Sergi Gil, socio de Ciberseguridad en KPMG
    Sergi Gil, socio de Ciberseguridad en KPMG

‘Ransomware’ como estilo de vida

Sergi Gil / 02 dic 2021 / 16:32 H.

Llevamos muchos años enfrentándonos al cibercrimen, los atacantes viven entre nosotros y siguen lucrándose a consecuencia del poco nivel de concienciación existente en gran parte de la sociedad y empresas. Desde 1960, cuando se hizo referencia conocida al primer malware en el MIT (Massachussets Institute of Technology) a día de hoy (2021), seguimos acumulando ataques de diversa índole en nuestras compañías y vida personal, tales como:

Ransomware: malware (programa malicioso) que tiene como objetivo encriptar la información corporativa y en muchas ocasiones filtrar la información fuera de la organización a cambio de una recompensa. Se recomienda principalmente dos cosas para hacerle frente, tener copias de seguridad de toda nuestra información y concienciar a todos los empleados en materia de seguridad. Phishing: mail fraudulento que tiene como objetivo el robo de credenciales. En este caso se recomienda no compartir información por internet con terceros sin verificar previamente su identidad o accediendo directamente al sitio oficial. Fuga de datos: salida de la organización de datos personales y corporativos, con un potencial impacto regulatorio por la ley de protección de datos (GDPR). Suplantación de identidad de los principales directivos para conseguir objetivos varios como por ejemplo transferencias, cambios de datos corporativos, etc. Denegación de servicio: tiene como objetivo saturar las comunicaciones de las compañías para dejarla inoperativa.

En los primeros años los ataques eran genéricos, no tenían un objetivo específico, buscaban obtener el mayor número de infecciones / información para conseguir cumplir con sus objetivos, y los atacantes apostaban por los medios más comunes, por ejemplos los PC’s. Cuántas veces hemos escuchado: “tengo un mac porque son más seguros”. Es una afirmación que cada vez tiene menos seguidores, por un motivo principal, como decíamos anteriormente, los atacantes dedicaban más tiempo a preparar los ataques para obtener el número máximo de afectaciones, no eran dirigidos y no buscaban información específica, todo les valía, por lo que diseñaban la mayoría de los ataques para que tuvieran afectación a los sistemas operativos Windows que eran los más usados hace unos 10 o 15 años. Hoy en día no me atrevería a mantener esta afirmación de que hay más Windows que otros sistemas operativos, de hecho, el uso de iOS y Windows están muy a la par, por lo que los atacantes tienen la misma motivación en atacar a todos los sistemas operativos, y en este sentido no podríamos afirmar que solo por el hecho de tener un ordenador Mac estás más seguro que teniendo un PC... al menos a primera vista.

Con el paso de los años la situación ha ido cambiando y los atacantes lanzan ataques más sofisticados y dirigidos para conseguir información o afectar a objetivos muy específicos. En este sentido, y sin entrar al detalle de las víctimas, cabe destacar las palabras del inicio de la noticia donde hacía mención de que los atacantes viven entre nosotros. Ya no nos escandaliza y parece que les estemos perdiendo el miedo, pero en mi humilde opinión es un gran error. Estos ataques cada vez se lanzan desde cupulas criminales más organizadas y preparadas, por lo que las víctimas tenemos que estar también listos para responder ante las principales amenazas que nos vamos a encontrar en los próximos años, los ransomware y la fuga de información confidencial y personal. Ante este nuevo panorama, es recomendable que las compañías sigan invirtiendo en seguridad, pero no sólo en tecnología, que es muy necesaria, sino también en las personas, que son el eslabón más débil de la cadena y son el principal vector de entrada a las compañías. Nadie está a salvo de un ciberataque, todos somos potenciales objetivos y nadie está 100% seguro, esto no existe, pero si que es importante que tomemos algunas medidas, tanto a nivel personal como profesional, para evitar que el principal riesgo de estos próximos años (ransomware) cause un daño en nuestra compañía o persona, tales como:

Asegurarse que tenemos copias de seguridad de toda nuestra información y que estas no están conectadas. Uno de los principales errores en muchas compañías es dejar conectada la copia de seguridad a la compañía, por lo que, si entra un malware, también salta a la copia y la deja inutilizada. En este caso lo más recomendable seria tener dos copias de seguridad en distintas ubicaciones. Formar a los empleados en materia de seguridad. Es importante que conozcan las principales amenazas a las compañías y cómo responder ante ellas. Los empleados son la primera puerta de entrada a las mismas, y tanto a nivel profesional como a nivel personal son una presa fácil para los atacantes. La formación es importante darla de forma recurrente con el paso de los años, ya que las técnicas van cambiando.

Según datos internos de KPMG, existen datos relevantes de los principales ataques en los que hemos participado que es importante destacar: El 70% de las intrusiones en compañías se producen a través de los empleados y en el 50% de los casos se podrían haber evitado con formación a la víctima. Una pequeña parte de los incidentes en los que hemos participado se deben a fraude interno, siendo el empleado la persona que provoca el incidente sabiendo lo que estaba haciendo en todo momento. Parte de los casos son consecuencia de un enfado de este o por no compartir ciertas políticas de la compañía. En la menor de las veces un atacante podría haber sobornado al empleado. El 75% de los trabajos de respuesta a incidentes tienen como origen la extracción de credenciales de proveedores con acceso a la compañía. En estos casos es muy importante que las compañías tengan una política de contraseñas robusta con rotación periódica y que revisen los permisos de usuarios internos, externos y administradores.

Como conclusión a la situación que estamos viviendo, es importante que todos tomemos consciencia de lo que está pasando y pongamos de nuestra parte, la seguridad es una actitud de la compañía y por lo tanto no es responsabilidad del responsable de IT o de seguridad, es una responsabilidad transversal que debe ser promovida por los principales directivos. Es importante no relajarse, una cosa tan simple como abrir un mail y darle al enlace, puede suponer dejar a toda la compañía sin actividad durante semanas, incluso meses.