Javier Rodríguez Tarlogic
Javier Rodríguez Director del Departamento de Ciberinteligencia & Riesgos Globales Tarlogic Security

Ransomware: un viaje de vuelta al lápiz y el papel

El reciente ataque que inutilizó durante días la red de servidores del SEPE ha puesto de manifiesto de nuevo la capacidad y la sofisticación alcanzada por los grupos de ransomware

Ransomware.

Un viaje al pasado. A aquella época en la que los ordenadores eran algo así como cohetes. Fascinantes artilugios al alcance de apenas unos pocos. Hace solo unos días, en algunas oficinas del Servicio Público de Empleo Estatal (SEPE) los funcionarios tuvieron que recurrir al lápiz y al papel para ayudar a unos ciudadanos ansiosos. Y angustiados. Habían acudido allí para renovar o solicitar sus prestaciones por desempleo, pero se encontraron con una realidad inquietante. Los sistemas del ente público habían quedado inoperativos por el ataque de un grupo de ransomware.

La capacidad de estas organizaciones de inhabilitar o paralizar empresas u organismos públicos enormemente sensibles para la sociedad se ha disparado a lo largo de los últimos tiempos.

Durante el año pasado se documentaron ataques con ransomware en apenas unas horas (consulte aquí varios de los casos) cuando hasta hace no mucho se necesitaban días o incluso semanas para llevarlos a cabo.

El cibercrimen se ha convertido en una jugosa industria que no descansa. Códigos maliciosos como Ryuk asaltan cada semana a decenas de empresas y administraciones. Y este no es más que un ejemplo.

Clop, Conti, Doppelpaymer, Netwalker, Ragnar, el recién extinto Maze… La cantidad de grupos de ransomware operativos y prestos para hacer de las suyas no para de crecer.

Hay mucho dinero en juego y la capacidad de los malos para ocultarse tras esa escena nebulosa que es la Dark Web ofrece un contexto idóneo para lanzar emboscadas y volver a casa con el zurrón lleno y el enemigo a miles de kilómetros [físicos] de distancia.

Hablar de cifras sobre el impacto del ransomware es un ejercicio en cierto modo osado porque la mayoría de los ataques no trascienden. Son muchas las empresas que prefieren pagar a afrontar la crisis de reputación (y en muchos casos de negocio) que supondría esa asunción de responsabilidades a la luz pública.

Con todo, informes como el recientemente divulgado por la consultora Cybersecurity Ventures sostienen que los ciberataques con ransomware generan daños directos por valor de más de 10.000 millones de dólares al año. Seguramente una cifra que esté ya desfasada cuando lea estás líneas.

En el caso del SEPE, aunque oficialmente no ha trascendido ninguna información relativa al rescate, existe consenso en la comunidad de ciberseguridad sobre la existencia del mismo.

Algunos medios se atrevieron incluso en los días posteriores al colapso a cuantificarlo: algo más de 110.000 euros. Casualmente una cifra casi idéntica al coste medio de los ataques con ransomware estimada en el primer trimestre del año pasado.

Sea esta o no la cantidad que reclamaban, lo cierto es que existe un modelo de negocio detrás de estos asaltos. Una sofisticación cada vez mayor asociada a los actores que los protagonizan y que amplifica hasta niveles nunca antes conocidos el potencial destrozo que pueden causar.

La existencia de chats que atienden a las empresas o administraciones extorsionadas a cualquier hora y día de la semana habla a las claras de esas estructuras jerarquizadas y perfectamente segmentadas que orbitan alrededor de los grupos de ransomware.

Cada eslabón de la cadena tiene su misión. Y suelen ejecutarla con una disciplina marcial. Y una eficacia a prueba de dudas.

Pero es que hay mucho más. Acudiendo al lugar adecuado, hoy en día no resulta complicado hacerse con un programa malicioso como el que inutilizó durante días los sistemas del SEPE. Como en el narcotráfico o en el crimen organizado, en el universo digital los malos suelen entenderse y es frecuente encontrar asociaciones entre distintos actores de la cadena de ransomware.

Como los desarrolladores que cobran una comisión de la cantidad obtenida por el extorsionador o incluso crean troyanos a la carta para sus clientes. Un severo contratiempo este último para la empresa o entidad agredida porque este tipo de programas suelen invalidar los antivirus más actualizados.

Llegados a este punto, parece una evidencia, en realidad una obligación, lo que les espera a las empresas y administraciones públicas hoy y en el futuro: prepararse para la batalla.

Apoyarse en la ciberseguridad para levantar escudos de defensa con los que protegerse contra grupos de cibercriminales que pueden echar por tierra el trabajo de muchos años.

Contratar servicios de red team o threathunting para definir las estrategias de contención y prevención de vulnerabilidades, también para compartimentar las redes y los sistemas, o de ciberseguridad para manejar esa información sensible que puede ahorrar más de un disgusto a la organización, parecen indispensables.

Pilares fundamentales si lo que se pretende es estar preparado contra las incontables amenazas que provienen de la Red.

Ha llegado la hora de actuar. En nuestro mundo, tentar a la suerte nunca ha sido una buena opción. Hay demasiado en juego.