Qué demonios está pasando con el ransomware y por qué no vamos a detenerlo a corto plazo

Sergio De Los Santos    14 junio, 2021
Qué demonios está pasando con el ransomware y por qué no vamos a detenerlo a corto plazo

En los últimos meses, es raro que no se publique cada poco que una gran empresa ha sido víctima del ransomware, ya sea paralizada o extorsionada. Todo el que esté leyendo esto tiene algún ejemplo reciente en la cabeza. Una devastadora epidemia que, seamos realistas, no va a parar en el corto plazo. Al menos hasta que, como con la pandemia vírica que también estamos sufriendo, consigamos coordinar todas las fuerzas relevantes a nivel global. Veamos lo mínimo necesario.

Como consecuencia de la pandemia de COVID a nivel mundial, muchos han comprendido conceptos básicos que podemos llevar a la ciberseguridad. Por ejemplo la importancia de la seguridad por capas y de lo complementario de las mitigaciones (ventilación pero también mascarillas, lavado de manos pero también distancia social… incluso estando vacunados). Además, nos hemos cuestionado el concepto de falsa sensación de seguridad (mascarilla al aire libre, ¿realmente útil en todas las circunstancias?). Hemos aprendido nociones como el cálculo de riesgos y beneficios de aplicar alguna medida (potenciales efectos secundarios de una vacuna frente riesgos reales de contagio)… Quizás con todo esto, el usuario medio está más preparado para entender cómo problemas complejos como el ransomware requieren múltiples aproximaciones complementarias una vez comprendida la severidad de la amenaza. Antes de comprender esto, las medidas de defensa serán erráticas, incompletas, insuficientes… Un proceso de ensayo y error (se pasó por una fase de infraestimar el peligro con el coronavirus, se enfatizó en un principio en el uso de guantes hasta que se puso foco en las mascarillas según se investigó más…). ¿Alguien creía que, con la distancia social y las mascarillas, acabaríamos con la pandemia en 2020? Suponemos que (no nos engañemos) en el fondo sabíamos que eran elementos necesarios, pero no suficientes. Siempre esperamos las vacunas, porque sabíamos que algo faltaba en la ecuación para ganar la guerra. Nos «defendíamos» del virus, pero no le «atacábamos» además como estrategia. Y en esa fase es quizás donde estamos ahora si establecemos un paralelismo con el ransomware. Falta “algo más”.

Y es que en la seguridad pasa algo muy parecido. Lo primero es entender bien los riesgos… y a esto la realidad nos está obligando a base de disgustos. Después debemos proponer mitigaciones que (de nuevo seamos realistas) no van a ser eficaces por sí solas y en el corto plazo. Porque a menos que todas las estrategias y actores funcionen a la vez de forma global, persistente y con el mismo nivel de madurez, la estrategia fracasará. Sin eso, seguiremos sufriendo oleadas más o menos agresivas de ataques.

Nos llevan años de ventaja

La industria del malware maduró a principios de los 2000, cuando todavía la ciberseguridad se llamaba seguridad informática y era cosa de algunos locos. Nos llevan años de ventaja a la hora de organizar ataques y conectarlos con la industria del crimen a nivel global. Primero probaron a enriquecerse con los troyanos bancarios y, cuando la brecha se cerró porque reaccionó la industria legítima, a medida que dependíamos más de la digitalización, acudieron a la extorsión, que ha resultado en la fórmula mágica que exploraron con gran éxito y todavía mantienen. Primero bloqueando la pantalla a los usuarios, después cifrándoles los archivos. Más tarde pasaron a secuestrar pymes, de ahí a las grandes compañías. De estas a todo tipo de organizaciones y finalmente a las infraestructuras críticas de un país, que es donde estamos ahora. Sin escrúpulos, atacan donde el impacto puede poner en riesgo vidas o desestabilizar un país, donde saben que así es más fácil que les paguen. En estas circunstancias no parece tan sencillo eso de “no pagar” como mantra.

La industria legítima madura a otro ritmo, mucho más reactivo. Aunque no lo parezca, quizás donde mejor posicionados estamos es en el plano de concienciación de la empresa (qué remedio) y en cierto modo, técnico. Nos concentramos en parchear y responder, en auditar y certificar dentro de nuestros presupuestos. Esto evitará muchos problemas de seguridad. Pero es que los atacantes avanzan más rápido en el nivel técnico (ante defensas más duras, vulnerabilidades más complejas explotadas antes y mejor) y ahí siempre vamos a perder. No avanzaremos lo suficientemente rápido contra la industria del ransomware si no ponemos de acuerdo también a otros actores. Como con la pandemia, lo que cambiará las reglas del juego y nos hará doblegar la curva no será solamente la responsabilidad “técnica” individual, sino la coordinación global a nivel científico, económico, legal… esto es, lo equivalente a lo que se ha conseguido con el enorme esfuerzo público-privado y logístico global que han supuesto las vacunas, pero en ciber.

¿Cuál es la vacuna de la epidemia del ransomware?

Todo cuenta, pero lo más importante es coordinarnos para que los atacantes no encuentren motivación en este tipo de ataque. Desincentivarlos en el sentido técnico (el coste de entrar en ciertos sistemas), económico (el beneficio de la extorsión) y legal (el castigo si les atrapan). ¿Cómo estrangularlos desde el punto de vista económico? ¿No pagando? No es tan sencillo. AXA tomaba hace poco una decisión en Francia: la cobertura del ciberseguro cubrirá ciertos daños pero no devolverá el dinero del rescate a los clientes que paguen por la extorsión. Los ciberseguros como el de AXA han concluido que esta cláusula normalizaba precisamente la menos traumática de las salidas: pagar y ceder a la extorsión. Y también suponemos que no les salía a cuenta con tanto incidente. Y normalizar el pago no solo ha hecho que el negocio del seguro no sea rentable sino que ha alimentado la propia industria del cibercrimen.

Pero ¿qué alternativa tienen las organizaciones que de no pagar, se ven obligadas a cerrar? O ceden a la extorsión y alimentan el proceso que fortalece a los atacantes o se resisten al pago y lo pierden todo. En este aspecto los ciberseguros deben todavía encontrar un modelo sostenible y viable, su hueco como actor relevante, asegurando a compañías bajo una premisa de adopción de ciberseguridad mínima y adaptando correctamente las pólizas. Dinamizar la industria para minimizar el riesgo (para que no acudan tanto a su seguro) y en el peor de los casos ayudar eficazmente en su recuperación.

Desde el punto de vista legal, Joe Biden firmó hace poco una Orden Ejecutiva para mejorar la ciberseguridad nacional y proteger de manera más eficiente las redes del gobierno federal. El ataque a la operadora de oleoductos Colonial Pipeline fue la gota que colmó el vaso. Esta orden ejecutiva pretende modernizar las defensas y se traducirá en que las empresas deberán cumplir unos estándares mínimos. Y por si se echaban de menos leyes que agilicen la posibilidad de perseguir a los atacantes, identificarlos e imponer sanciones a nivel mundial, se avanzó también hace poco en ese sentido: el ransomware será tratado como terrorismo. Otra forma de desincentivar a los atacantes.

En resumen, el negocio del ransomware no solo debe estrangularse evitando financiar la extorsión, sino también mejorando la seguridad integral de las empresas y con unas leyes eficaces que persigan a los criminales con penas ejemplares. Fácil de decir, complejo de orquestar e implementar.

Y por último, no olvidemos que es un problema global

Las cadenas de suministro son un grave problema para la ciberseguridad. El incidente de SolarWinds lo dejó claro. Un mundo interconectado exige medidas globales en todos los pasos de la cadena. Como con las vacunas, no estaremos todos a salvo hasta que todos hayamos recibido las dosis. Cuando sepamos aplicar todas esas mitigaciones desde diferentes ángulos y los actores encuentren su hueco, hay que asegurar también que las apliquen precisamente todos los actores relevantes y minoritarios a nivel mundial. Incluso los que creen que no es su problema (como ocurre en EEUU con premios aleatorios entre los que se hayan vacunado, para motivar así a los anti-vacunas).

Esta combinación de actores globales, atacando el problema desde diferentes ángulos y según sus posibilidades, es la mejor vacuna contra el ransomware. Paciencia, no va a solucionarse a corto por la complejidad de la situación… pero ocurrirá. Los elementos necesarios ya están en marcha. Apliquemos técnicas defensivas en lo técnico, pero también ofensivas en otros planos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *