¿Qué pasa cuando se es víctima de un secuestro de información?

Denise Giusto, experta en seguridad digital y ransomware, cuenta qué le pasó a una empresa mediana en Argentina con un ataque de este tipo que comprometió sus bases de datos.

iStock

Uno de cuatro usuarios de internet en Latinoamérica ha sufrido un ataque de ransomware, según cifras de la empresa de seguridad digital ESET. La compañía asegura que 8% de estos incidentes sucede en Colombia, lo que sitúa al país como el sexto lugar de mayor ocurrencia de este crimen en la región.

El ransomware es una forma de ataque que, literalmente, secuestra información del equipo infectado de un usuario a cambio de que éste pague para recibir de nuevo sus datos.

El secuestro no significa, usualmente, que la información sale de los equipos de los usuarios, sino que queda blindada con métodos avanzados de cifrado: o sea, es capturada detrás de unas claves robustas y, a menos de que la persona o la empresa paguen al atacante, los datos se pierden para siempre.

Hay varios caminos a través de los cuales un equipo puede resultar infectado, pero usualmente el ataque viene disfrazado de comunicaciones legítimas que le llegan a la persona a través del correo, por ejemplo, en un email malicioso que se hace pasar por una entidad bancaria o una empresa prestadora de servicios. Algunos ataques, se ha reportado, han podido aprovecharse de la lista de contactos de una persona para simular ser un mensaje de una persona conocida.

Según cifras del Centro Cibernético de la Dijin, citadas por ESET, este año se han registrado 100 casos de ransomware en Colombia. En 2015, este número se ubicó en 13 denuncias. “Las cifras probablemente son mucho más altas en la realidad, pues la mayoría de casos no son reportado ante las autoridades”, cuenta Denise Giusto, experta en el tema de esta compañía.

Giusto estuvo en Bogotá este miércoles como parte de Segurinfo, un congreso regional de seguridad digital, a donde llegó para compartir la experiencia de una empresa mediana en Argentina que terminó pagando el rescate de su información corporativa.

Aprender a través del ejemplo

“El ataque llegó a un servidor que corría una versión no actualizada de Windows Server 2003. El atacante explotó una vulnerabilidad que quedó expuesta por no actualizar el sistema operativo y desde ahí cifró las bases de datos de la compañía. En este caso, el backup de los datos estaba conectado al mismo servidor, así que el respaldo también resultó cifrado”.

Primera lección en protección contra ransomware: hacer backup de toda la información sensible es importante, pero también resulta vital guardar ese respaldo en un repositorio seguro.

“El ataque muy probablemente pudo ser realizado porque algún empleado de la empresa se expuso navegando en internet”, cuenta Giusto. Según las cifras de ESET, 36% de las víctimas de ransomware se infectan a través de un archivo malicioso y 28% lo hacen al hacer clic en un enlace.

“Después de intentar romper el cifrado, la empresa buscó a los atacantes. En estos casos suele haber un tutorial de cómo encontrarse en la red con los criminales quienes, por extraño que suene, tienen un excelente servicio al cliente, a su víctima. Su interés, en últimas, es recibir dinero a cambio de la información”.

Datos informales cuentan que en economías emergentes el porcentaje de usuarios (personas o empresas) que terminan pagando rescate de su información está entre 1% y 5%; en países más desarrollados este número está entre 5%y 7%.

“La empresa contactó a sus atacantes a través de la red Tor y ahí supieron que el precio de sus bases de datos era de ocho bitcoins, que en la época representaban unos US$3.000. Intentaron bajar el precio, sin éxito, y al final terminaron pagando. Los mismos criminales les dieron una herramienta para descifrar su información”. Giusto cuenta que, en medio de todo lo paradójico y angustiante que puede ser el ransomware, ha pasado que la solución para rescatar la información a veces trae problemas y, entre víctimas y victimarios, terminan arreglando el problema.

“Tenemos que entender que, como usuarios, no debemos llegar al punto de preguntarnos si pagamos o no pagamos. Existen medidas de protección, como tener soluciones de seguridad (antivirus), cifrar la información sensible, hacer respaldo de los datos más importantes, tener políticas de seguridad efectivas a nivel empresarial. Si no hay backup, ni hay ningún tipo de prevención, y se registra un ataque, lo que recomendamos es que el usuario averigüe qué variante de malware es. Fijarse si tal vez su muestra en particular puede ser vulnerable. No todas las muestras son tan sofisticadas como el caso de la empresa argentina. Algunas pueden ser quebradas y así se recupera la información”.

Temas relacionados

 

últimas noticias