No es noticia desconocida que el Ransomware, o el virus que secuestra ordenadores, está siendo una de las amenazas más prolíficas y rentables de los últimos años en el panorama del cibercrimen.
Tenemos que analizar el problema desde la perspectiva del crimen, del beneficio para los que efectúan. Campañas de Spam para posicionar páginas webs o intentar colar servicios falsos era la tónica hace unos años. La dependencia a Internet y la conectividad en las empresas puso en manifiesto el problema de la denegación de servicio, intentar colapsar una página web, un servidor de correo, un comercio electrónico, etc era una vía de chantaje: o pagas o te anulamos en internet.
Siguiendo esta tendencia del chantaje apareció el Ransomware. Hoy en día luchamos con nuestras armas para combatir esta plaga, pero donde hace dos o tres años era la tendencia, se incorporan a la escena otro tipo de estafas o robos: el timo del CEO, cambios en cuentas en facturas y similares. Timo del soporte remoto: criminales que suplantan a otras empresas tecnológicas para imitar un soporte y realizar una conexión maliciosa… ¿Pero el futuro? ¿Quien lo conoce? Sospechamos que la inteligencia artificial jugará un papel importante en esto del cibercrimen, una llamada de teléfono, una videoconferencia… no lo sabemos aún, pero se está fraguando.
Lo que es importante tener en cuenta que vivimos en un mundo conectado, hyper-conectado, y que el cibercrimen ha venido para quedarse. No es una moda pasajera, ni un problema puntual del Ransomware. En ocasiones conocemos empresas que malpiensan que por tener una solución anti-ransomware ya están seguros, pero nada más lejos de la realidad, la ciberseguridad es un proceso continuo, una metodología, una manera de trabajar, es una cultura de empresa.
De nada sirve un producto, hardware o software, si nuestras contraseñas son débiles, o si no actualizamos un equipo, o si no revisamos la seguridad de nuestras aplicaciones, y la de las que usan nuestros trabajadores.
Si nos ponemos en situación respecto a los últimos incidentes que estamos viendo en los medios. Empresas de seguridad tradicional, empresas de informática, ayuntamientos, hospitales… La mayoría comparte el mismo Ransomware, el mismo virus, el famoso y temido Ryuk. El virus realiza sus fechorías encriptando toda la información de los equipos, dejándola inservible, propagándose por la red de empresa a todos los equipos a los que consigue acceso.
Sin embargo, los virus al final entran de alguna manera en los equipos. En estas infecciones conocidas se han cometido todo tipo de intrusiones para que el ransomware actue, es decir, ¿Cómo entra el virus en el equipo? Al final hay tantos métodos como imaginación tengan los criminales. Con un correo que descarga un ejecutable. Con una web falsificada/robada que pide permisos para instalar una actualización. Un servidor de escritorio remoto sin parchear. Cualquier otro servicio expuesto en internet con vulnerabilidades que permitan ejecutar código.
Al fina, el proceso completo de una infección empieza en un paciente cero, con un vector de ataque, continua con acciones de propagación y termina infectando. Ante esta “cadena de maldades” tenemos varias herramientas o soluciones a nuestra disposición.
Solo con una auditoria exhaustiva de seguridad, un test de penetración, un hacking ético, un red team, como lo llames, solo con estos ejercicios conoceremos el estado real de nuestra organización y la exposición que tiene hacia internet. Es decir, luchamos para que el virus no pueda entrar. Con un servicio dedicado de monitorización, el famoso SOC ( Security Operationes Center) podemos detectar, en el caso de que hayamos sufrido un incidente, detectar que se está propagando y pararlo.
Por último, la capa de evitar el cifrado. Si hemos sufrido todas las demás fases, que no se puede realizar la “maldad”, el secuestro, el envío de correos, el minado de bitcoin…
Lo que queremos compartir con vosotros es que la seguridad es un proceso constante de mejora, que nos obliga a conocer y remediar problemas antes de que sean usados por los malos, y los malos están constantemente buscando como cometer sus delitos. En el cibercrimen no hay barrera, fronteras, paredes, somos desde las organizaciones los que tenemos que poner esa barreras….
“La seguridad es como la sanidad, requiere de muchas acciones, más o menos costosas, para ir alcanzado grados aceptables. No hay una pastilla que cure todo, o una analítica que lo detecte todo“.