Semana 35
ISSN 2603 - 9931
Por ataque ransomware nos referimos a códigos dañinos que impiden o restringen el acceso a un ordenador, bien bloqueando el sistema operativo o bien encriptando los ficheros del mismo, a cambio del pago de un rescate para la liberación del equipo o su información[i].
La amenaza de los ataques con rasomware es raras veces dirigida a objetivos concretos. Los hackers escanean elevados números de sistemas en busca de vulnerabilidades, como fallos en los protocolos de acceso remoto a los equipos informáticos o las redes, pese a que es cierto que cuando los hackers se cercioran de que el objetivo es una administración pública, el ataque se escala hacia los sistemas y datos más sensibles o de mayor valor, de modo que la presión sobre la administración que se encuentra sus datos encriptados e inaccesibles se incrementa exponencialmente. Este sistema de ciberataque, que se lleva haciendo desde hace más tres décadas con medios más rudimentarios -un ordenador era infectado y encriptado por el virus, el usuario debía mandar un cheque por correo a países como Panamá y días más tarde recibía el programa para recuperar sus datos-, se ha multiplicado exponencialmente gracias a las dificultades de rastreo que suponen los nuevos medios de pago y, especialmente, el uso de criptomonedas[2]. Del mismo modo, los ataques ransomware se han criminalizado, en el sentido de que como ya sucediera con los ataques DDoS –Distributed Denegation of Service, llevada a cabo a través de botnets que infectan redes enteras de ordenadores-, también han comenzado a aparecer ataques “ransomware as a service”, donde los objetivos a atacar son más específicos y el ataque se realiza por encargo[3].
Los ataques ransomware cobraron especial notoriedad, no obstante, tras el ataque global del gusano Wannacry, en mayo de 2017. Según Europol, el ataque infectó a más de 200.000 ordenadores en 150 países, entre los que también se incluía España. Principalmente atacó, siguiendo el ya mencionado sistema de escaneo masivo de vulnerabilidades, a entidades cuyo nivel de ciberseguridad era bajo, entre ellos hospitales –la red hospitalaria británica, sin ir más lejos, quedó temporalmente colapsada.
Asociado a este ataque masivo sobre redes con vulnerabilidades, el pasado 7 de mayo se producía uno de los ataques ransomware más paradigmáticos sobre la administración pública local estadounidense en la ciudad de Baltimore, donde el secuestro de datos ha impedido durante semanas acciones tan básicas por parte de los usuarios como pagar el agua por internet. El secuestrador pedía 13 bitcoin -unos 88000 euros-, para desencriptar los datos secuestrados, si bien el alcalde, siguiendo las directrices del FBI, se ha negado. El Estado de Maryland asegura que la administración local había sido infectada por un ataque phishing, donde muchos funcionarios recibieron un email de una web conocida, que realmente era una suplantación de la identidad original, y que, tras clickar en ella, abrió las puertas a los hackers para entrar en la red municipal de ordenadores.
Una vez detectado el ataque, el ayuntamiento notificó la situación al FBI, apagaron sus sistemas digitales y reinició sus sistemas analógicos para evitar que el virus continuase extendiéndose, pero buena parte de la estructura digital ya estaba afectada, imposibilitando el acceso a las plataformas de voice mail, email, la base de datos de multas de aparcamiento y el sistema de pago online de recibos del abastecimiento de agua e impuestos de vehículos, como muestra este testimonio de una usuaria recogido por El Pais: “La última factura del agua que había recibido Nieves cubría hasta el 24 de abril. Además de pagarla, quería saber cuánto debía hasta ahora. Pero el sistema solo cuenta con los datos de los vecinos hasta el 10 de mayo. De ahí en adelante no se sabe cuánta agua han gastado, ni tampoco qué multas de tráfico tienen impagadas”. El ataque también ha afectado el cobro de impuestos relacionados con la propiedad de inmuebles, lo cual está afectando también al mercado inmobiliario y de inversión[4]. Un mes más tarde, la ciudad -de más de 600000 habitantes, con lo que ello conlleva en provisión de servicios- continuaba paralizada con muchos de sus servicios paralizados o ralentizados al deber gestionarse de forma manual.
En resumen, el ataque de ‘Robin Hood’ le costará a Baltimore al menos 18,2 millones de dólares entre ingresos perdidos o retrasados, los costes de restaurar los sistemas, o la formación de un “recovery team” contratado ad hoc para trabajar en la limpieza del malware así como en análisis forense para proveer de datos específicos a la investigación del FBI. A todo ello que se une el perjuicio que supondrá para erario público y familias el poner al día los pagos de buen número de ciudadanos[5], que a día de hoy no pueden revisar sus facturas en línea, pagar multas de tráfico o registrar propiedades compradas, lo que, por ejemplo, también ha paralizado como se mencionaba anteriormente el mercado inmobiliario[5].
A finales del pasado mes de agosto, una situación similar se reproducía en Texas, donde al menos 22 municipios, principalmente en la zona rural del Estado, sufrieron también un ataque que inhabilitó el sistema de pagos y la impresión de documentos de identificación. En este caso, el ataque, perfectamente coordinado, no buscaba dañar una gran ciudad, sino una pléyade de pequeñas localidades sin capacidad como para contar con un departamento de seguridad informática que pudiera gestionar y minimizar los efectos del ataque. Todo apunta a que el autor detectó una vulnerabilidad en uno de los proveedores IT, que prestaba determinados servicios en la zona, y ha sido a través de esta parte de la red por donde se ha llevado a cabo el ataque, afectando por ello no al sistema en general, sino a la parte del mismo que dicho proveedor gestionaba.
Sin embargo, en muchos casos el problema no es tanto que se produzca un ataque a las administraciones públicas, con la consecuente pérdida de información, como sobre empresas privadas, donde el riesgo reputacional en muchos casos llevaba a no denunciar el incidente a la autoridad competente, en el caso español el INCIBE (Instituto de Ciberseguridad). La legislación española, en concreto, y tras la entrada en vigor del Reglamento General de Protección de Datos y la Directiva NIS, ambos europeos pero de obligada transposición al derecho español, convierten en obligatoria la denuncia del incidente, en el caso de empresas privadas al INCIBE, y en el caso de empresas o entidades públicas o privadas operadoras de servicios esenciales y los proveedores de servicios digitales ante el Centro Criptográfico Nacional (CCN-CERT) y los CSIRT (Computer Security Incident Response Team) de referencia, o, en caso de ser operadores críticos, ante el CNPIC[7]. Toda esta estructura de respuesta busca que, en caso de que alguno de los riesgos se materialice, sus consecuencias puedan mitigarse y se recupere el servicio a la mayor brevedad, conteniendo del mismo modo el daño reputacional para las entidades.
Por todo ello, se trate de entidades públicas o privadas, resulta fundamental por una parte que todo el personal cuente con unas nociones básicas en ciberseguridad y ciberamenazas potenciales, y por otro lado, de personal con formación específica, capaces de gestionar cualquier tipo de incidente, minimizando daños organizativos, preservando las evidencias sobre lo ocurrido para su adecuada resolución, y, en la medida de lo posible, garantizando la continuidad o restauración del servicio a la mayor brevedad.
[1] CCN-CERT (2019), Ciberamenazas y tendencias 2019, Ministerio de Defensa.
[2] Recorded Future (2019) Early findings: Review of State and Local Government Rasonmware attacks.
[3] CCN-CERT, Op. Cit.
[4] Chokshi, Niraj (2019) Hackers are holding Baltimore hostage: how they struck and what’s next. https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html
[5] Laborde, Antonia (2019) Un hacker paraliza Baltimore desde hace un mes.
[6] Laborde, Antonia (2019) “Robin Hood”, el pirata cibernético que tiene secuestrada la administración de Baltimore.
[7] CCN-CERT (2018) Aprobado el Real Decreto para transponer la directiva europea de ciberseguridad.