Ciberataque, una amenaza creciente y sin fronteras
Club de Ejecutivos / 07/09/2021
>>> Ver nota en la revista <<<
Se ha vuelto imprescindible conocer sobre los peligros digitales a los que se exponen nuestras empresas porque la transformación digital ha traído consigo un aumento significativo de los delitos cibernéticos que apuntan a ser la modalidad 3.0 del secuestro, hurto, extorsión y afines.
Más sofisticados, frecuentes y agresivos, es como Brandon Wales, director interino de la Agencia de Seguridad de Información y Ciberseguridad de los Estados Unidos describe los ciberataques en la actualidad. Esto, dentro del marco en los recientes casos de ataque informático a Colonial Pipeline (la red de oleoductos que distribuye combustible de Texas a New York) y SolarWinds (una de las mayores empresas de tecnología que maneja la información de grandes clientes corporativos). Dos ejemplos recientes de ataques a grandes compañías que ponen en evidencia las vulnerabilidades del ecosistema digital y de la necesidad de una cultura de prevención ante estas amenazas.
La digitalización obligatoria que produjo la pandemia creó el escenario perfecto para la creatividad y proliferación de los delicuentes cibernéticos. Solo en EEUU, los ataques ransomware (secuestro de datos) aumentaron 300% en 2020. Hoy, las empresas clasifican los ciberataques y el fraude de datos como el tercer riesgo más preocupante del COVID-19 según una encuesta del Foro Mundial de Economía.
En Latinoamérica, los códigos maliciosos son la principal preocupación y la primera causa de incidentes de seguridad en las empresas. El laboratorio de investigación ESET (Security Report ESR), comunicó que en 2020 los países con mayor detecciones de ransomware a nivel empresas fueron Perú, México, Venezuela, Brasil y Colombia. Los ataques dirigidos se volvieron más agresivos demandando pagos como rescate por la información. Se suma la práctica conocida como “doxing”, que es el robo de información y la posterior extorsión bajo la amenaza de hacer públicos los datos sensibles filtrados. Todo esto se ve favorecido y facilitado por la condición anónima del sistema de criptomonedas que ha aumentado la posibilidad de monetizar los ciberataques.
Los resultados mundiales también muestran que sólo 8% de las empresas atacadas consiguen recuperar todos sus datos tras pagar un rescate y 29% solo recupera la mitad de los datos robados.
Cybersecurity Ventures (Cybercrime Magazine) predice un costo global con aumento de 15% por año, alcanzando 10,5 billones de dólares americanos anuales para 2025.
Situación en Paraguay
Para Gabriela Ratti, directora del Centro de Respuestas a Incidentes Cibernéticos de Paraguay (CERT-PY) el aumento en la cantidad de incidentes cibernéticos es sostenido y lineal, en torno al 40% anual, por lo que no podemos atribuir ese aumento a la pandemia. Sin embargo, hubo factores que podrían haber incidido, tales como:
- El COVID-19 fue utilizado por muchos criminales como “gancho” en múltiples engaños o fraudes digitales (phishing, scam, estafas mediante ingeniería social y otros.)
- Muchas personas y organizaciones aumentaron su dependencia de las tecnologías y digitalización, por lo cual tomaron mayor conciencia de su importancia y reportaron los ataques que antes, muchas veces, eran ignorados.
Prevención es la clave
Para hacer frente a esta peligrosa realidad en primer lugar es necesario entender que la ciberseguridad y la protección deben ser una estrategia continua y permanente. “Las organizaciones deben tener mínimamente una persona encargada de la seguridad digital.”
Existen muchos marcos de buenas prácticas, desde lo más simple y concreto hasta los más complejos y abarcativos. Los Controles Críticos de Ciberseguridad (CIS Controls), por ejemplo, son un muy buen punto de partida para todo tipo de organizaciones, desde las pequeñas que están empezando, como también para organizaciones de mayor nivel de madurez y recursos.
En Paraguay el ciberdelito no discrimina, todo tipo de empresas han sido víctimas por igual: comercios, tiendas, empresas de tecnología, empresas de servicios, estudios de abogados, contables, educación, salud, PYMEs, empresas grandes o profesionales independientes. El 2020 cerró con un mayor número de incidentes relacionados con servidores comprometidos e infecciones de malware. “En la mayoría de los casos, el objetivo de los criminales es aprovechar estos sistemas informáticos vulnerables (tanto servidores como PCs) para utilizarlos como parte de su infraestructura criminal, ya sea para alojar allí contenido ilegal o malicioso (phishing, malware, exploits, etc.), para distribuirlo (spam) o para, desde ellos, realizar ataques a terceros (negación de servicio, escaneos, etc.)” explica la especialista.
Incidentes de ransomware
Para encarar esta problemática, Ratti recuerda que en la gran mayoría de los casos no es posible recuperar los archivos cifrados, salvo que la organización cuente con copias de seguridad/respaldo. Sin embargo, siempre se analiza la familia de ransomware que afectó a la víctima y se busca el punto de entrada, el vector de ataque. “Eso permite evitar que el incidente vuelva a suceder. Actualmente en la mayoría de los casos, el punto de entrada es algún sistema vulnerable (RDP - Escritorio Remoto expuesto con contraseña débil, algún sistema desactualizado publicado a Internet, algún acceso poco protegido, etc.)
Es muy importante que la víctima reporte y se investigue el origen para aplicar las correcciones necesarias, de lo contrario, es muy frecuente que, en poco tiempo, vuelva a sufrir otro ataque debido a que su sistema sigue siendo vulnerable”, señala. Además, destaca la importancia de contar siempre con copias de seguridad, al menos una copia desconectada de la red, offline. En estos casos cuando se trata de servidores web comprometidos, malware/ virus/ransomware, considera que es muy probable que se trate de bandas criminales extranjeras.
Cibercrimen como servicio
Se considera que detrás de los cibercrímenes existe una red operacional que va más allá de una persona o un grupo con intereses económicos, políticos o sociales. Para usar un término del Derecho, es una especie de “asociación ilícita” donde cada parte aporta su “talento”. En algunos casos es una organización la que identifica empresas vulnerables; otra, la que introduce el software y una tercera la que crea ese software para que finalmente se pida el rescate o se realice el chantaje. “La gran mayoría de los ciberataques no derivan en la captura del criminal o criminales que están detrás del ataque. Normalmente las IPs involucradas en un ataque no se corresponden con la presencia física del atacante y con la tendencia del cibercrimen como un servicio, incluso, los criminales subcontratan a otros criminales que pueden estar en cualquier parte del mundo, por lo que la atribución geográfica en la gran mayoría de los casos, es imposible” añade Ratti.
Seguridad Personal
En Paraguay se ha registrado un aumento sostenido de casos de secuestro de cuentas de WhatsApp y de billeteras electrónicas, en su mayoría, mediante ingeniería social (engaños). “Sobre todo, se notó una mayor sofisticación en las técnicas, tanto en los argumentos del engaño como también en los trucos para maximizar el impacto del ataque. Por ejemplo, el bloqueo intencional del SMS de verificación que, durante 7 horas no permite que la víctima recupere su cuenta, dándole al criminal más tiempo para engañar a los contactos de la víctima y convencerlos de que le transfieran dinero. En los secuestros de cuentas de Whatsapp, extorsiones por redes sociales, etc. cuando deriva en una transferencia o giro de dinero, la gran mayoría de las veces, los atacantes son paraguayos (o al menos se encuentran en territorio paraguayo). De acuerdo a los datos de la Policía Nacional, muchos de este tipo de casos en particular, tienen su origen o vinculación con criminales que se encuentran en las cárceles.
>>> Ver nota en la revista <<<
Como protegerse
CERT-PY es el centro de respuesta a incidentes cibernéticos parte de la dirección general de ciberseguridad del MITIC, Ministerio de Tecnologías de la Información y Comunicación.
El CERT-PY ofrece servicios gratuitos para personas u organizaciones que reporten una amenaza cibernética. Los servicios consisten en análisis del incidente, aplicación de acciones de contención inmediatas, investigación y propuesta de recomendaciones para la corrección y prevención futura. Para reportar un incidente hay que enviar un mail a abuse@cert.gov.py que describa lo sucedido e incluya cualquier dato que pueda ayudar a investigar el incidente (logs, captura de pantalla, explicaciones, captura de tráfico, archivos, etc). Para reportar indicadores de manera automatizada y periódica, contactar a ciberseguridad@mitic.gov.py
Usos y acciones contra el malware
1. Usar Software Antivirus. Es una herramienta útil para ataques no dirigidos. Para escoger uno bueno, desde Kaspersky recomiendan tener en cuenta la confiabilidad, capacidad de uso, protección integral y la calidad en cuanto a eficacia de los procesos de detección de malware y entrega de protección a la computadora, frecuencia y regularidad de las actualizaciones, y capacidad de eliminar infecciones.
2. Desconfiar de archivos adjuntos sospechosos. Evitar dar click a archivos de procedencia desconocida.
3. Actualizar software y sistema operativo. Los programas tienen errores de seguridad y deben ser actualizados con frecuencia, sean computadoras, tabletas, smartphones o televisores inteligentes.
4. Tener en cuenta los indicadores de vulnerabilidad. Los programas, sitios, etc. deben ser adecuados al entorno y las necesidades. CERT-PY publica reportes frecuentes sobre vulnerabilidades detectadas por expertos.
5. Revisar las opciones de seguridad y privacidad del navegador, desactivar las extensiones sin uso.
6. Hacer periódicamente copias de seguridad de los documentos.
7. Verificar extensiones de las apps de ofimática. El ransomware se mueve por archivos DOC, XLS y similares.
Que hacer si se encuentra un malware en la computadora
Desconectar la computadora de internet y dejar de usarla inmediatamente. Cada golpe de teclado será enviado al atacante. Ingresar a un equipo seguro y cambiar todas las contraseñas de sitios utilizados. Aunque un experto haya eliminado el malware, algunos programas más sofisticados pueden persistir. Si se desea reinstalar el sistema operativo, se recomienda instalar archivos previos a la fecha estimada de infección del equipo.
Fuente: Surveillance Self-Defense (SSD)
Pasos para fortalecer la ciberseguridad
Atención a la bandeja de entrada, ante un e-mail de procedencia desconocida no pinchar en enlaces ni documentos adjuntos.
Apostar por metodologías de pago seguras y privacidad en la cesión de datos al momento de adquirir cualquier producto o servicio por internet.
Monitorear procesos y establecer medidas de seguridad en la oficina. Educar a colaboradores en aspectos técnicos, organizativos y legales. Implementar patrones de seguridad y monitorear lo que ocurre en la red empresarial.
Leer las condiciones de privacidad de las redes sociales. Tener en cuenta que la visibilidad aumenta y calibrar la configuración de privacidad (la opción por defecto es la menos privada).
Elegir contraseñas de más de siete caracteres que combinen números, letras y símbolos no alfanuméricos como “&” y “%”. No usar la misma para varios sitios.
Prevenir ataques. Hacer copias de seguridad de todos los archivos y ficheros para evitar perderlos en caso de ser víctimas de un malware.
Proteger el dispositivo móvil. Descargar sólo aplicaciones de confianza y mantener activos el Wifi, GPS y Bluetooth únicamente cuando estén en uso.
Instalar los medios necesarios para ser inmunes. Contar con un antivirus de calidad que prevenga, detecte y elimine cualquier amenaza informática, un Firewall que actúe como muro entre internet y la computadora impidiendo que el equipo acceda a información dañina o sea víctima de hackers y software malintencionado.
Usar redes Wifi conocidas y sitios web seguros. Cuando se navega por Internet hay que asegurarse de que la dirección web comience por “https” y tenga un candado.
Salvaguardar a los niños de Internet. Existen controles en los navegadores que evitan accedan a contenidos inapropiados y que autorizan sólo ciertas páginas.
Fuente: The Valley Digital Business School
>>> Ver nota en la revista <<<