El secuestro de datos, un cibercrimen en auge

Los datos y archivos de los usuarios y empresas son uno de los bienes más preciados por los ciberdelincuentes. En esta oportunidad, el experto en ciberseguridad y director del Laboratorio de Ciberseguridad de la Universidad Nacional de San Martín, Pablo Daniel Russo, cuenta todo sobre el Ransomware o secuestro de datos en español, una de las herramientas favoritas de los cibercriminales para obtener información y documentos personales en la red.

En la actualidad los cibercriminales están perfeccionando sus técnicas y vectores de ataque, como en este caso es el secuestro de datos, delito que se ha vuelto moneda corriente en el mundo cibernético. Esto se debe a la existencia, entre otras cosas, de malwares como los Ransomware, que permiten secuestrar grandes volúmenes de información y luego pedir rescate bajo la amenaza de difundir todos los datos recolectados.

“Un ransomware es un tipo de programa dañino que restringe el acceso a determinadas áreas o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción. Hoy en día los creadores piden que el pago se efectúe usualmente por criptomonedas y en menor medida mediante por tarjetas de crédito u otros medios”, explicó al respecto Pablo Russo.

Según detalló el experto, existen dos tipos de ransomware: el de bloqueo, que apunta a bloquear funciones básicas del dispositivo, y el de cifrado, que encripta los archivos más importantes de la víctima, como fotos, documentos y videos, permitiendo usar el equipo pero sin abrir ningún archivo y exponiendo una ventana con una leyenda que exige el pago de un rescate y, usualmente, una cuenta regresiva.

También existen distintos grupos criminales dedicados exclusivamente a este tipo de delitos quienes ganaron gran experiencia en los últimos años. Como se puede apreciar en el informe brindado por la firma ESET, (Empresa líder en software antimalware) en el año 2023 existieron 5 grupo muy activos en sudamérica: SiegedSec, Nokoyawa, ALPHV, Stormous y su alianza con GhostSec y Vice Society, los cuales utilizan las últimas variantes de Ransomware a fin de evitar la remediación por parte de sus víctimas como también se caracterizan por su capacidad de ocultarse en la red.

 

ATAQUES

Russo, en base a un informe de Fortinet, indicó que sólo en Argentina se registraron más de 1.200 millones de intentos de ciberataques durante el primer semestre de 2023 y particularmente el ransomware aumentó 13 veces con respecto a su incidencia en el mismo periodo de 2022, contando con un crecimiento de variantes del 175%.

“Los ataques pueden llegar a las víctimas a través de una variedad de métodos, como el correo electrónico (phishing), publicidad maliciosa (malvertising), descargas de software comprometido y aplicaciones móviles infectadas”, indicó el experto en ciberseguridad sobre los diferentes canales por los que los usuarios pueden sufrir este tipo de ataques.

Sobre las consecuencias de ser víctima de un ransomware, el especialista y diplomado en Ciberseguridad por la UP y CEH amplió: “La pérdida total de información es uno de los casos más comunes ya que no se suele contar con backups periódicos. Puede generar pérdidas económicas importantes ya que la restauración involucra costosas contrataciones de especialistas. Por último, si somos parte de una red infectada nuestro equipo puede formar parte de la distribución del malware de cara al exterior y generarnos una mala reputación”.

Si bien es cierto que existen algunas herramientas destinadas a combatir el ransomware y ciertas herramientas diseñadas para desencriptar los archivos bloqueados por el malware, Russo aclaró que esta solución “no es común” debido a la gran cantidad de variantes que existen.

“Es probable técnicamente pero no común”, sostuvo y explicó: “Hay cientos, sino miles, de cepas de ransomware en circulación y esta cifra sigue aumentando a medida que los actores malintencionados desarrollan nuevas versiones para atacar a usuarios individuales, empresas, organizaciones y gobiernos”.

De esta manera, Russo, quien también es miembro del cuerpo de Inteligencia de la División Delitos Tecnológicos, Departamento Ciberdelitos de la Policía Federal Argentina, señaló que “la diversidad de cepas incluye diferencias en su funcionamiento, métodos de propagación, algoritmos de encriptación, demandas de rescate y otras características técnicas” y que “algunas cepas pueden ser variantes modificadas de otras, mientras que otras pueden ser completamente nuevas en su diseño y enfoque”.

“De la misma manera podemos hablar de las curas, ya que cada cepa suele tener su propio algoritmo de desencriptación el cual podría o no estar disponible para su utilización. Es posible eliminar un ransomware y recuperar los archivos, pero las probabilidades de que esto ocurra es muy vaga ya que deberíamos tener la suerte de que un atacante poco experimentado utilice un ransomware que ya tenga distribuida la ‘cura’”, aseveró.

 

PERDIDAS

En 2023 algunas de las empresas atacadas fueron PAMI, INTA, Anses, la Comisión Nacional de Valores, Ivess, Cetrogar, La Segunda, Papel Prensa, entre otras.

Al respecto, Russo asegura que "los ataques de ransomware pueden implicar un impacto financiero desastroso para las empresas mediante costos directos e indirectos.

Los costos directos por lo general contemplan el costo de cualquier pago de rescate (a cambio de una clave de desencriptación para desbloquear los datos cifrados, una promesa de no seguir adelante con las amenazas para filtrar datos robados, o montar un ataque de negación de servicio a los servidores públicos de la empresa), así como el costo de contratar expertos para eliminar el malware y restaurar los sistemas perjudicados.

Los costos indirectos pueden contemplar pérdida de productividad e ingresos por causa de la inactividad, daño a la reputación, multas por violación de cumplimiento y gastos legales".

Accenture detalla que el costo financiero de los ataques ransomware para las empresas aumentó en 27,4%. En promedio el costo financiero de un ataque ransomware, incluyendo lo invertido en el rescate, es de 133.000 dólares.

La demanda del rescate en ocasiones se determina como un porcentaje de los ingresos anuales de la compañía objetivo (generalmente el 3%).

Según las estimaciones de los expertos, el pago por rescate solo considera una pequeña porción (a menudo tan solo el 15%), de los costos generales asociados con el ataque de ransomware. Evidentemente, el costo del rescate excede por mucho cualquier inversión en prevención, que de hecho, es la mejor práctica que puede implementar una empresa.

Cabe aclarar que el especialista en seguridad confirmó que los ransomware también pueden atacar a los teléfonos celulares y otros dispositivos móviles. “Inicialmente se dirigían a computadoras personales, con el aumento del uso de dispositivos móviles, los ciberdelincuentes han desarrollado variantes de ransomware específicamente diseñadas para atacar sistemas operativos móviles como Android e iOS”, detalló.

Ante una amenaza tan peligrosa y de alto riesgo como el ransomware, Russo hizo especial hincapié en la prevención de ataques para evitar sufrir este tipo de situaciones.

“Algunas recomendaciones son la capacitación, mantener el software actualizado, utilizar soluciones de seguridad como antivirus y antimalwares, hacer copias de seguridad regulares y ser cauteloso al navegar por internet, evitar interactuar con emails sospechosos, activar las configuraciones de seguridad, y, en el caso de las empresas, también realizar campañas periódicas de phishing ético, realizar pruebas de infección por ransomware y contar con sistemas de monitoreo proactivos”, amplió.

Al respecto, el experto concluyó: “Una empresa puede contar con Firewall, IPS, IDS, software antimalware pago y software especializado en detección por heurística. Como usuarios finales quizás no podamos invertir semejante cantidad de esfuerzos en una computadora personal, pero podemos contar con lo básico y de buena calidad. Los atacantes suelen buscar empresas y no tanto personas en este tipo de ataques”.