Por: Emmanuel Ruiz, Country Manager de Check Point México
Hace unos días Petróleos Mexicano (Pemex), un importante conglomerado de petróleo y gas del estado mexicano fue golpeado por un ataque de ransomware. Está considerado como el último ataque cibernético conocido a una empresa mexicana.
Ante esto debemos de entender a lo que nos estamos enfrentando. El ramsomware, se trata de una variante de malware, el cual tiene como objetivo entrar a un sistema, a través de una vulnerabilidad y realizar actividades que pueden ser de espionaje, robo de información, uso de recursos del equipo host, o simplemente el monitoreo de la actividad del usuario. En el caso del ransomware el objetivo principal es el secuestro de la información del usuario o del ambiente en el cual se instala, la manera de llevar a cabo este secuestro de información es por medio del cifrado de la misma con algoritmos diseñados por los propios atacantes, los cuales les permitirán tener acceso a la información en caso de ser necesario.
De igual forma el ransomware utiliza una vulnerabilidad en los sistemas para poder instalarse, al hacerlo, buscan conexión al centro de control y comando del atacante para dejar las “llaves o semillas” que serán utilizadas para poder tener acceso a la información cifrada y una vez realizado esto el ransomware comienza a encriptar todos los archivos que se encuentren en el sistema.
Normalmente está configurado para cifrar archivos de office, imágenes, diagramas, diseños, etcétera. Sin embargo, existen variantes que inclusive afectan archivos de procesos industriales (SCADA). Lo critico en este caso es que está enfocado a realizar un secuestro de la información y/o equipos de cómputo en los cuales se instala, pudiendo diseminarse de manera automática a otros equipos de la misma institución, incrementando con esto el impacto tanto por equipos afectados como por la información comprometida.
Las consecuencias de un ataque de ransomware varían de acuerdo con el nivel de madurez de la estrategia de ciberseguridad y de continuidad de cada empresa. Las amenazas de esta naturaleza existen y evolucionan segundo a segundo, un ejemplo, el ransomware que afecto a PEMEX fue descubierto en septiembre del 2018, sin embargo, la variante que afectó los ambientes de la institución tuvo modificaciones, las cuales pudieron hacer la amenaza indetectable para los esquemas de ciberseguridad tradicionales. Es por lo que una estrategia de ciberseguridad debe de estar basada bajo la visión de PREVENCIÓN, y no de detección como hoy día lo hacen muchas de las empresas.
Es importante destacar que el Ransomware no se limita solo a servidores o a equipos de cómputo personales, ya que existen registros de ataques que han llegado a afectar a equipos de OT (SCADA), lo cual inhabilitó las líneas de producción manejadas por esos equipos varios días. De esta manera es que el ransomware se traduce a un escenario de “secuestro” ya sea un equipo de cómputo o al secuestro de información.
En general, cuando una empresa es afectada por este tipo de amenazas, el procedimiento normal para la recuperación de los ambientes afectados es el llevarlos a la última configuración estable conocida. Desafortunadamente, como fabricante de ciberseguridad hemos visto y particularmente en Latinoamérica, que muchas de las empresas no cuentan con políticas o procedimientos de respaldo de información, o estos, nunca han sido probados, lo cual dificulta, el poder hacer una recuperación de los ambientes afectados. Asimismo, hemos observado que las estrategias de ciberseguridad de las empresas no cuentan con planes de acción en caso de un incidente de esta naturaleza debido a que las mismas están basadas en tecnologías de detección.
Por lo anterior, el impacto al negocio al ser presa de este tipo de amenazas puede ser tan grande a tal grado que las empresas piensen en la posibilidad de negociar con el atacante; sin embargo, debemos de considerar que el realizar el pago de un rescate no garantiza el poder recuperar la información, además, realizar el pago en bitcoins, hace imposible la trazabilidad de pago.
Algunas consideraciones
Debemos de considerar que en un mundo conectado como en el que vivimos, hoy día todas las organizaciones están expuestas a este tipo de ciberataques, en estos momentos estamos hablando de Ransomware, pero existen otra variedad de ataques desconocidos los cuales afectan día con día a las empresas.
- Tan solo el 7% de las empresas cuentan con protecciones para poder hacer frente a amenazas de nueva generación basadas en tecnología de PREVENCIÓN. Y esto se debe a que las áreas de ciberseguridad de las empresas siguen creando estrategias basadas en un esquema de detección. (firewalls, antivirus, IPS, etc.) Las herramientas basadas en tecnologías de detección son necesarias, protegen la red y los componentes de esta contra las amenazas que actualmente se conocen, aunque son ineficientes a la hora de enfrentarse a ataques desconocidos o de segundo cero, como lo es el Ransomware. Por lo que nuestra recomendación es hacer una revisión a la estrategia, validar que la misma esté preparada para temas de prevención de amenazas avanzadas, y contar con planes de recuperación en caso de contingencia.
- Tanto corporaciones como instituciones deben de establecer de primera línea una estrategia de seguridad basada en prevención de amenazas desconocidas, la cual deberá de contemplar la identificación de zonas críticas dentro de la red de la empresa y llevar a cabo una correcta segmentación para aislar dichas zonas de recursos públicos, o de redes de usuarios. Esto aplica no solamente para la red corporativa, sino también para los recursos que pueden estar en nubes ya sea públicas, privadas o hibridas.
Adicional, es necesario crear planes de contingencia, respaldos periódicos de la información tanto de los usuarios como de servidores, aplicativos, etcétera. Considerar estrategias de DRPs o BCPs las cuales deben de ser probadas periódicamente para garantizar su efectividad en caso de un evento.
Pero lo más importante se llama concientización, las empresas deben de tener políticas y procedimientos de seguridad los cuales enseñen al usuario las cosas que puede y no hacer dentro de la red, una buena política de uso correcto del correo electrónico debería de enseñar al usuario a no abrir adjuntos de remitentes desconocidos, por ejemplo. Las herramientas son fundamentales pero el ciclo no está completo sin una verdadera cultura en cyber seguridad.
