más de 19.000 citas canceladas, incluidas las consultas oncológicas. Por otro lado, no hay garantía de que se recibirá un descifrador o de que efectivamente funcionará. Una encuesta de Cybereason encontró que cerca de la mitad de las empresas que pagaron rescates no logró recuperar el acceso a todos sus datos críticos después de recibir las claves para descifrar la información.

Entonces, ¿por qué pagar el rescate? El negocio del ransomware se volvió más comercial y sofisticado tanto del lado de las víctimas como de los atacantes. Por un lado, los cibercriminales conocen el valor que tienen los datos comprometidos en un ataque al hacerse público y los costos de reconstrucción que tienen que enfrentar las víctimas para recuperarse. Y por otro lado, el surgimiento de nuevos segmentos en la industria, como es el caso de los intermediarios contratados para negociar y los seguros ante incidentes informáticos.

En términos de legalidad, la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés), del Departamento del Tesoro de los Estados Unidos, declaró en algunos casos ilegal el pago a los atacantes. Por lo que es ilegal facilitar el pago a personas, organizaciones, regímenes y, en algunos casos, países enteros que están en la lista de sanciones. La atribución de la ubicación o de las personas detrás de un ciberataque es compleja de probar y la tecnología ayuda a que estos grupos logren permanecer anónimos y nómadas, al menos en parte. Saber a quién se está pagando podría ser fundamental en el momento de decidir si pagar o no, ya que pagar inadvertidamente a una persona o grupo que integra una lista de sanciones podría hacer que el beneficiario caiga en el lado equivocado de la ley.

CNT ha asegurado que los datos de sus clientes, masivos y corporativos, “se encuentran debidamente resguardados”. La ministra de Telecomunicaciones, Vianna Maino, afirmó que servicios al usuario como recargos y pagos por bancos están operativos al 100 %, con excepción de las atenciones en las agencias de CNT, “por protocolos de seguridad”. Además, a los clientes que no han podido cancelar sus valores pendientes no se les cortará el servicio ni se aplicarán valores adicionales por mora o multas.

El riesgo de que se pueda divulgar o vender información personal o sensible en la dark web podría considerarse una forma más de extorsión, permitiendo a los atacantes obtener beneficios mediante la coerción, lo cual en la mayoría de las jurisdicciones es un delito penal.

En Estados Unidos, donde se está registrando la mayor cantidad de ataques de ransomware en el último tiempo, la extorsión comprende tanto el secuestro de información privada como la intención de provocar temor amenazando a la víctima con que algo le puede suceder si no cumple con las demandas de los extorsionadores. El cifrado de datos y las limitaciones de acceso a sus sistemas ante un caso de ransomware son algo que ya le sucedió a la víctima, pero el temor de que los datos extraídos se vendan o se publiquen en la dark web es lo que provoca la instalación del miedo en la víctima.

“En cuanto al ransomware, los altos directivos deberían estar enfocados en cómo hacer que la organización sea lo más segura posible, tomando todas las precauciones posibles. Con los seguros es probable que exista una suerte de complacencia, ya que cumpliendo con los requisitos mínimos establecidos por la aseguradora algunas organizaciones puede que continúen llevando adelante el ‘negocio como de costumbre’, sabiendo que, si ocurre un incidente desafortunado, la empresa puede recurrir al seguro, comenta Tony Anscombe, Chief Security Evangelist de ESET.

En lo que refiere a los pagos, los niveles de anonimato que proporcionan las criptomonedas hacen que sea el método elegido por los atacantes para solicitar los rescates a las víctimas sin revelar quién lo está recibiendo. Algunas criptomonedas proporcionan cierta información sobre la billetera receptora, pero no quién está detrás de la billetera; mientras que otras monedas incluso ocultan la propia billetera. El Banco Mundial recientemente rechazó la solicitud de El Salvador para implementar este tipo de moneda, citando preocupaciones sobre la transparencia y los problemas ambientales. La minería de criptomonedas utiliza un consumo de energía significativo, y actualmente el consumo de energía por parte del bitcóin es el mismo que el de toda la Argentina.

“Lo correcto es hacer que financiar a los ciberdelincuentes sea ilegal y los legisladores deberían tomar medidas y actuar para evitar que se realicen los pagos. Puede haber una ventaja para aquellos países que decidan aprobar leyes que prohíban los pagos. Si un país o región aprobó una legislación que prohíbe a cualquier empresa u organización pagar un rescate de ransomware, los ciberdelincuentes adaptarán su negocio y centrarán sus campañas en los países que aún deben actuar. Por otro lado, si considera que los ingresos generados a partir del pago de un rescate ransomware son ganancias ilícitas producto de la actividad delictiva, ¿podrían las criptomonedas en su totalidad ser responsables del lavado de dinero o estar proporcionando un puerto seguro para los fondos atribuidos al delito cibernético? A pesar de su popularidad, los Gobiernos no reconocen las criptomonedas como una moneda”, agrega Anscombe. (I)