La ciberseguridad es uno de los temas más importantes de las últimas décadas, pero que cobró relevancia durante los últimos dos años. Desde los inicios de pandemia, los ataques se han más que triplicado, con los usuarios cada vez más conectados y las distintas industrias progresivamente sumándose a la digitalización de sus procesos. Solo durante estos meses, el ransomware -el secuestro de datos por parte de los ciberdelincuentes- aumentó a cifras nunca antes vistas.

De acuerdo a un estudio recientemente publicado por la consultora Accenture, solo este tipo de ataques maliciosos escalaron hasta el 160% durante el período de pandemia. Y no solo afecta a a grandes compañías, sino también a usuarios. Lorenzo Martínez, ingeniero informático y fundador de Securízame, una empresa especializada en seguridad de sistemas y redes de comunicaciones, explica que este tipo de ataques consiste en la instalación de un malware -un software malicioso- que modifica el contenido de todos los ficheros que son útiles para los usuarios en una computadora. Sucedido eso, el atacante pude dinero a cambio de recuperar la información, como un secuestro en el que se pide un rescate a cambio.

“Realmente es muy difícil de combatir, porque los atacantes son cada vez más inteligentes, preparados, e incluso intentar sobornar a trabajadores de una empresa para que les posibiliten o faciliten poder hacer ese ataque a cambio de un porcentaje del rescate”, comenta desde España el ingeniero informático. En general, asegura, es recomendable tener todos los sistemas actualizados, un buen antivirus y la menor cantidad de softwares posibles, así como cuanto menor puntos de exposición a internet, mejor.

“Los operadores de ransomware están evolucionando y sofisticando sus técnicas de forma continua. Hoy ya no sólo se dedican a instalar sus malwares para impedir que los usuarios puedan acceder a sus equipos o archivos bajo la exigencia de una recompensa, sino que aprovechan el ataque para tener un impacto múltiple, como por ejemplo, realizar ciberespionaje”, apunta Francisco Guzmán, director de Claro empresas. Por eso es tan relevante, añade el ejecutivo, “que las empresas desarrollen un ecosistema de ciberseguridad y que las personas lo integren a sus rutinas para evitar caer en estos engaños tan perjudiciales”.

La preocupación también es a nivel humano, claro, y no solo de software de protección. Cuanta mayor concientización y generación de desconfianza y paranoia ante la apertura de todo aquello que reciban los usuarios, incluso si es que es de alguien conocido y que tenga una redacción extraña o con marcas diferentes a otras veces, mejor. “En cualquier caso, se puede y debe hacer lo posible por prevenir estos ataques, pero estar seguro al 100% es imposible”, asegura Lorenzo Martínez.

Además, en Securízame, afirma, le plantean a sus clientes qué harán cuando el incidente o ataque suceda y cuál será el punto de inicio para el rescate y reconstrucción de la información. En ese sentido, dice, orientan para tener una copia de seguridad que resista las diferentes técnicas utilizadas por grupos de ransomware. Con Reborn, un sistema de copias de seguridad, ofrecen un servicio diseñado para que siempre haya un punto de partida confiable que no sea posible de cifrar.

Eso sí, este tipo de incidentes, dice el especialista, suelen suceder durante un fin de semana largo o durante el periodo de vacaciones, porque durante esas fechas suele haber menos vigilancia o incluso menos actividad legítima de usuarios que puedan darse cuenta que el proceso de cifrado de un sistema mientras se está produciendo.

Por eso mismo, el objetivo del atacante, en cuanto a esta ventana de acción, es tener más tiempo para cumplir su objetivo. “En muchos casos, los atacantes suelen tener identificada la posibilidad de acceso -o incluso suelen estar ya dentro de una organización, pero sin dar la cara ni generando ruido alguno- y llevar a cabo el proceso de cifrado de información cuando la probabilidad de que haya alguien que pueda bloquear el proceso sea menor”, desarrolla.

En sí, este tipo de ataques suelen dejar rastro de quién se ha conectado, cuándo y desde dónde. Pero comúnmente no suele quedar todo tan fácilmente registrado, sino que es misión de un analista especializado llegar a cabo una interpretación de las pruebas existentes para poder identificar lo sucedido. “El problema es que, como muy lejos, podemos llegar a obtener una dirección IP -que muchas veces corresponde a un nodo de salida de la red TOR o de un acceso VPN, proxy anónimo o desde otra máquina comprometida previamente- pero no a la identidad de una persona”, explicita Martínez.

El experto dice que hay ocasiones en que los ataques se dan desde adentro de las organizaciones. “Y en esos casos al menos sí que es posible identificarlo como punto origen, al que habría que ir a investigar igualmente, para saber si quien ha perpetrado el ataque es el usuario del equipo o si hay otro salto previo”, señala.

Las solicitudes de rescates de información suelen ser en criptomonedas, porque eso le asegura al atacante que no pueda ser rastreado. Con dinero común, la transacción tendría que ser a través de un organismo corriente, y eso permitiría el seguimiento y destino del depósito.

Claudio Ordóñez, líder de Ciberseguridad de Accenture Chile, dice que sin duda la pandemia fue un importante impulsor del aumento de este tipo de ataques, ya que las empresas tuvieron que hacer una digitalización apresurada de todos sus procesos, incluyendo la forma de trabajar. Con más colaboradores trabajando desde sus casas, la superficie de ataque, en ese sentido, se amplió. “Y es por eso que es esencial que las empresas impulsen hoy una cultura de ciberseguridad al interior de sus organizaciones y que las personas sepan cómo prevenir ser objetivos de este tipo de ataques”, apunta el ejecutivo. Eso sí, las industrias del retail y bienes de consumo están entre las más afectadas.

Más que un específico en el que se puedan identificar este tipo de ataques, con respectos a las empresas, el periodo en el que más aumentaron los ataques fueron los primeros meses de la pandemia, puesto que recién las distintas compañías estaban acomodándose a la nueva realidad. “Y los ataques de ransomware están lejos de disminuir”, plantea, y recuerda su reciente estudio, donde especificaron que los daños producidos por este tipo de ataques podrían costar hasta US$265 mil hacia 2031.

Y define los distintos tipos de amenazas ransomware. Primero está el ransomware como servicio (RaaS), en el que los grupos de ransomware pueden reclutar personas internas afiiadas y especializadas en una parte específica de la cadena de ataque para aumentar el sigilo de su ataque mientras emplean múltiples tácticas de extorsión robando primero los datos de la empresa antes de robarlos. Es el más popular, indica, y según datos de su organización, la extorsión de datos se confirmó en cerca del 30% de diez casos analizados entre junio de 2020 y el mismo mes de 2021.

También están aquellos ataques que aprovechan la vulnerabilidad del protocolo de escritorio remoto (RDP) como el principal acceso. Este se explota en aproximadamente la mitad de los ataques que tienen documentados y decubrieron que las vulnerabilidades RDP son uno de los métodos preferidos de algunos grupos ransomware.

El tercer tipo es el que comienza con un elemento de ingeniería social, como los correos electrónicos de phishing. Estos suelen contener un dropper inicial, que es un documento de oficina o un ejecutable oculto en un formato de archivo, como un elemento Zip. Este descargará una carga útil de primera etapa como IcedID, SdBot, Trickbot o Emotet, o aprovechará PowerShell para ejecutar una cuna Cobalt Strike. “Estas herramientas ayudan al ciberatacante a obtener acceso no autorizado a los sistemas remotos y pueden realizar una variedad de funciones que incluyen la descarga y ejecución de archivos adicionales, recolección de credenciales y las operaciones de movimiento lateral”, explica.

Los ransomware de escalada de privilegios o acceso a credenciales suelen permitir acciones adicionales contra la red, como el movimiento lateral o la desactivación del software de supervisión de puntos finales. Esta recolección de credenciales es una de las tácticas más utilizadas para que los métodos de extorsión secundarios tengan una mayor eficacia. Esto mismo permite a los delincuentes tener acceso a los canales de comunicación de la empresa, el correo electrónico, Slack y los equipos de Microsoft, lo que puede hacer que las comunicaciones de respuesta en tiempo real sean muy complicadas durante un brote o ataque.

Estos grupos de atacantes adoptaron ampliamente la doble extorsión como táctica principal para garantizar la rentabilidad. De hecho, señala Ordóñez, casi el 40% de las empresas a nivel mundial dijo que este tipo de ransomware fue la técnica de ataque más observada durante 2020. “Al tomarse el tiempo de exfiltrar silenciosamente la información sensible de la organización, los ciberdelincuentes ganan una ventaja cada vez mayor sobre sus organizaciones víctimas, obligando a las organizaciones no solo a pagar para descifrar su contenido, sino también a evitar que los datos potencialmente dañinos se vendan o se divulguen públicamente de otro modo”, señala.