No sólo arrebatos y boqueteros
:format(webp):quality(40)/https://ecosdiarioscdn.eleco.com.ar/media/2018/09/foto-doble-dos.jpg)
A pesar de que se evitó que la información saliera a la luz, empresas locales fueron víctimas de ataques de ransomware durante el último año. Pedidos de rescate en Bitcoin por equipos bloqueados
En el último año al menos media docena de grandes empresas necochenses han sido víctimas de ataques de ransomware, un tipo de programa malicioso que bloquea todas las computadoras que infecta y que pide un rescate para volver a permitir el acceso a los equipos.
De un momento a otro, en las pantallas de las computadoras aparece un mensaje un inglés que exige el pago de una suma en dólares para que la empresa o persona pueda volver acceder a su equipo.
El pago debe realizarse en Bitcoins, por lo que no se puede rastrear al secuestrador. Pero lo que es más preocupante es que la víctima no sabe si aún pagando podrá volver a utilizar su equipo y si los datos recuperados no estarán infectados.
Debido a las características de los ataques y a lo delicado de la información afectada, ninguna empresa va a confirmar que fue blanco de un secuestro virtual: más allá del daño económico que este tipo de delito origina, están en juego cuestiones más delicadas, como la confianza y los datos de los clientes.
Entre las víctimas locales hay desde alguna cooperativa hasta empresas del rubro comercial, pero también algunos particulares.
Si bien las consecuencias fueron en algunos casos desastrosas y obligaron a regresar al respaldo en papel, el mayor daño fue sobre la confianza de los usuarios, que descubrieron de un momento a otro que ninguna medida de seguridad es suficiente, ya que la principal vulnerabilidad es el factor humano.
Secuestrados
Si bien en las empresas afectadas se pensó en un primer momento que sus sistemas habían sido hackeados, no tardaron en darse cuenta de que se trataba de un malware, un programa malicioso producido en algún lugar del mundo pero sin un blanco específico.
El 12 de mayo del año pasado comenzó la propagación mundial de Wannacry, un ransomware que pronto alcanzó 150 países y que una semana después había provocado 2.400 afectados en nuestro país.
Si bien el mismo día del ataque, el sistema de estacionamiento medido de nuestra ciudad se cayó como consecuencia de los cortes de Internet, Wannadry no tardó en llegar a nuestra ciudad. La propagación no se detuvo allí y este año se produjeron otros casos a nivel local.
Los afectados no brindaron información al respecto para no quedar en evidencia ante sus clientes y por ello el ataque pasó prácticamente desapercibido y el ataque se convirtió así casi en una leyenda urbana.
Un especialista consultado que prefirió no dar su nombre dijo que fueron al menos cuatro las empresas atacadas, pero señaló que nadie confirmaría que había sido víctima de los secuestros.
Mientras tanto, otros técnicos consultados señalaron que los ataques debieron ser consecuencia de la falta de actualización de los equipos afectados o del error humano de sus usuarios.
Indicaron también que no se trata de ataques dirigidos específicamente a empresas, sino de virus de diseño que se propagan a través de la red y que pueden ingresar al sistema mediante un link en un correo electrónico o, por ejemplo, al conectar un pendrive infectado mediante USB.
“Lo que se debe tener en claro en estos casos es que no hay que pagar rescate, porque es una estafa”, indicó Adrián Amoresano, un técnico informático con amplia experiencia en mantenimiento de equipos y redes.
La propagación
A un año del inicio de la propagación de Wannacry, en mayo pasado se informaba que el 40% de las computadoras de nuestro país continuaban en estado de vulnerabilidad ante este tipo de agresión cibernética.
Esto se debe a que ese porcentaje de las computadoras con el sistema operativo Windows aún son vulnerables por falta de actualización.
“Con un sistema operativo activo, que reciba actualización críticas de seguridad, con el firewall activado y con buenos antivirus no debería entrar malware”, señaló Pablo Brignoles, con 20 años de experiencia en informática.
“Este tipo de ataque ocurre cuando el sistema operativo no está activado o tiene un antivirus gratuito, que no son del todo efectivo”, agregó. “Con los antivirus de alta gama es prácticamente imposible que entre ese tipo de malware”.
“Este tipo de malware lo que hace es buscar información, encriptarte el disco y pedir rescate, después sigue siendo un virus”, añadió.
En el caso de que el ataque se registre, señaló Pablo, es imposible recuperar el sistema porque el cifrado que utilizan los ciberdelincuentes para encriptar los datos es inviolable.
Cuidados primarios
Amoresano señaló que el tipo de ataque de ransomware registrado el año pasado “es un keylogger”, un programa que se oculta en una computadora y registra toda la actividad del teclado, permitiendo de esta forma robar datos de contraseñas y cuentas bancarias.
“El objetivo de este tipo de virus es estafar a la empresa o a las personas, por eso no pagaría nada”, indicó Adrián que tiene a su cargo una red de 25 computadoras del Hogar Raimondi.
Señaló que una institución como el hogar habitualmente no es blanco de este tipo de ataques ya que no manera archivos sensibles o que puedan tener información de interés para los ciberdelincuentes.
Aunque la mayoría de las veces los ataques no son elegidos por personas, sino que son productos de una propagación.
Por ello, una de las principales vulnerabilidades de los sistemas es el factor humano. Conectar un dispositivo USB a una red para escuchar música, por ejemplo, o para cargar unos archivos, puede ser fatal.
“El USB es un medio que puede transmitir archivos infectados de un equipo a otro sin que lo sepa el usuario”, dijo Amoresano. “El primer error humano es transportar archivos en un dispositivo que no ha sido analizado previamente para descartar que contenga una infección”.
Pero señaló además que los usuarios están expuestos a este tipo de amenazas al abrir un mail desconocido o utilizar dispositivos USB sin analizar. “Los teléfonos inteligentes son muy vulnerables”, indicó. También las redes sociales y los sistemas de mensajería como Whatsapp, en la que las personas reciben fotos y enlaces cuyo origen desconocen y pueden llevarlos a descargar todo tipo de virus o malware.
Bancos en peligro
Hace meses la empresa de seguridad informática Eset informa de ataques relacionados con el sector financiero y agosto no ha sido la excepción, incluso con la banca española siendo protagonista en más de una ocasión.
Un ejemplo lo tenemos en el malware Cobalt, y es que, a pesar de que fue detenido el pasado mes de marzo en España el que se cree que fue uno de sus principales responsables, dicho malware sigue en activo apuntando a bancos en Rusia y Rumanía mediante ataques dirigidos de phishing o enlaces maliciosos dentro de un email.
Una de las amenazas descubierta durante 2018 que tiene a los bancos en su punto de mira es BackSwap. Hasta hace poco tan solo había afectado a bancos polacos, pero investigaciones recientes han demostrado que este troyano bancario ha empezado a incluir a los usuarios de seis bancos españoles entre sus objetivos.
Este malware suele llegar a sus víctimas mediante un correo malicioso con adjunto ofimático y es capaz de utilizar scripts maliciosos para modificar lo que ven las víctimas en la web de su banco e interceptar los datos confidenciales de los clientes.
Siguiendo con el sector financiero español, el Banco de España, y más concretamente su web oficial, fue una de las víctimas de #OpCatalonia lanzada por Anonymous y que, mediante ataques de denegación de servicio, afectó a varias webs de numerosos ministerios y también a organismos pertenecientes al poder judicial. Todo apunta a que durante las próximas semanas veremos más incidentes similares conforme nos acerquemos al aniversario del 1-O.
La heladera infectada
Los ataques al Internet de las cosas han tenido su protagonismo en varios frentes. En su vertiente más clásica, más de 200.000 routers del fabricante Mikrotik se vieron afectados por una campaña masiva de criptojacking que modificó su configuración para inyectar una copia de Coinhive, el conocido script de minería para navegadores, en algunas partes del tráfico web de los usuarios. Como detalle importante, este ataque solo afectaba a aquellos routers que no hubieran parcheado la vulnerabilidad que apareció el pasado mes de abril.
Además, la botnet Mirai siguió haciendo de las suyas con nuevas variantes que afectan cada vez más a un número mayor de dispositivos. Durante las últimas semanas se han estado monitorizando variantes de este malware, y viendo cómo crecía el número de dispositivos de todo tipo que caían en sus garras, desde routers y cámaras IP a dispositivos Android.
Este mayor número de dispositivos afectados se debe a que las nuevas variantes han sido creadas usando un proyecto de código abierto de nombre Aboriginal Linux, lo que facilita la compilación del malware multiplataforma.
La seguridad de los dispositivos médicos ha vuelto a la primera plana tras una presentación realizada en Blackhat que analizaba las posibles formas de aprovechar vulnerabilidades en bombas de insulina. No es la primera vez que este tipo de dispositivos se encuentran en el ojo del huracán, ya que un ataque a dichos dispositivos podría ocasionar graves consecuencias.
Entre las acciones maliciosas que se analizaron se encontraría la modificación de la dosis suministrada a la víctima o, incluso, en el caso de un marcapasos, provocar un shock eléctrico.
