Según el informe anual “Cyber Security Risk Report 2021 de Aon: Equilibrando riesgos y oportunidades, facilitando la toma de mejores decisiones” el ransomware ha incrementado un 400%.
Según el informe anual “Cyber Security Risk Report 2021 de Aon: Equilibrando riesgos y oportunidades, facilitando la toma de mejores decisiones” el ransomware ha incrementado un 400% desde el primer trimestre de 2018 hasta el último trimestre de 2020.
Poco a poco se ha profesionalizado el ransomware, inicialmente cifraban la información y pedían un rescate –normalmente en criptomonedas- para poder recuperar la información. Durante este periodo, las organizaciones dejaban de operar y poco podían hacer si no tenían respaldos para regresar a la operación.
Muchas otras organizaciones encontraban la cura ya que habían sido atacados por viejas variantes de ransomware o por versiones mal programadas, pero muchas no tenían la misma suerte al enfrentarse a nuevas variantes. Algunas de las nuevas variantes toman información de los sistemas cifrados para poder usarlas como “prueba de vida” que divulgarían en internet o en la deep web para poder presionar a la empresa para que pague el rescate: una presión adicional para afectar a la reputación de la organización.
Algunas organizaciones optaban por pagar el rescate, sin saber que, en algunos de los casos el atacante no entregaría la llave para poder abrir los archivos, o en otros casos la entregaba sabiendo inmediatamente que tendría un cliente que ya había pagado y que pagaría de nuevo ante un ataque meses después.
En Estados Unidos, para poder detener que las empresas pagaran los rescates, el Departamento de Justicia en octubre de 2020, alertó de posibles sanciones a aquellos que faciliten el pago de los rescates ante casos de ransomware, justificándolo que este tipo de pagos podrían violar las regulaciones de la Oficina de Control de Activos Extranjeros (OFAC). Muchos están pensando antes de hacer el pago del rescate.
Es claro que es más probable que una empresa, no importando su tamaño, caiga en las manos de un ransomware que de otro tipo de ciberataques. Solo basta una vulnerabilidad, un error de configuración, un nuevo vector de ataque que no se conoce, una organización que no monitorea lo que pasa en sus sistemas. Desde una microempresa que tiene un par de computadoras donde tiene información de todos sus clientes, la nómina, la información tributaria; hasta una gran empresa que se ve afectada su línea de producción. Incluso el estudiante que está trabajando en su tesis podría caer en esto: El ransomware no discrimina.
Hace un par de días nos enteramos de un ataque de ransomware a una empresa que controla el 45% de los gasoductos de la costa este de Estados Unidos: “Colonial Pipeline”. Estados Unidos, inmediatamente tomó cartas en el asunto: una declaratoria de emergencia para poder eliminar las restricciones de transportación de combustible por carretera para poder satisfacer la demanda. Colonial Pipeline es considerada como infraestructura crítica de Estados Unidos, si bien hay lineamientos claros sobre modelos de madurez de ciberseguridad en estas organizaciones están todavía lejos de que todas las organizaciones las cumplan.
El FBI, pudo en pocos días determinar que se trata del ransomware creado por un grupo llamado “DarkSide”, un grupo que ofrece código malicioso como servicio, de hecho, lo han llamado “Ransomware-as-a-Service” (RaaS). Esto permite que criminales que no tengan las capacidades ni conocimientos puedan acceder al software para atacar y recoger el producto del secuestro que puede ir de 200,000 a 2 millones de dólares por afectado.
No es la primera vez que un ransomware afecta a infraestructura crítica vinculada a empresas del sector energético, pero si la primera vez que se ve una reacción inmediata ante la situación. Colonial Pipeline no ha podido determinar, hasta la redacción de esta columna, cuánto tiempo se demorará en poder regresar a la operación.
En algunos de los clientes que hemos podido atender con casos de ransomware, en el peor de los casos, fueron cerca de 7 meses en poder regresar completamente a la operación. Algunas cosas si estaban disponibles en respaldos, otros, se tuvieron que re-hacer desde cero.
Quizá una de las cosas más importantes es poder determinar cómo fue que entró el ransomware. ¿Cuál fue el vector de ataque? Ya que esto permitirá que se solucionen los problemas y se evite que haya una nueva afectación por el mismo problema.
Ahora, ¿por qué debe importarme esto?
Si usted es directivo de una organización: conozca este riesgo. Pero también piénselo desde otra perspectiva: ¿Y si mis proveedores se ven afectados con este tipo de ataque? Imagine que uno de sus proveedores no pueda cumplir con un contrato o los tiempos de entrega de este y eso impacte hacia su organización. Es una cadena. Imagine que es por medio de un proveedor que sus sistemas se infectaron.
Si usted está encargado de áreas de riesgo, auditoría, ciberseguridad o de tecnologías de información: revise que tenga identificado el riesgo y que tenga controles. Pruebe los controles. Obviamente es posible que, aunque tenga los controles, éstos no funcionen y haya que reaccionar. ¿Cuánto tiempo nos tomará regresar a la operación?
Cuidado con el daño a su organización, pero también el daño colateral. Muchos países de Latinoamérica no tienen una postura ni estrategia para poder proteger cibernéticamente las organizaciones consideradas como infraestructura crítica. Quizá se acuerde del caso de PEMEX en México y el ransomware DoppelPaymer que lo afectó a inicios de 2020: todavía no sabemos el tamaño de la afectación.
Lo curioso: El grupo DarkSide ya se pronunció por medio de una publicación el 10 de mayo donde claramente expresa: “Nuestra meta es hacer dinero, no es crear problemas a la sociedad. Estaremos implementando un proceso para revisar cada empresa que nuestros aliados quieren afectar para evitar consecuencias sociales en el futuro”