Juan Marino.
¿Que tan real se ve este ataque a nivel regional?
Lamentable se están viendo bastantes casos concretos en Chile y en Argentina, según lo que observamos tanto en nuestra nube de inteligencia de seguridad colectiva como en las conversaciones uno a uno con los clientes, que es el pulso más directo que tenemos, y esto pese a que en general los usuarios se muestran reacios a reconocer que fueron victimas de ransomware. Entonces, en términos de lo que estamos palpando en el día a día, esto está pasando cada vez más, y la tendencia, que es lo más preocupante, es que ya no se está observando tanto a nivel de usuario personal, sino que hay una mayor intencionalidad del ataque para dirigirlo a entidades en las cuales se puede sacar un rédito mayor. El ataque es esencialmente el mismo, lo único que se agrega es un poco de inteligencia en cuanto a quién atacar y cómo crear un vector para lograr el objetivo.
Entonces, seguirá creciendo…
Esta amenaza está creciendo a pasos bastante grandes y a raíz de que se ha empezado a volcar sobre entidades privadas y públicas y no solo usuarios individuales, está teniendo un impacto mayor y un crecimiento de la incidencia. La otra razón es porque con este tipo de ataque, según lo que hemos estudiado, se genera un lucro de cerca de US$34 millones anuales, lo que sirve para financiar la propia industria del cibercrimen, para seguir desarrollando nuevas formas de explotar vulnerabilidades y perpetrar ataques más rentables; el ransomware como tal no es uno de los ataques más rentables, pero sí una semilla.
Por ejemplo, en un usuario individual el ataque puede afectar a 300 de sus fotos, mientras que en el Hospital Hollywood Presbyterian Medical Center (EEUU), el costo fue de US$3,4 millones. Cuando los ciberdelincuentes logran atacar una empresa e insertarse, por ejemplo, en un sistema de pagos, se pueden filtrar datos mucho más “negociables” y en lugar de solo cobrar por devolver la información, es posible vender esta en el mercado del cibercrimen. Cada registro médico, por ejemplo, tiene un valor por sobre los US$50.
¿No denunciar este ataque busca proteger la imagen?
A diferencia de EEUU, donde hay más reglamentación y las empresas se ven obligadas a decir cuándo fueron víctimas de un ataque, en nuestras latitudes no suele pasar eso: las compañías no están obligadas a informar que fueron víctimas de un secuestro de información, por eso no nos enteramos de muchos casos. Además, obviamente ninguna empresa quiere ‘a priori’ divulgarlo porque afecta su reputación y si lo llevamos al caso de un banco, obviamente no querrá que los clientes sepan que fue vulnerada su seguridad porque eso podría generar una fuga hacia su competencia.
¿Qué sectores son los más afectados hasta ahora?
En la mira están primordialmente las firmas del ámbito financiero, porque tienen un capital de información fácilmente monetizable, que son los datos de las tarjetas de crédito, cuentas bancarias, etc. Este es el sector más atacado y, por ende, el que está más preocupado de repensar su estrategia de defensa y seguir construyendo sobre lo que ya tiene.
En segundo lugar está el retail, porque también maneja grandes volúmenes de clientes en sus bases de datos. Si este tipo de compañías fuera infectada como le pasó a Target, la mayoría, aunque ha invertido, me atrevo a decir que no estaría del todo preparada para lidiar con un incidente como este, porque no es un tema solo de productos, sino de tecnología, procesos, recursos humanos, asesoría, etc.
¿Qué falta para estar preparados, una cultura preventiva?
Primero, la concientización es muy importante y hace falta trabajar mucho en eso. De hecho hay que cambiar un poco los paradigmas, porque hasta ahora se ve la seguridad informática como un tema de productos específicos, es decir, compro cierta tecnología que me protege de algo. Hay una falsa sensación de que así se puede estar seguro, pero en realidad la seguridad al cien por ciento no existe. Lo que se debe hacer es construir la estrategia para gestionar el riesgo de una forma adecuada, tratar de evitar ser víctima de un ataque, invertir en función de lo que se está protegiendo o del costo de una brecha. Hay un tema de concientización y una clara necesidad de asesoría en este camino. En segundo lugar, se está generando un cambio a nivel organizacional, ya que comúnmente seguridad es parte del área TI, que a la vez reporta a la Gerencia, pero ahora está pasando a tener identidad propia y línea directa hacia el controlador financiero o CEO de la empresa. Esto da mucho más poder a la compañía de invertir, priorizar y darle relevancia a la seguridad como parte de la operación del negocio.
¿Se pueden desencriptar los datos o ya no hay vuelta atrás?
Eso depende de la versión del ataque recibido, es decir, del software de código malicioso. En ciertas versiones se puede romper el cifrado, pero lamentablemente esto es en la minoría de los casos; en la mayoría se están usando las versiones avanzadas de ransomware, que incluso usa las mismas técnicas de cifrado que hoy aplican los bancos; entonces, por lo general, no queda otra opción que pagar el rescate por la información. No obstante, el objetivo de una empresa que toma conciencia o que ya sufrió este ataque, primero es lograr armar una estrategia con la que pueda contener mejor esta amenaza, porque un escenario es que se infecte un PC y otro bien diferente es que sea toda la red. Claramente con una buena estrategia de seguridad, que tiene que ver con segmentar apropiadamente la red, contar con tecnologías que detectan en tiempo real los ataques, y hacer cambios dinámicos de la configuración para bloquear o contener ese ataque, se puede gestionar ese incidente para evitar un impacto. Esa es la mejor expectativa: poder evitar esa infección.
En síntesis, ¿cómo están hoy las empresas posicionadas frente a la escalada de ransomware?
Hay una brecha en la capacidad que tiene los organismos públicos y privados, pequeños y grandes, de poder defenderse de esto. No tienen la madurez necesaria en sus plataformas tecnológicas y procesos para poder responder a este tipo de incidentes. Esto es claramente el tema de mayor urgencia que debiera justificar el planteamiento de proyectos de seguridad en la escala más alta de las empresas, de manera que le den la relevancia necesaria, entendiendo el impacto sobre el negocio, su reputación, continuidad, etc.
El ransomware es un tipo de malware que actúa infectando el equipo dando al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar los archivos, quitando así al usuario el control de toda la información almacenada. Para desbloquearlo el virus lanza una ventana emergente en la que solicita el pago de un “rescate” para devolverla.
