México | Ransomware, al alza en medio de pandemia

343

El Universal Carla Martínez

Desde días, pero pueden ser incluso años, es el tiempo que los ciberdelincuentes están dentro de los sistemas de las empresas y gobiernos conociendo sus vulnerabilidades y descargando información sin que éstos lo sepan, coinciden expertos en ciberseguridad.

Como en la película Parásitos, donde una familia vive dentro de una casa sin que nadie se dé cuenta, así operan los cibercriminales de ransomware (secuestro de datos), explica Juan Pablo Castro, director de Innovación Tecnológica en TrendMicro.

Sin embargo, las empresas no han logrado entender este esquema y por eso hay que trabajar en detectar las intrusiones.

“En promedio detectamos que los ciberdelincuentes pasan entre 30 y 45 días antes de que veamos el ataque, cuando este se hace público”, comenta Castro.

Hay gran cantidad de empresas que ya están comprometidas, los cibercriminales están adentro pero no hacen nada; solamente tienen el acceso y lo venden en el mercado negro, en la Dark Web.

Es ahí donde las bandas de cibercriminales adquieren el acceso y realizan los ataques, detalla Castro.

Víctor Ruíz, fundador de Silikn y mentor en el Centro de Ciberseguridad 05000, coincide en que cuando la organización se entera de que es atacada, generalmente los ciberatacantes llevan meses o hasta años dentro.

“Llevan un tiempo entre tres y seis meses en promedio haciendo pruebas, buscando rutas de utilidad, qué tipo de información, carpetas, archivos, documentos personales pueden encontrar, y permanecen de forma invisible”, señala.

Servicio a la carta

Los grupos de ransomware o que están detrás de este tipo de ataques no siempre son los encargados de comprometer a las empresas, comenta Roberto Martínez, analista senior de seguridad en Kaspersky.

“Hay otros grupos de atacantes maliciosos que consiguen el acceso a una compañía, y ellos a su vez venden a los operadores de ransomware. Eso es lo que ha favorecido el crecimiento de estos ataques”, dice Martínez.

Esta nueva modalidad generalmente tiene ataques previos. Por ejemplo, en el caso del ataque a la Lotería Nacional por parte del grupo Avaddon, dado a conocer hace algunos días, hubo una fuga de información además del cifrado de los archivos.

“La fuga no pasa por arte de magia. Significa que, previamente, al igual que ha pasado con muchas otras empresas, incluyendo Pemex, el ataque primero se realiza con un acceso a la red. Los atacantes tienen el tiempo suficiente para ver la información y filtrarla, sacarla”, comenta el analista.

Este atentado de ransomware es el segundo al gobierno mexicano durante la presente administración pues en noviembre de 2019, Petróleos Mexicanos (Pemex) confirmó ataques cibernéticos que afectaron 5% de sus computadoras.

Sin embargo, la empresa petrolera aseguró que el incidente no afectó sus operaciones.
 

El mes pasado se dio a conocer también un ataque de ransomware a Colonial Pipeline,  empresa que opera un importante oleoducto que entrega aproximadamente 45% de todo el combustible consumidor en la costa este de Estados Unidos, viéndose obligada a interrumpir las operaciones temporalmente.

Poca inversión

El éxito del ransomware en México y América Latina se debe a que las empresas no han hecho una gran inversión en ciberseguridad, en áreas de detección y respuesta, menciona Juan Pablo Castro, de TrendMicro.

“La gran inversión que se hizo durante mucho tiempo tiene que ver con protección, pero los atacantes de ransomware operan de manera diferente, con otros cibercriminales que venden acceso como servicio”, explica.

El incremento de los ataques de ransomware se debe a la pandemia de Covid-19, opina, que popularizó el trabajo remoto desde casa.

“Eso llevó a las empresas a llevar toda una infraestructura de usuarios que antes estaba protegida por estar dentro de una oficina, edificio, un perímetro protegido de otra manera, a tener que trabajar remotamente”, menciona.

La infraestructura de seguridad no estaba preparada para esto, por lo que las defensas ante este tipo de ataques desaparecieron y los cibercriminales vieron una gran oportunidad de explotar a las personas que trabajan desde casa y que tienen acceso a servicios críticos, explica Castro.

Las empresas no están preparadas en la prevención de un ataque de ransomware, pues sólo dos de cada tres respaldan sus archivos más importantes, comenta Martina López, investigadora de seguridad de Eset Latinoamérica.

Además, apenas 35% de las empresas realizan actividades de concientización para los empleados relacionados con temas como phishing o accesos indebidos.

La investigadora dice que la pandemia hizo que los ciberatacantes tuvieran un mayor alcance pues los colaboradores trabajando en casa son más vulnerables a engaños, que son la herramienta usada por la ciberdelincuencia.

“El punto cero que se vio incrementado por el tema de la pandemia fueron las vulnerabilidades técnicas, ya no con la intervención de un humano engañado, sino directamente asociadas a los protocolos de escritorios remotos”, menciona.

La investigadora destaca también que México encabeza la lista donde las empresas han afirmado sufrir este tipo de ataques.

“Hicimos un sondeo a compañías de América Latina, y alrededor de dos de cada tres empresas afirmaron haber sufrido algún tipo de ataque de malware, no particularmente de ransomware, aunque son las más altas”, afirma.

Con 19% de la región, México encabeza el ranking con detección de malware y 14% de ransomware, alerta López.