Por Sergio Rademacher, Gerente Regional de la división de Cloud Computing de SONDA
De acuerdo al FBI, durante el primer trimestre de 2016 los ataques de ransomware costaron a las victimas un total de US$ 209 millones. Considerando que esto sólo corresponde a EEUU, que concentra el 28% de los casos, y que no todos los ataques son denunciados, estamos hablando de delitos que generan pérdidas por varios billones de dólares anuales.
Ransomware es un tipo de malware (software malicioso que tiene por objetivo dañar sistemas) que encripta y bloquea el acceso a los archivos de los usuarios. Para recuperar el acceso a éstos, el usuario debe pagar un“rescate”en Bitcoins, moneda digital de difícil trazabilidad, equivalente a cientos o miles de dólares. Paradojalmente el servicio de rescate es bastante expedito, contando con chats en línea y portales de atención para facilitar el pago de los rescates.
Todo comienza con la ejecución de un programa en el equipo de la víctima. Lo más frecuente es recibir un correo electrónico con un archivo adjunto que contiene el código malicioso. Al abrir el adjunto se ejecuta el código que encripta todos los archivos del usuario, luego de lo cual le indica la situación y la forma de pago. Es una carrera contra el tiempo, ya que el monto del rescate crece día a día hasta que al cabo de un tiempo los archivos son irrecuperables.
Existen variantes de doble propósito, las cuales además de bloquear el acceso a los archivos, roban datos personales que luego son vendidos a otros grupos criminales. Todo esto aprovechando el anonimato de Internet y la difícil trazabilidad de las nuevas criptomonedas. Estas son instrumentos digitales de intercambio, que no están bajo el control de ninguna administración central o país, y se puede cambiar por monedas reales. El Bitcoin es las más antigua y conocida.
Los cibercriminales están sofisticando su operación, incluyendo por ejemplo RaaS (Ransomware-as-a-Service) con modelos de negocios que incluyen el pago de comisiones a quienes infecten equipos de las empresas.
Hospitales, colegios, hoteles, departamentos de policía, están entre algunas de las víctimas que han pagado rescate en el mundo. Inicialmente afectaba mayoritariamente a usuarios de hogar, pero durante el 2016 los ataques a empresas llegaron al 40%, con foco en pequeñas y medianas compañías.
Más de 4.000 ataques diarios, 10.000 infecciones mensuales, un incremento importante en la aparición de variantes hacen de este problema un tema muy relevante para el 2017. En Latinoamérica, según un estudio realizado por Kaspersky Lab, los países más afectados por ransomware eran Brasil, Costa Rica y Chile.
Para peor, los principales proveedores de seguridad informática prevén un aumento en la sofisticación de las formas de ataque, buscando evadir la detección de los sistemas de seguridad y automatizar los métodos de infección. En la actualidad, el ransomware está afectando no sólo los PC de usuarios, sino servidores con los sistemas críticos de las empresas, teléfonos celulares, sistemas de control industrial y dispositivos IoT (Internet de las Cosas).
En el caso de verse afectado por un ramsomware lo fundamental es a) aislar el sistema afectado para evitar posibles propagaciones b) realizar un análisis forense para acotar el alcance del ataque, c) identificar el origen de la infección y d) tomar medidas para evitar que vuelva a ocurrir. Si bien es una decisión individual, se recomienda no pagar el rescate ya que incentiva el“negocio”, sino recurrir a los respaldos para recuperar el sistema y los datos.
Educación a los usuarios para que no abran correos y archivos sospechosos, software anti-malware y ransomware, estrategias de respaldo integrales, pruebas periódicas de recuperación y copias fuera de línea son las herramientas más importantes.
Finalmente, se debe considerar que la seguridad es un tema dinámico, por lo que revisar periódicamente cómo evolucionan los ataques permitirá ir ajustando la defensa ante nuevas amenazas.