Wilson España.
¿Cómo han ido evolucionando los ataques de Ransomware?
El Ransomware cae dentro de la categoría de extorsión y, desde este punto de vista conceptual, vemos que en 2012 o 2013 existían algunos malwares que atacaban a usuarios incautos, bloqueando su equipo y acusándolos de actividades ilícitas, como piratería o pornografía infantil. El mensaje de extorsión ofrecía un link para realizar un pago, generalmente a través de depósitos en tarjetas, a cambio de evitar ser denunciados. La evolución de aquello a métodos más sofisticados, pero conservando el mismo principio de extorsión, viene de la mano de CryptoLocker a fines de 2013. Este malware introduce el cifrado asimétrico, un servidor de Command&Control y el pago en criptomonedas. Desde esos orígenes a la actualidad, vemos que esta lucrativa forma de ataque ha ido en aumento y con resultados a escala mundial, como lo fue en su momento WannaCry. Observamos niveles de organización y cooperación entre grupos de cibercriminales que comunitariamente desarrollan campañas con utilidades que se reparten y el uso de exploits que no eran conocidos, como fue NotPetya. Nos encontramos con ataques que ya no tienen como blanco a usuarios individuales, sino a grupos al interior de las organizaciones, enfocados en aprovechar las vulnerabilidades que permitan ganar acceso a las redes, con la posibilidad de estructurar ataques combinados más sofisticados y respaldados por grupos económicos e incluso estados.
¿El ambiente de teletrabajo facilita su entrada?
Sin lugar a dudas, el escenario de pandemia ha traído consigo un entorno propicio para este tipo de ataques. Miles de estaciones de trabajo, antes contenidas y protegidas en un ecosistema concebido para una operación presencial, se vieron expuestas en cuestión de días, a un escenario en el cual los controles y tecnologías desplegadas no estaban preparados ni diseñados. Se suma a esto, una mayor posibilidad de utilización del phishing como método de propagación mucho más efectivo, debido al alto interés de parte de los usuarios por las temáticas asociadas al escenario mundial de Covid-19.
¿Las empresas prefieren “guardar silencio” para evitar el daño reputacional?
Considerando no tan solo los ataques de Ransomware, sino cualquier incidente de ciberseguridad y entendiendo como “guardar silencio” el hecho de negar haber sufrido un evento, si bien todavía existen algunas empresas que puedan tener esta mirada, este tipo de visión va en sostenida disminución, siendo claramente un enfoque errado y contraproducente, incluso para el fin buscado de evitar daño reputacional. Como contraparte, nos encontramos con una visión opuesta en la que el “no guardar silencio”, considera el hecho de abrirse a intercambiar información técnica de lo sucedido con la comunidad profesional y redes de respuesta a incidentes, desde una perspectiva en la que esta apertura aporta a la solución del problema y es vista como un accionar responsable y estructurado ante este tipo de situaciones.
En este escenario nos encontraremos probablemente con una organización mucho más madura, que considera el aporte de valor de estas acciones e incluso forma parte de las actividades propias de un proceso formal de respuesta a incidentes.
¿Esto ha servido para que las organizaciones tomen medidas?
Ciertamente, aunque por naturaleza somos reactivos y tenemos una tendencia natural a vincularnos mucho más fuertemente con situaciones que nos parecen más cercanas, esto nos ha obligado a avanzar en estas materias. Durante mucho tiempo en la industria financiera en Chile se tomaba razón de noticias de ataques en otros países, casos significativos como Carvanak / Cobalt o el robo al Banco Central de Bangladesh, pero sin generar cambios tan sustantivos como los ocurridos post eventos en Chile. A nivel global el fenómeno es igual, ejemplo de ello son el SWIFT CSP, PCI-DSS o las normas de los entes reguladores relativas a esta materia.
¿Qué deben hacer las empresas afectadas por un ataque de Ransomware? ¿Pagar?
Activar el proceso de respuesta ante incidentes, ya sea de manera interna, en caso de tener la estructura y recursos adecuados o a través de apoyo externo especializado. Es clave estar seguro de que se están realizando las acciones que permitan una adecuada contención, la corrección de las causas que originaron el compromiso y el despliegue de una recuperación efectiva de los servicios e infraestructura para seguir operando. Respecto al pago, si bien la recomendación es no ir por esta vía, es una decisión particular y depende del escenario de cada organización.
En Chile, ¿se está dando ya el “Ransomware as a Service”?
No tengo antecedentes de si en Chile se esté dando esto como oferta o consumo, pero el “Crime as a Service”, y en específico el “RaaS”, es una realidad y tiene la particularidad que puede ser ofrecido y consumido desde cualquier parte del mundo. Hoy vemos que las distintas campañas se estructuran usando diferentes componentes que forman parte de la oferta de recursos para los cibercriminales, constituyéndose equipos que involucran diversos actores y aportantes.
Las utilidades del cibercrimen hoy superan con creces a las de otras actividades ilícitas, como el tráfico de estupefacientes, llegando a cifras por sobre los 1,5 trillones.
¿Qué consejos daría a las organizaciones respecto a su seguridad y protección?
Como primer punto diría que es de suma importancia partir del supuesto que, el sufrir un ataque, es un escenario posible y probable. Luego recomendaría modelar los distintos escenarios, adoptando un enfoque integral que apunte no tan solo a la protección, sino también a la identificación, detección, respuesta y recuperación. En el caso particular del Ransomware, recomendaría enfocarse en diferentes estrategias orientadas a la recuperación de la información e infraestructura afectada, además de considerar disponer de servicios externos especializados para hacer frente a este.
Desde el ámbito normativo, ¿cómo se puede avanzar para mejorar la ciberseguridad?
Es fundamental incorporar talentos con un mayor nivel de especialización, jóvenes que tienen mucho que aportar en modernizar los organismos reguladores, así como capacitar y especializar a los profesionales que hoy están en estas entidades. El seguir avanzando en este ámbito constituye una buena instancia de aceleración de los sectores, relacionada con el área de acción de cada organismo (sector eléctrico, banca y finanzas, AFPs, aseguradoras, etc.).
En el ámbito del Estado, hay avances, pero falta mucho camino por recorrer, iniciativas de modernización que se quedan en declaraciones de buenas intenciones, pero no pueden llegar a “puerto” porque faltan cambios a nivel más atómico.
Existen, por ejemplo, organizaciones con estructuras rígidas muy difíciles de cambiar. En ese caso, no basta con declarar que debe existir un responsable de ciberseguridad y suponer que con esto será algo real y efectivo.
Wilson España Carrasco es Ingeniero de Ejecución en Computación e Informática, Máster en Dirección y Desarrollo Directivo Universidad de Nebrija, y MBA con especialización en Tecnología Informática y Transformación Digital en CEREM International Business School, con más de 20 años de experiencia profesional en seguridad de la información. CISSP, Instructor Oficial Certificación CISSP, Miembro del Latín American Advisory Council y del Chapters Advisory Committee de (ISC)².
Participa como docente en los Diplomados en Gestión Estratégica de la Ciberseguridad y Gestión Técnica de la Ciberseguridad de la Universidad Católica y en el Magíster en Ciberseguridad de la Universidad Adolfo Ibáñez.
