A fondo: Cómo ataca el ransomware y cómo ponerle freno

Este 2016 se está convirtiendo en el año de la extorsión online. Armados con ransomware, los ciberdelincuentes consiguen amenazar tanto a un usuario cualquiera de Internet que navega tranquilamente desde casa como a autónomos o empresas de todos los tamaños. Pequeñas, medianas o grandes, públicas o privadas, todas las organizaciones se encuentran el punto de mira de un tipo de malware que es capaz de acceder a equipos informáticos, cifrar información sensible, bloquear el sistema y reclamar pagos a cambio de su restablecimiento, casi sin darle a tiempo a las víctimas a pestañear. De ahí su nombre, ya que “ransom” significa tanto “secuestro” como “rescate”, que es justo el proceso que se acciona en cuanto el dispositivo es infectado y, en consecuencia, bloqueado. Se trata de un chantaje puro y duro que pone en jaque el propio funcionamiento del negocio.

Aunque el ransomware no es un problema nuevo, sus niveles de crecimiento sí lo son. Está pasando de mal a epidemia en cuestión de meses. “El ransomware es, sin duda, una de las amenazas de seguridad más importante a las que se tienen que enfrentar las empresas en la actualidad”, determina Eusebio Nieva, director técnico de Check Point, que se muestra preocupado sobre su evolución. Porque, para más gravedad, “se suma a otras amenazas en aumento, como el malware móvil o los ataques dirigidos”. En el último Índice de Amenazas de esta firma de ciberseguridad, correspondiente al mes de septiembre, ya se identifica al ransomware como “una de las tres formas de malware más extendidas en el mundo. Locky, su variante más popular, fue el responsable del 6 % de todos los ciberataques a nivel global”, explica Nieva en declaraciones a Silicon.es, mientras traza una radiografía de la situación actual.

“Otra cuestión importante a tener en cuenta es que el ransomware no se limita sólo a atacar ordenadores, sino también a dispositivos móviles”, apunta este experto, donde “guardamos muchos datos importantes, tanto personales como profesionales”. Y eso lo vuelve más peligroso si cabe porque el blindaje de teléfonos y tabletas todavía deja bastante que desear. Existen las soluciones, pero no se aplican. “Ante la falta de concienciación sobre la seguridad móvil, los hackers lo tienen mucho más fácil a la hora de infectarlos”, advierte el directivo de Check Point, así que más vale comenzar a pensar en los “smartphones como objetivo del ransomware“. De lo contrario, el peligro seguirá existiendo y generando más y más ganancias. “El FBI prevé que los criminales de ransomware habrán acumulado aproximadamente 1.000 millones de dólares por extorsión en 2016, frente a los 30 millones que acumularon en 2015″, expone James R. Slaby, alto directivo de Campañas Mundiales de Acronis al que también ha consultado Silicon.es sobre el estado del ransomware.

Acronis considera que el ransomware es la amenaza de seguridad TI más costosa de toda la historia. Aparte, ha sido identificada como la que más rápido aumenta. En esto convienen los números de otros compañeros del sector. Por ejemplo, entre octubre de 2015 y junio de 2016, Trend Micro llegó a parar más de 100 millones de amenazas de ransomware. Y en el primer semestre de este año revelaba que la aparición de familias de ransomware se había duplicado prácticamente, con un incremento del 172 %. En sus informes trimestrales, la española PandaLabs también ha ido destacado el papel del ransomware, que lideró los ciberataques durante el segundo trimestre del año y ha reafirmado su empuje en el tercero. “Los proveedores antimalware están estupefactos ante este ritmo de crecimiento, que se ha visto además impulsado por el modelo de Ransomware as a Service”, indica James R. Slaby sobre el fenómeno RaaS.

“De hecho”, continúa este exanalista de la industria de seguridad TI ahora en las filas de Acronis, “los autores de ransomware están recabando líneas de distribuidores para conseguir que su malware alcance el mayor número de puntos finales posible, del mismo modo que los proveedores legítimos de SaaS diseñan líneas de distribuidores de valor añadido y otros proveedores de servicios para, así, potenciar la distribución de su producto”. Esto permitiría repartir beneficios entre quienes operan y los que se dedican a distribuir. A este respecto, desde las filas de Kasperky Lab alertaban a mediados de año que RaaS es un “modelo de negocio” mediante el cual los cibercriminales abonan “una cuota por la propagación de malware o prometen un porcentaje del rescate pagado por el usuario infectado”, en palabras de Aleks Gostev, investigador de la compañía rusa. El sentir sobre el riesgo del ransomware está generalizado.

Así empieza todo

“Teniendo en cuenta su crecimiento astronómico, si no es una preocupación para tu negocio hoy en día, ¿qué será en los próximos meses?”, se pregunta el profesional de la seguridad James R. Slaby. “El ransomware es un tipo de malware dirigido a cualquier público, pero” en la práctica “los criminales están poniendo en su punto de mira a las empresas”. Las empresas viven más amenazadas que el resto de la sociedad, “ya que los datos de un negocio tienen un valor más tangible y es más probable que las empresas tengan más recursos para pagar”, razona este ejecutivo. De entre todos los sectores, “la asistencia sanitaria y los servicios financieros parecen ser los objetivos más elegidos”. ¿Por qué? “Por un lado porque un hospital que no puede acceder a los registros de salud de los pacientes está poniendo en riesgo sus vidas y, por otro, los bancos deben enfrentarse a consecuencias reglamentarias duras si pierden el acceso a los datos de los clientes”, responde el representante de Acronis.

Pero ¿cómo llega a colarse el ransomware en la empresa en primer lugar? ¿Por qué funciona esta amenaza y cómo se propaga? “Hay muchas maneras por las que el ransomware puede infectar un servidor, un PC, un portátil, una tableta o un teléfono inteligente”, enumera el propio James R. Slaby destacando las múltiples puertas de entrada en forma de dispositivo que existen. Lo “más común es el phishing tradicional: el usuario recibe un correo electrónico que parece que es de una fuente fiable y hace clic en un enlace o abre un archivo adjunto que resulta ser malicioso”. El director técnico de Check Point, Eusebio Nieva, coincide en señalar que “el principal método de infección del ransomware es mediante campañas masivas e indiscriminadas. Los ciberdelincuentes envían emails con archivos y links fraudulentos a listas de contactos enormes, y crean muchísimos pop-ups que instalan programas dañinos”, cuenta. Al final “cualquier empleado puede ser víctima de un ataque e infectar a toda la empresa, las puertas de acceso son muchas y los cibercriminales intentan abrir todas las posibles”.

Desde Acronis completan la lista de vectores de ataque con “los anuncios online falsos”, que funcionan de forma similar al spam. “El usuario hace clic en lo que parece ser un vínculo legítimo”, pero en realidad “se redirige a un sitio malicioso que automáticamente hace una descarga de malware“, describe James R. Slaby. “También se puede introducir malware al descargar archivos de determinadas páginas web sospechosas, por ejemplo, los repositorios de software pirata”, de “música”, de “vídeo” o de “contenido para adultos”. Y ahí no termina la cosa. “Introducir en el sistema un USB infectado es otro método”, apunta este especialista en seguridad. Asimismo “es conocida, aunque menos utilizada, la técnica de explotar las vulnerabilidades de los servidores, como bugs no solucionados. Una vez que el sistema se ha alcanzado, multitud de variantes de ransomware se extienden por la red local e infectan tantos PCs y terminales como pueden”.

Ésas son las variadas maneras en las que puede dar comienzo la pesadilla del cifrado involuntario de datos y la inoperatividad del negocio, cuyo futuro a corto plazo queda a merced de los criminales que poseen la clave para descifrar unos archivos que legalmente no les pertenecen. La razón de su éxito, “la clave de su funcionamiento, está muy clara”, según Eusebio Nieva. El ransomware “es una forma rápida de hacer dinero. Los cibercriminales aprovechan el miedo de las empresas afectadas para pedir rescates por los archivos robados, que pueden llegar a los 10.000 euros. Además, en ocasiones este tipo de malware incluye un cronómetro, como en el caso de Jigsaw”, uno de los ejemplares de ransomware que se han desarrollado, “que si llega a cero antes de que la víctima pague, borra todos los archivos”. La maniobra en este caso es más agresiva y juega con dejar a la empresa sin opciones en esa carrera contrarreloj por evitar la pérdida de su activo más preciado: la información.

La psicología del miedo

En el auge del ransomware influyen la complejidad a la hora de rastrear los procesos de pago del rescate, que se suelen pedir en la moneda virtual Bitcoin, y la existencia de herramientas que favorecen el anonimato como Tor. También tiene mucho que ver el pavor a quedarse sin los datos. La incertidumbre. La pérdida de productividad. Las posibles consecuencias económicas, que van más allá del pago del rescate. El caos de quedarse inoperativo durante horas. Durante días. Durante demasiado tiempo. “La principal consecuencia es claramente económica. El ransomware produce pérdidas de dinero tanto si se paga como si, por no hacerlo, el hacker decide eliminar los datos críticos de la empresa”, valora el director técnico de Check Point. Por si eso fuera poco, si la empresa que ha sido atacada con éxito “maneja información confidencial, el ciberdelincuente puede hacerla pública, dañando seriamente la reputación de la marca”. Y a partir de ahí la montaña de las pérdidas va subiendo.

A eso hay que sumar los efectos en las operaciones cotidianas. Para James R. Slaby, “el impacto más grande es, por lo general, el costo del tiempo de inactividad“. Y es que “incluso las pequeñas empresas pierden un promedio de 20.000 dólares por cada hora que sus servidores permanecen inactivos”, estima. “Luego está el costo de oportunidad de pedidos perdidos, los efectos negativos sobre el servicio al cliente, el daño a la imagen corporativa que puede producirse si se hace pública la noticia de que los sistemas han sido violados…” y ya no sólo el impacto económico que deriva de una filtración de los propios datos, que complica todo con violaciones de privacidad y posibles denuncias. “Los costes que acarrea arreglar y solucionar una penetración de malware no son triviales”, insiste el responsable de Campañas Mundiales de Acronis, tanto si se cede a las peticiones de los ciberdelicuentes y se paga como si no. Habrá en todo caso un “trabajo forense para determinar cómo se produjo la infracción”. Y habrá “costes de información de cumplimiento”.

¿Pagar o no pagar?

Una de las partes más importantes en el cara a cara con el ransomware es la decisión que acaba tomando la empresa atacada. Esto es, si opta por acceder a las pretensiones de quien ha bloqueado sus equipos y cifrado sus datos. O si, por lo contrario, se mantiene firme y no cae en la trampa. “Desde Check Point recomendamos no pagar nunca el rescate”, señala su director técnico, Eusebio Nieva. En su opinión, “lo primero que deben hacer” las víctimas para intentar salir del lío “es contactar con una empresa de ciberseguridad avanzada” que les ayude a “evaluar la situación y buscar soluciones” factibles. Aunque esto no siempre sucede. No todo el mundo está aleccionado sobre los peligros del ransomware y el propio riesgo de interactuar con criminales. “Muchas veces los nervios y el miedo a perder todos los datos sensibles hacen que las compañías paguen a los cibercriminales, animándoles así a cometer más actos delictivos”, lamenta Nieva.

Éste apunta que en estas situaciones “no conviene olvidar que estamos haciendo tratos con un criminal. ¿Quién nos garantiza que el hacker vaya a liberar nuestros archivos?”, cuestiona nuestro entrevistado. Realmente no existen garantías. “Hay casos en los que el ciberdelincuente le ha facilitado la clave para desencriptar los archivos a su víctima y no ha funcionado”, revela Eusebio Nieva. También puede ser que ese delincuente pase directamente de lo acordado, desapareciendo tras obtener el dinero que deseaba. “Las compañías que no toman medidas preventivas para proteger sus datos lo hacen porque quizá crean que les sale más rentable pagar el rescate. Pero ocurren varios problemas con esto”, subraya también el Senior Manager de Acronis, James R. Slaby. “Uno de ellos es que los gánsteres de ransomware no cumplan con su parte del trato y se queden con el dinero aun habiendo eliminado los archivos. Otro es que recuperar los archivos no evita que otras bandas de ransomware aparezcan, por lo que seguiríamos siendo vulnerables”.

En tercer lugar, “cuantas más víctimas pagan rescate, más invierten los autores de malware en hacer que su producto sea más efectivo”, baraja James R. Slaby. “Tal vez podamos pensar que nos sale más a cuenta pagar una vez que hemos sido atacados pero, a partir de ahí, deberíamos invertir” en medidas de largo recorrido, en “asegurarte de que puedes recuperarte de futuros ataques sin ceder a la extorsión”. Slaby tiene claro que “los ataques no se detendrán” y que “el ROI de pagar el rescate pronto se volverá inaceptable”, por lo que lo único que queda es tomar medidas ya mismo. Si aún no se han sufrido los efectos del ransomware, es posible mantenerse fuera de su alcance con algo de sentido común. Acronis aconseja plantar barreras, como “añadir antivirus o detectores de comportamiento anormal, así como escáneres antiphishing y antispam“.

“Pero, definitivamente, la única defensa verdaderamente segura es un régimen de backup sólido, que incluya copias de seguridad locales y en la nube y conseguir así volver atrás en el tiempo a cuando el sistema aún no estaba infectado por el virus a la vez que nos protegemos del tipo de malware que se extiende también por sistemas locales”, sentencia el exanalista Slaby. Ni apagar y volver a encender el equipo, ni desconectar y conectar la conexión a internet. Con el ransomware en marcha, la prevención seguirá siendo la respuesta correcta, por lo que más vale protegerse antes. La realización de “copias de seguridad de todos los ficheros y datos importantes” ocupa también el primer puesto en la lista de pasos a seguir por las compañías que traza Eusebio Nieva para esquivar campañas de ransomware. Al backup le siguen “formar a los empleados para que detecten amenazas potenciales y darles acceso sólo a los archivos que necesitan para trabajar, actualizar las herramientas de protección de la empresa e implementar una estrategia de seguridad con múltiples capas, que incluya tecnologías de prevención contra amenazas avanzadas”.

Un duro caballo de batalla

En general, Slaby considera “evidente que, dadas las enormes ganancias que los gánsteres de ransomware están haciendo, muchas empresas no están preparadas para afrontar esta amenaza” hoy por hoy. “Después de cientos de análisis de seguridad realizados, hemos llegado a la conclusión de que las empresas españolas no están concienciadas del peligro que suponen el ransomware u otros tipos de amenazas avanzadas”, afirma asimismo Eusebio Nieva. “Muchas compañías creen que con instalar un antivirus es suficiente, pero los ataques más modernos y complejos son capaces de traspasarlos. Sólo las soluciones avanzadas de ciberseguridad son capaces de proteger contra estas amenazas”, continúa. En base a su experiencia, “dos tecnologías clave son la desinfección de archivos y el sandboxing avanzado. Cada una de estas soluciones ofrece protección a un distinto nivel, pero combinadas con muy eficaces contra los ataques desconocidos a nivel de red y directamente en los endpoints”.

¿Es posible revertir al 100 % los efectos del ransomware? ¿Se están haciendo avances reales en seguridad cibernética para atajar los ataques de este malware en auge? “La lucha contra el secuestro de datos online es compleja. Cada semana aparecen nuevas familias activas, y mientras las empresas sigan pagando rescates los cibercriminales seguirán creando más”, porque es una demostración de que ese negocio ilegal da ganancias, tal y como busca concienciar el responsable técnico de Check Point a partir de sus conocimientos de la situación. Los tipos de ransomware conocidos estarían siendo neutralizados por “tecnologías de prevención de amenazas avanzadas”, pero los miembros de la industria deben seguir “trabajando para ofrecer una protección aún más completa y estar siempre un paso por delante de las ciberamenazas”.

La visión del otro integrante del sector de la seguridad interrogado por Silicon.es, el alto directivo de Campañas Mundiales de Acronis, ve el ransomware “como la mayoría de otros tipos de malware: una línea de negocio criminal muy rentable”. Esto significa que, mientras unos “sigan ganando dinero, seguirán produciéndose ataques”. De hecho, su apreciación es más pesimista que la de su colega. De momento, “en la carrera entre los gánsteres del ransomware y la industria de la seguridad, están ganando los malos”, afirma. “El modelo RaaS les da una enorme ventaja: los distribuidores de ransomware trabajan duro por lograr nuevas maneras de hacer que los sistemas se infecten y los autores ransomware se centran en el desarrollo de nuevas formas de evadir las medidas de seguridad de los terminales. Así, el ransomware continuará haciéndose más sofisticado y yendo siempre por delante de los intentos de la industria de seguridad por detenerlo”, prevé James R. Slaby. “Sin algún avance tecnológico importante que ayude, podemos esperar que este ciclo continúe durante algunos años”.