Vivimos en un mundo cada vez más interconectado y eso lo vemos a diario. Hace 20 años teníamos un computador de escritorio que con suerte estaba conectado a Internet. Hoy en día tenemos un computador de escritorio, un notebook, un tablet, un reloj inteligente, refrigeradores, hornos, luces, chapas y un sinnúmero de otros dispositivos conectados. Si tenemos la mala idea de comprar una pesa inteligente, esta se encarga de informar a todos los demás que uno está con sobrepeso y el reloj te recomienda hacer ejercicio o tu celular te da consejos de vida sana.
Esta “inteligencia” está embebida en cada uno de estos dispositivos. Esto es lo que llamamos la Internet de las Cosas y en el ámbito de las empresas es algo que también está evolucionando en forma acelerada. Desde hace tiempo, los sistemas industriales controlan válvulas, puertas, motores, interruptores y un sinnúmero de dispositivos de forma remota. Lo que ha venido ocurriendo en el último tiempo es que estos se han tenido que conectar entre sí para actuar en conjunto.
Por dar un ejemplo sencillo, el aire acondicionado de nuestras casas se interconecta con el sensor de temperatura para poder regular el fl ujo de aire, imaginemos esta situación a una escala industrial con miles de dispositivos de una empresa conectados midiendo y regulando corrientes, fl ujos y lo que podamos imaginar. Al estar todo interconectado es factible saltar de un dispositivo a otro, destruir información y confi guraciones, generando un caos.
¿Que pasó específi camente con Colonial Pipeline?
En este caso, ¿por qué se cortó el suministro de petróleo hacia la costa este de Estados Unidos? Básicamente Colonial Pipeline fue afectado por un ransomware. Este se expandió infectando partes importantes de la organización y provocando fallas de la operación. Es decir, lo que antes era del ámbito virtual pasó a ser muy real y a provocar serios perjuicios económicos. Lo peor del asunto es que los grupos delictuales detrás de este ataque no querían provocar daños, su fi n era económico, pero todo se salió de control y generó fallas al suministro de petróleo.
Se trata de una forma de malware que cifra los archivos de una víctima. Luego, el atacante exige un rescate para restaurar el acceso a los datos al momento del pago. Los costos pueden variar desde unos pocos cientos de dólares hasta miles, pagaderos a los ciberdelincuentes en Bitcoin.
En términos sencillos, un ransomware es como un virus que se conecta con la organización, una vez que la infecta se dirige a un centro de comandos y comienza a reproducirse hasta que llega a sus objetivos y cifra la información. En términos un poco más técnicos, los atacantes suelen acceder a través de algunas formas comunes:
• Un usuario navega a un sitio web con software malicioso.
• Hace clic en un enlace en un correo electrónico de phishing que los lleva a un sitio malicioso.
• Abre un archivo adjunto malicioso. Cualquiera de estas opciones puede provocar que el software malintencionado infecte el dispositivo de un usuario. A partir de ahí, un malhechor puede comprometer la cuenta de un usuario de varias formas.
Otro punto de entrada común es usar credenciales robadas o utilizar un ataque de fuerza bruta para “adivinar” una contraseña. Una vez que el atacante está dentro, se mueve lateralmente a otro usuario con más acceso y realiza un reconocimiento para obtener más información sobre su red. En última instancia, quiere comprometer su dominio para poder permanecer en su red todo el tiempo y así filtrar o cifrar datos para obtener beneficios económicos.
¿Qué pueden hacer las organizaciones para protegerse?
El ciclo de la seguridad tiene cinco etapas: identificar, proteger, detectar, responder y recuperar y, como en la mayoría de los casos, lo más importante son las dos primeras para prevenir infecciones. Lo fundamental es tener claramente identificado lo que debemos proteger. A partir del inventario, hay acciones para prevenir que son cruciales como, por ejemplo:
• Capacitar al personal respecto a los riesgos de navegar en sitios inseguros o hacer clic en un adjunto de un correo que viene de una fuente no confiable.
• Luego hay temas más técnicos como estar revisando permanentemente si los equipos dentro de la organización están con sus parches al día y libres de vulnerabilidades.
• Finalmente, se pueden segmentar las redes internas para evitar que cualquier atacante potencial se desplace libremente dentro de la red y acceda a la información más importante.
Por otro lado, si un equipo se infectó, lo importante en el primer momento es contener, ya que los ataques de ransomware tienen varias etapas, por lo que hay espacio de contención. Lo ideal es conseguir ayuda de un experto o asesorarse inmediatamente porque, por lo general, el plazo para contener es de horas, quizás hasta de minutos. Ahí es importante entender cuáles son los vectores de ataque del ransomware y bloquearlos, a fin de evitar que llegue a la etapa de cifrado de datos.
Finalmente, si se pudo contener el ataque y sobrevive para contarlo es importante hacer un análisis forense. Nunca se sabe qué otro elemento pueden haber dejado los malhechores escondidos en nuestra red esperando poder aprovecharlo más adelante.
“Vacunar a la mayoría de la población”
Aunque un ransomware no actúa igual que un virus como el Covid-19, hay ciertas similitudes en cómo se puede prevenir y que acciones se pueden tomar. Lo más importante es tener a la mayor parte de la población vacunada, esto se parece a que la mayoría de los equipos de la organización deben tener sus parches y sus actualizaciones al día. Por desgracia, hay enfermedades nuevas que surgen y para las cuales no tenemos vacuna (estas en términos informáticos se llaman ataques de día cero) y en este caso lo importante es contar con suficiente distancia social, no tener condiciones preexistentes que nos compliquen, que equivale a tener las redes segmentadas y al personal capacitado.
Asimismo, es relevante, para contener cualquier infección, tener un equipo de respuesta ante incidentes, con protocolos de acción claros y herramientas adecuadas para luchar contra la enfermedad, lo que equivale a tener suficientes ventiladores y camas UCI, a fin de atender a los enfermos en caso de que el tema se salga de las manos. Como profesionales de la industria de informática, siempre estamos preocupados de ayudar y transformar el negocio de nuestros clientes. En el caso de la seguridad de la información, parte de esta tarea es educar y advertir como protegerse. Espero que alguna de las ideas de este artículo ayude al lector a tomar las medidas de precaución necesarias.