Aunque menos conocido que otros, como el malware o el phishing, el ransomware -como el que afectó a 74 países- puede poner en vilo a las empresas que manejan información crítica como bancos o estados.
La seguridad informática suele ser el último eslabón en el que invierten las empresas y Estados; en lo que hay que desembolsar cuando sobran unos pesos del presupuesto del año. Con escándalos masivos como el ciberataque, que se inició en España y que confirmó Telefónica, se empieza a entender la profundidad del problema: las operaciones de cualquier empresa pueden detenerse por completo y sus activos pueden verse comprometidos por no tener serios protocolos de seguridad que protejan información crítica.
El ciberataque, que afectó a 74 países y vio vulneradas las redes de seguridad en 45.000 ataques, tuvo otro condimento. No se trató de un simple acto de malware, usualmente utilizado por los ciberanarquistas para generar daño irreparable, sino por otra especie de criminal: quien busca un rescate por los datos obtenidos.
Algo así vivió Netflix hace dos semanas cuando un grupo de hackers se infiltró en los servidores de un proveedor y tomó archivos de su serie hit “Orange is the new black”. Pedían dinero a cambio de no filtrar los capítulos en The Pirate Bay, un popular sitio de torrents. La compañía no cedió: con los torrents perdiendo popularidad y las suscripciones de Netflix subiendo por el contenido exclusivo de la plataforma, no vieron necesario asumir el castigo financiero impuesto. Los capítulos, finalmente, se filtraron. Otro es el escenario cuando se trata de datos críticos, como los que manejan telcos y bancos.
“El ransomware es diferente a un virus tradicional –explica Pablo Verdina, gerente de IT de NextVision, una empresa dedicada a la consultoría en seguridad informática—porque no destruye o corrompe información sino que busca archivos valiosos para pedir un rescate. El ransomware busca identificar información en formato de base de datos o archivos, dejando de lado los de sistema operativo que son los que, en general, te rompen la computadora.”
Es, de hecho, una tendencia cada vez más común especialmente en las grandes empresas que tienen muchos empleados y que no llegan a reparar vulnerabilidades en los sistemas de manera ordenada. Lo que pasó con Telefónica hoy es solo un ejemplo. “Estamos hablando de una multinacional que tiene operaciones en todo el mundo; distribuir actualizaciones rápidamente es difícil por los anchos de banda que difieren y también porque los puestos de trabajo no están siempre prendidos. Es un ciclo de despliegue que puede tardar 30 días en completarse en todas las máquinas. Y ahí el ransomware detecta vulnerabilidades y las explota,” explica Verdina. Especialmente los tipos de amenaza de vida cero, como nuevos malware, que todavía no tienen una “vacuna” conocida en el mercado.
“El ransomware infecta a las victimas explotando una vulnerabilidad de Microsoft descrita y corregida en el Boletín de Seguridad MS 17-010. El exploit utilizado, Eternal Blue, fue revelado por Showbrokers el 14 de abril. Una vez dentro del sistema, los atacantes instalan un rootkit que les permite descargar el software para cifrar los datos. El malware cifra los archivos. Una solicitud de US$ 600 en bitcoin se muestra junto a una billetera y la demanda del rescate aumenta en el tiempo,” explicaron expertos en ciberseguridad de la empresa de antivirus Kaspersky. El parche de Microsoft había sido publicado hace menos de 45 días lo que explica, en parte, el problema de las grandes empresas.
¿Conviene pagar, entonces? Para Verdina la respuesta no es tan sencilla. “Para las empresas comunes no es una opción, aunque tal vez sí para un usuario final. No hay garantías. El porcentaje de empresas que ha pagado y han recibido una clave de desbloqueo no llega al 13 porciento.”
Lo cierto es que el impacto económico es enorme. Desde hoy a la mañana los call center de Telefónica en todo el mundo están inoperantes y en diferentes países empresas que manejan información crítica han cerrado sus sistemas en temor a posibles infecciones. “En los próximos dos meses empresas de todo el mundo que se especializan en seguridad informática van a tener que estudiar el alcance de este ataque, uno de los más grandes de la historia. Fue millonario.”