La amenaza de nuevos ataques es latente y puede impedir la continuidad del negocio parcial o totalmente, por lo que es conveniente conocer todos los detalles posibles. He aquí lo que es importante saber acerca del programa malintencionado más famoso en la actualidad.
Si bien el Ransomware no es un tema nuevo, una vez más está acaparando las miradas. En mayo, se hizo presente con WannaCry, que atacó diversas organizaciones en más de 150 países, principalmente en el continente europeo, secuestrando más de 200,000 computadoras a ser liberadas -o mejor dicho desbloqueadas- por pagos de entre $300 y $800 dólares. El pasado martes 27 de junio, de nuevo se dio a conocer que un ataque de este tipo había afectado a decenas de empresas (entre ellas bancos, aeropuertos, instancias de gobierno, petroleras y farmacéuticas) en cosa de horas, fundamentalmente en Ucrania, Rusia, Reino Unido, India, Italia, Polonia, Alemania y Estados Unidos, hasta el momento.
La amenaza de nuevos ataques es latente y puede impedir la continuidad del negocio parcial o totalmente, por lo que es conveniente conocer todos los detalles posibles. He aquí lo que es importante saber acerca del programa malintencionado más famoso en la actualidad.
1. Origen. El Ransomware, o crypto-malware como también se le conoce, fue inventado en 1989 por el Dr J.L. Popp, un biólogo evolutivo molesto con la Organización Mundial de la Salud, quien aprovechó su conferencia mundial de ese año para distribuir disquetes infectados con este malware entre los delegados asistentes.
2. Impacto en sus inicios. En ese entonces, diversos medios publicaban sobre la pérdida de trabajos de hasta una década de investigación médica a causa del malware. Si el impacto no fue mayor fue debido a que aún no había Internet ni e-mail, y a que surgió un software para el desbloqueo de los archivos.
3. Modus operandi inicial. En los primeros años, el Ransomware usaba una tecnología de candado para negar al usuario el acceso a su computadora, generalmente pretendiendo tratarse de órdenes gubernamentales o del FBI, pero sin encriptar los archivos como se hace ahora.
4. Evolución. Como cualquier otro software, éste se ha ido optimizando mediante ajustes y mejoras en sus 28 años de existencia. Hoy día, es inmune a las defensas del pasado, como gateways de correo electrónico seguro y antivirus de escritorio.
5. Modus operandi actual. Orlando Scott-Cowley, autor del libro Conversational Ransomware Defense and Survivial[1], patrocinado por Veeam Software, dice que actualmente este ataque es manejado vía plataformas de Ransomware como servicio operadas por el crimen organizado.
6. Estimación de pérdidas económicas. El FBI indicó que los ataques de Ransomware recolectaron $209 millones de dólares a nivel mundial en los primeros tres meses de 2016, considerando sólo casos reportados y sin contar los costos de remediación de daños. Por otro lado, para las organizaciones, el costo financiero promedio directo por no estar siempre disponibles asciende a $21.8 millones de dólares, de acuerdo con el Reporte de Disponibilidad 2017 de Veeam.
7. Métodos de infección. Hay muchas maneras en las que un usuario puede quedar infectado por Ransomware, pero la más común es mediante un e-mail con un archivo malicioso adjunto que pretende ser algo que en realidad no es, como una factura falsa. Otros métodos comunes son ligas web acortadas, redes sociales, mensajes SMS o correos electrónicos de spam tradicionales.
8. Alcance de los daños. Si se trata del malware más exitoso en nuestros días, es no sólo porque es muy efectivo en lo que hace sino por su agilidad. Si bien hace años el ataque consistía en la encriptación de uno o varios archivos, método que sigue siendo el más común, en la actualidad el Ransomware es mucho más complejo y ya puede bloquear discos duros completos.
9. Plataformas vulnerables en la actualidad. El Ransomware se volvió ubicuo y sumamente exitoso por su impresionante habilidad de evolucionar. Si bien se pensaba que este tipo de malware se supeditaba a entornos Windows, Linux y Android, ahora se sabe que el sistema operativo de Apple no está exento. De hecho, ya hay constancia de los primeros equipos Mac infectados[2] con el ransomware KeRanger, nombrado así por Palo Alto Networks.
10. Humanware. La clave del éxito del Ransomware es su confianza en el elemento humano de la computación: según explica Scott-Cowley, en el caso de los ataques por e-mail basta con que el usuario abra el archivo adjunto para que, calladamente, el Ransomware comience a trabajar en el back-end encriptando toda la información en el equipo de la víctima.
11. Pagos. La razón por la que las transacciones por la devolución de los archivos o discos duros secuestrados a través de este ataque se hace a través de medios electrónicos que hacen la recolección del dinero sin ser necesario ningún papeleo, lo que los hackers buscan.
12. Montos. Si bien se han dado casos en los que los atacantes están solicitando miles de dólares por devolver la información encriptada a sus dueños, lo más común es que la cifra no exceda los $800 dólares. Esto obedece a que los hackers saben que, si piden una cantidad estratosférica, el resultado será que no obtendrán nada en absoluto.
13. ¿Pagar o no pagar? La visión de Scott-Cowley es no hacerlo, sobre todo en el caso de las empresas. Primeramente, porque estarían patrocinando atrocidades como el tráfico de drogas y otras actividades del crimen organizado, pero sobre todo porque no hay garantía de que los archivos serán devueltos en su estado normal o que la víctima no será reinfectada más adelante. Pero también comenta que este asunto precisa aplicar el raciocinio y la responsabilidad, pues en ocasiones no hay otra salida siendo siempre mejor prevenir que lamentar.
14. ¿Cómo prevenir la interrupción del negocio por un ataque? De acuerdo con un whitepaper de Veeam Software sobre las mejores prácticas ante el Ransomware[3], es recomendable garantizar que se cuenta con modernas herramientas de continuidad y disponibilidad que entre otras funciones, apliquen la metodología 3-2-1 para protección de datos (que indica tener tres copias de los datos en dos diferentes medios con una copia fuera de las instalaciones) y hacer evaluaciones regulares de los riesgos para identificar cualquier eventualidad proactivamente. Como parte de la valoración de riesgos es preciso verificar que los datos son recuperables de manera granular y puede garantizarse la restauración de manera fácil y en cuestión de minutos.
1 Conversational Ransomware Defense and Survival es un libro de la serie ConversationalGeek
2 Investigación de la empresa de seguridad Palo Alto Networks 3 The Veeam Best Practice Solution for Countering Ransomware
3 The Veeam Best Practice Solution for Countering Ransomware