Los cibersecuestros siguen siendo noticia. Hace pocos meses, lo era el primer gobierno que pagaba un rescate a un grupo de delincuentes digitales. Se trataba del Gobierno local de Riviera Beach, Florida.
El último caso público ha sido la cadena SER y la empresa de servicios informáticos Everis, una de las más grandes de España. Y esos son los casos públicos, porque la mayoría se ocultan por el impacto en la reputación.
En estos cibersecuestros, todos los equipos informáticos de una empresa se inutilizan, bloqueando su uso. Para poder activarlos de nuevo, debe ingresar un rescate en Bitcoins al secuestrador. En caso de no pagar, toda la información y aplicaciones instaladas quedan inutilizados para siempre.
El impacto de un secuestro digital en una empresa se resume en mandar a casa a los trabajadores hasta que se solucione. Eso puede ser cuestión de días o incluso semanas. Ocurrió en Everis, una de las grandes empresas expertas en informática del país ibérico. Ocurre en todo el mundo diariamente, en empresas grandes y medianas, que se han visto afectadas, en 2019, por este tipo de ataques.
Detrás de ello se encuentran grupos criminales que llevan años realizando y perfeccionando estos actos a lo largo del planeta. La empresa española Telefónica, en 2017, tuvo que enfrentar una extorsión de este tipo que afectó a gran parte de sus datos y a los archivos de sus empleados. Y con ella han sido cientos de empresas en todo el mundo (Mondelez, DLA Piper, Maersk, Merck Sharp & Dohme, Saint Gobain…).
Aunque no se reconozca públicamente, la mayor parte de estos casosm por no decir todos, se resuelven pagando un rescate, que siempre es muy cuantioso porque los cibercriminales saben que las empresas grandes y las corporaciones públicas pueden pagarlos.
Tras una contaminación de este tipo, las computadoras perjudicadas tienen que ser saneadas, borrándolo todo e instalando todo el software de cero, inspeccionando toda la red en busca de cualquier vulnerabilidad y volver a ser provistos de toda la información que contenían antes del bloqueo.
El FBI inventarió el pasado 2018 unos 1.493 ataques de ransomware a sujetos que se vieron obligados a pagar un total de 3 millones 500 mil dólares a los secuestradores. Eso es una media de 2,332 dólares.
Y es que el ransomware se nutre de la falta de seguridad en varias áreas, como el control de ejecución de software malicioso, que se puede mitigar con un antivirus.
Otro de los factores que facilita un expolio de este tipo es la falta de control en la plataforma de usuario, que se puede aplacar con una buena monitorización de la seguridad local y las políticas de usuario.
Pero lo más importante, y el motivo principal de que cientos de compañías hayan tenido que pagar rescates de miles de euros, es por las malas políticas de backup, que se pueden suplir con una monitorización específica de las copias de seguridad.
No se trata solo de tener un antivirus, una buena planificación de administración de equipos locales o una herramienta de backup. Se trata de monitorizar que se estén empleando bien las herramientas, porque, ¿de qué sirve tener un antivirus desactualizado o no instalado en todas y cada una de las máquinas de mi organización?, ¿de qué sirve tener una copia de seguridad desactualizado de hace seis meses? El monitoreo precisamente ayuda a visualizar qué equipos son más vulnerables y que nuestros equipos de seguridad estén actualizados y preparados para cualquier amenaza.
Nadie puede parar un ataque de ransomware con el 100% de eficacia. Pero es posible prevenirlo, interrumpir su curso y en el peor de los casos, contar con un plan de recuperación.
No se puede entender que hoy todavía se produzcan estos ataques maliciosos cuando se disponen de herramientas. El problema reside muchas veces que no se tienen en cuenta estas herramientas básicas para controlar la tecnología.
_________________________
El autor de este artículo, Sancho Lerena, es ingeniero informático y especialista en monitorización de ataques.
