A continuación recogemos la entrevista realizada al CEO de All4Sec, Alfonso Franco, que sirvió de referencia a la publicación aparecida en Dirigentes Digital el pasado mes de enero de 2022
Los ataques de ransomware no paran de crecer en número. ¿De qué forma también están creciendo en complejidad?
Quizás no deberíamos hablar tanto de complejidad sino de automatización. Algunos de los malwares más activos del mercado, como REvil o Conti, se ofrecen actualmente a delincuentes que son verdaderos profanos en tecnología como aplicaciones de pago.
Se trata de servicios que ponen a disposición de “sus clientes” mecanismos casi automáticos para elegir vectores de ataque, gestionar el lanzamiento del malware, administrar el proceso del chantaje e incluso para seleccionar la forma en que se realizan los pagos; toda “una cadena de valor” perfectamente engranada.
Hay estudios que indican que dos tercios de los ataques de ransomware parten de estas plataformas donde el cifrado de la información actúa como elemento central del proceso.
¿Qué valoración hacen de la evolución de los ciberataques de ransomware en los últimos años?
El crecimiento del ransomware ha sido prácticamente exponencial. Por ejemplo, en 2021, los ataques se doblaron respecto a los números del año 2020. Algunos analistas señalan que actualmente se produce un ataque de ransomware en el mundo cada 11 segundos.
Los casos de SolarWinds o de Colonial Pipeline han sido probablemente los más emblemáticos durante 2021, tanto por el modelo de propagación, basado en la cadena de suministro software, como por tratarse de infraestructuras esenciales que resultan críticos para el funcionamiento de la sociedad.
Además, hay que tener en cuenta que los ataques de ransomware ya no se limitan a inutilizar servicios a través del cifrado, sino que, como medida de garantía adicional, roban (exfiltran en terminología del sector) los datos, generando una doble amenaza de chantaje para sus víctimas.
¿Qué previsión hacen para el futuro?
Lamentablemente las previsiones no son halagüeñas. Es de esperar que las plataformas comercializadoras de ransomware en la DarkWeb (RaaS) sigan creciendo dentro de un ecosistema mucho más sólido. Al fin y al cabo, siempre que hay beneficio económico, la colaboración dentro del mundo de la ciberdelincuencia es mucho más habitual que entre aquellos que debemos combatirla.
El secuestro de datos se ha convertido en una de la herramientas más lucrativas y efectivas de los cibercriminales. ¿Cuáles son sus principales vías de acceso en las empresas?
Los vectores de ataque más habituales, pese a ser ampliamente conocidos, siguen siendo el phishing, el robo de contraseñas o las conexiones RDP. Obviamente existen otras formas de acceso ligadas a nuevas vulnerabilidades que, una vez identificadas, se utilizan como mecanismos de entrada a los sistemas. No hace mucho veíamos un ejemplo en la librería de Apache Log4j donde una vulnerabilidad crítica comenzó a ser utilizada para ejecutar ataques de ransomware apenas unas horas después de ser divulgada.
¿Cuáles son los principales argumentos en los que se apoyan los dirigentes para pensar que deberían pagar el rescate?
Normalmente las razones se centran en la recuperación inmediata del control del servicio. Ante un ataque de ransomware la dirección de una compañía tiende a valorar el impacto que puede tener para su negocio la indisponibilidad de unos servicios o unos datos que pueden resultarles esenciales.
A ello hay que unir otras consideraciones como el riesgo de divulgación pública de información confidencial o incluso el impacto en la imagen que podría tener para la compañía el hecho de haber sido atacada.
A todo ello se une la presión temporal que imponen los extorsionadores que hace de la decisión de pagar una cuestión crítica para la supervivencia del negocio. Al final, lo que manda es el balance coste-beneficio. Así, por ejemplo, los delincuentes amenazan con subastar los datos robados, divulgar el ataque a la prensa, llamar a los clientes de la compañía o con presionar a los empleados con amenazas personales.
En este contexto, los directivos de las compañías deben decidir si disponen (de forma autónoma o apoyándose en terceros) de los medios para recuperar el control de su negocio. Y las dudas sobre la viabilidad de recuperar ese control actúan como elemento de presión.
Desde All4Sec, ¿por qué no recomiendan en ningún caso pagar un ataque de ransomware?
Las razones son varias, aunque, como bien señala, no pasan de ser recomendaciones. En primer lugar, porque pagar este tipo de rescates puede resultar ilegal. Por ejemplo, en EEUU y Reino Unido ya se están planteando muy seriamente convertir en delito este tipo de pagos. Además, pagar, sin informar a las autoridades de que se ha sufrido un ataque de ransomware (sobre todo cuando afecta a datos personales), supondrá un incumplimiento del RGPD que conlleva sanciones muy importantes.
Una segunda razón es que normalmente estos pagos se realizan a través de transacciones anónimas utilizando bitcoins. En este tipo de procesos no se garantiza la trazabilidad del pago o su posible recuperación. Así, todo pago realizado en bitcoins se perderá para siempre si el proceso no se completa con éxito.
Además, el pago no garantizará la recuperación y control de los datos robados. El proceso de descifrado de información en ocasiones resulta fallido, debido a errores en el propio software empleado por los delincuentes.
Pero aún hay más. Al tratarse de información en forma de datos digitales, es evidente que nada impide que los extorsionadores puedan duplicarlos y reutilizarlos en ventas fraudulentas a terceras partes interesadas.
Por último, y no menos importante, se debe tener en cuenta que si se paga un rescate se estará contribuyendo al crecimiento de una actividad ilícita. De sobra es sabido que gran parte del dinero obtenido por este procedimiento a menudo se reinvierte en crear aplicaciones de ransomware más eficaces que sirven para para cometer nuevos delitos o extorsionar a otras personas u organizaciones.
¿En qué medida consideran que el pago no tiene por qué garantizar la recuperación y control de los datos robados?
Si por recuperación se entiende tener una copia de los datos quizás se podrían encontrar mecanismos para reducir la incertidumbre. Al final, la recuperación de los datos se convierte en una cuestión de confianza en el ciberdelincuente. Sin embargo, nunca se tiene garantía de que el extorsionador no se haya quedado con una copia y si estos datos en un futuro podrían utilizarse en nuevas extorsiones. Es así de simple.
¿En qué situaciones pagar un rescate de este tipo puede resultar ilegal en España? ¿Podrían poner un ejemplo práctico?
El pago de un rescate puede suponer una vulneración de la legislación españolas en varios aspectos. El primero en cuanto a la comisión de delitos de colaboración con bandas u organizaciones criminales; también en cuanto a la legislación contra el blanqueo de capitales; o incluso en cuanto a cuestiones de administración desleal en el caso de los gestores de empresas.
Pero no se queda solo ahí; habitualmente quien realiza un pago a un grupo de ciberdelincuente suele ocultar que sus datos han sido robados y por tanto estaría cometiendo un nuevo delito recogido en el RGPD que puede acarrear sanciones de hasta 20 millones de euros o el 4% de su facturación anual (la mayor de las dos). Así que, pocas bromas se pueden hacer frente a este tipo de situaciones.
En un artículo comentan que los pagos de los ataques de ransomware que las empresas deciden pagar suelen efectuarse a través de procedimientos anónimos con bitcoins. ¿Podrían explicar cómo se llevan a cabo y qué riesgos conllevan?
El pago con bitcoins, o con otro tipo de criptomonedas, es lo más habitual en este tipo de extorsiones. Normalmente, los delincuentes proporcionan un código de monedero (wallet) donde proceder al pago.
Lo normal es que las víctimas reciban un correo o puedan acceder a un fichero tipo texto donde está recogido este código. Hay que decir que estos monederos son todos anónimos y que solo su propietario puede acceder a su contenido.
Por tanto, lo primero que hacen las víctimas es crear su propio monedero y comprar bitcoins en cualquier plataforma de las múltiples que existen en el mercado.
A partir de ahí, solo tienen que realizar la transferencia al número de monedero proporcionado, bajo la premisa de que, una vez que esta se lleva a cabo, la operación será irreversible. De esta forma los bitcoins quedarán en posesión de quien sea el dueño del otro monedero.
A partir de ese momento, y con los bitcoins en su poder, los ciberdelincuentes desencadenarán todo un proceso de fragmentación de pagos y cobros con otros monederos también anónimos que harán prácticamente imposible trazar dónde han ido a parar los bitcoins iniciales. Y llegados al punto final, los monederos receptores de los últimos bitcoins venderán las criptomonedas y las convertirán en dinero fiduciario. De hecho, el procedimiento no impediría que los bitcoins fueran utilizados como pago por otros servicios y mercancías.
¿En qué medida aquellas empresas que pagan un ciberataque es probable que sufran después una segunda extorsión?
La probabilidad es muy alta. Y no lo decimos nosotros, lo dicen los datos. Según estudios del sector, el 80% de aquellos que pagaron un rescate de ransomware se vieron afectados por un segundo intento de extorsión; y cerca de la mitad de esas compañías fueron chantajeadas por los mismos atacantes. Es el concepto que los ciberdelincuentes tienen del cumplimiento del compromiso adquirido: al fin y al cabo, está en su condición. No creo que haya mucho más que decir.
¿Cómo puede afectar el pago de un ciberataque a la reputación de la empresa?
En realidad, depende de muchos aspectos: de la información que ha sido robada, del impacto que tienen su indisponibilidad, de la existencia de procedimientos alternativos para recuperar los datos…
Es posible que el pago se considere como la menor de las preocupaciones si, por ejemplo, está en juego la vida de las personas, cosa que puede ocurrir cuando los servicios de sanidad sufren uno de estos ataques. Por eso, el pago de un ransomware resulta tan controvertido.
En cualquier caso, es cierto que el pago de un ciberataque pone en evidencia las debilidades en los mecanismos y los procedimientos de ciberseguridad de una organización; y eso siempre afectará a su reputación como garante de un servicio.
Publicación en Dirigentes Digital.
