ransomware pago cibercriminales

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Lo he repetido hasta la saciedad, y de hecho tiene su propio apartado en esa guía que en su día escribí sobre qué hacer si somos víctimas de un ransomware.

[…] cerca del 30% de las víctimas que han pagado por un ransomware no han recibido la herramienta para descifrar sus archivos.

Esos son los datos que se manejan en el sector.

A fin de cuentas, hay que recordar que estamos ante cibercriminales, es decir, personas que viven de joder a otros. Así que una vez te comprometen la seguridad de la red de tu organización (o tu identidad digital), ¿por qué crees que van a aceptar que si les pagas te devuelvan el acceso?

Algo que pasa exactamente igual con el resto de campañas de phishing y extorsión.

Es raro que una vez entras en el embudo (haces el primer pago, que normalmente es bajo), no te pidan otro pago más, que por supuesto será el último (disclaimer: no lo será), sabedores de que una vez entras, la gente es menos reacia a parar (ya he perdido algo de dinero, tengo que seguir hasta el final…).

Pues esto mismo ha pasado recientemente (y se ha hecho público, porque pasar pasa todos los días) con una empresa (no dicen el nombre) en Reino Unido. El Centro Nacional de Seguridad Cibernética, por sus siglas NCSC, publicaba estos días un artículo (EN) en el que explicaba cómo esta compañía había pagado millones de libras en bitcoins para recuperar el acceso a sus archivos cifrados con un ransomware.

Los cibercriminales, en este caso, les dieron las claves, y en efecto pudieron recuperar el acceso a todo el contenido.

Pasaron unos días, y los mismos cibercriminales infectaron nuevamente a la compañía, exigiendo de nuevo un rescate que, nuevamente, la empresa ha pagado.

Hemos oído hablar de una organización que pagó un rescate (un poco menos de 6,5 millones de libras esterlinas con los tipos de cambio actuales) y recuperó sus archivos (utilizando el descifrador suministrado), sin ningún esfuerzo por identificar la causa raíz y proteger su red.

Menos de dos semanas después, el mismo atacante atacó la red de la víctima nuevamente, usando el mismo mecanismo que antes, y volvió a implementar su ransomware. La víctima sintió que no tenía otra opción que pagar el rescate nuevamente.

Ransomware: Riesgo vs subnormalidad

Lees estas historias y lo primero que se te viene a la mente es que los directivos de esa compañía se lo merecen… porque son gilipollas.

Osea:

  • Tienes la certeza que tu ecosistema digital es vulnerable a ataques, no porque te lo diga el departamento de IT, sino porque un puto grupo de cibercriminales te ha jodido la red.
  • Decides llevar la contraria a lo que los expertos recomiendan hacer, y por las prisas, les pagas a los mismos cibercriminales que te han jodido para que te dejen de joder.
  • ¿Y sigues tu vida tal cual, sin como mínimo preocuparte por cómo demonios consiguieron entrar, y poner todas las medidas necesarias a tu alcance para evitar ataques futuros?

En cuestión de 2 semanas la broma les ha salido por un mínimo de 13 millones de libras (el segundo pago SEGURO que ha sido mayor) menos en las arcas, más los daños que haya supuesto el estar unos cuantos días sin acceso a la red, y por ende, sin capacidad de operar con sus clientes, más los daños reputacionales que puedan venir relacionados con esa falta de soporte durante días (no queda claro si hablamos de una empresa B2B o B2C, pero a fin de cuentas durante esas horas en las que por dos veces estuvieron sin funcionamiento ya no solo habrán perdido potenciales clientes, sino también tendrán clientes descontentos al sentir que no han recibido el soporte por el que paga).

Todo por no haber hecho los deberes ni antes, ni aunque sea una vez que te pegan la hostia en la cara.

¿Y cuáles son esos deberes?

Pues ante un ransomware:

  1. Copias de seguridad distribuidas: Es decir, contenido clonado de forma periódica que te permita recuperar aunque sea la normalidad de las últimas horas o días al tener ese contenido fuera de la propia red y dispositivos que potencialmente han sido infectados.
  2. Trabajo en la nube: Y a poder ser con suites como la de Google, cuyas herramientas de office son, por así decirlo, inmunes al ransomware, al no alojarse per sé en tu ordenador. Y al contar, ya de paso, con un sistema de copias de seguridad y recuperación nativo (te joden un documento, resuelves el problema, recuperas una versión anterior, y tan feliz).
  3. Una política de acceso a directorios bien diseñada: Cada trabajador debería tener acceso única y exclusivamente a los directorios y programas de la red que necesita para realizar su trabajo. Ni más ni menos. De esta manera, cuando algo así ocurre no te deja a toda la compañía sin operatividad, sino «solo» al departamento afectado.
  4. Formación de los trabajadores: Porque aunque no dan datos, lo más probable es que ese ransomware entrase no por un fallo informático explotado en la red, sino por un fallo humano. X persona que probablemente tenía acceso a todo (punto anterior) abrió el documento que no debía o metió sus credenciales en donde no debía, permitiendo a los cibercriminales comprometer a toda la organización. Algo que se soluciona, o al menos se minimiza, con una formación adecuada de todos sus trabajadores en competencias digitales y seguridad básica.

Y sí, que soy consciente de que una cosa es decirlo, y otra vivirlo.

Que cuando de pronto un día te despiertas y descubres que todo lo que necesitas para que la compañía funcione está comprometido, lo humano es entrar en pánico y buscar solución lo antes posible. Sea o no ética, conlleve más o menos riesgo.

Pero de verdad que casos como estos donde la empresa tropieza dos veces contra la misma piedra no llego a comprenderlos.

Nadie está libre de que el día de mañana le comprometan. Nadie.

Por bien que hayas hecho todo, siempre hay un riesgo a que alguien consiga joderte.

Pero oye, no hay que ponerles las cosas fáciles. Que en esto de la seguridad informática a poco que hagas minimizas muchísimo el riesgo.

Cosa que esta compañía no hizo.

He aquí el resultado.

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias