Una noche de junio del 2020, uno de nuestros clientes nos llamó para detonar una contingencia. Después de varias horas de caída de sus operaciones, su equipo de tecnología recibió un correo electrónico diciéndoles que su información estaba secuestrada y que liberarla les costaría varios cientos de miles de dólares.
El proceso de recuperación de la información fue largo, y nos llevó varios días restablecer los servicios básicos. Y después ya nada fue igual. La infraestructura del cliente terminó en un proyecto de reingeniería de meses, y desde entonces los ejecutivos y accionistas se preguntan: ¿qué más se habrán robado?, ¿cuándo nos volverán a atacar con lo que saben de nosotros?
Cada día los ataques de Ransomware se están volviendo más violentos, caros y directos. Pasamos del correo del príncipe nigeriano que quiere sacar su dinero del país, enviado a todas las cuentas de Gmail, a esta nueva etapa en la que los ataques son dirigidos específicamente a una empresa que ha sido observada por meses, buscando sistemáticamente sus vulnerabilidades, a prueba y error, hasta lograr sembrar un código que abre la puerta a otro, y ese a otro nuevo, hasta lograr encriptar data, controlar servicios y robar información.
Colonial Pipeline, dueña del gasoducto que distribuye combustible desde Texas hasta Nueva York, aprendió la lección a cambio de millones de dólares. Por lo menos 5 según los medios, pero probablemente mucho más. El 7 de mayo de 2021, el grupo ruso autodenominado DarkSide, no solo hizo un trabajo de encriptación en la data volviéndola inaccesible, sino que tomó el control de los sistemas de la tubería, y por consecuencia de la tubería misma, deteniendo el flujo de gasolinas y gasavión, y dejando sin combustible a toda la costa este de Estados Unidos.
El ransomware de Darkside no solo encriptó la información, sino que tomó el control del proceso central de Colonial Pipeline, y robó cerca de 100 Gb de data para crear su segunda amenaza sobre el corporativo: la difusión de información crítica en la web.
Brian Harrell, ejecutivo del Departamento de Seguridad Nacional de estados Unidos cree que cada vez veremos más casos como estos: “Una lección clave aquí es que, mientras la tecnología y automatización es benéfica para el mundo moderno, debemos desarrollar la habilidad para operar manualmente en caso de que se requiera. Los ataques están sucediendo, así que la velocidad a la que podamos recuperar servicios críticos es crucial.”
Pero además de pensar en cómo recuperarnos, debemos desarrollar planes de prevención de ataques. No se trata de hacer una caja de 5 millones de dólares para pagar a los hackers, sino de invertir en procesos y herramientas de ciberseguridad que nos protejan, y mantener en la ecuación a uno de los factores que representan probablemente el eslabón más débil en la seguridad: el usuario.
En una reciente encuesta a CISOs de nuestros clientes, se identificó que el factor más riesgoso en sus operaciones de seguridad es el usuario, principalmente por falta de atención a los protocolos de seguridad, pero causado de origen por malos hábitos que se pueden resolver con educación y ejercicios constantes.
A las 5 de la tarde del 12 de mayo, cinco días después del inicio del ataque, Colonial Pipeline restableció su operación utilizando el código que Darkside le envió a cambio de las 75 bitcoins que transaccionaron en algún lugar de la darkweb, además recibieron la promesa de borrar la data robada y no hacerla pública.
Nos puede pasar en México
Los hackers rusos tienen predilección por las empresas americanas, pero no hay garantía de que no atacarán a empresas de nuestro país, y mucho menos de que no haya grupos, incluso locales, que intenten el exitoso esquema.
De hecho, en noviembre de 2019, tuvimos nuestra historia. Hackers secuestraron información de Pemex. Aunque Rocio Nahle, Titular de Energía Federal, niega cualquier afectación mayor, y por supuesto pago alguno a los secuestradores, algunas fuentes señalan que la pérdida de información fue profunda y devastó ciertos sistemas legacy que tuvieron que volver a ser desarrollados. Eso no lo sabremos con certeza.
Prevenir para no lamentar
Queda en nosotros hacer todo lo necesario para prevenir que nos ataque un ransomare, y en el peor de los casos, si nos atacan, para podernos recuperar. Aquí 4 recomendaciones simples:
- Backup de su data y sistemas. Utilice la práctica de 3-2-1 para mantener copias aisladas y fuera de sitio.
- Segmente sus redes. Cree zonas seguras y aisladas, de manera que el acceso a un espacio no signifique el acceso a toda la información.
- Instale sistemas de protección de amenazas. Utilice servicios y herramientas que bloqueen las amenazas en todos los puntos, incluso con posibilidades de identificar aquellas de zero-day.
- Instale sistemas antimalware. Y aunque suene la solución obvia, recuerde mantenerlo actualizado y al corriente de soporte en todos los componentes de sus sistemas.
- Ejecute escaneos frecuentes. Apoye la detección en línea ejecutando escaneos periódicos que funcionen como un segundo check en el sistema.
- Involucre a los usuarios. Fortalezca la puerta de acceso del usuario capacitándolo y difundiendo buenas prácticas, además de medir el riesgo en ese factor.
- Asegure el parcheo adecuado. Mantenga un plan de actualización a través de los avisos y calendarios de los fabricantes.
En Cybolt tenemos muchas historias de éxito ayudando a empresas de todos los tamaños a proteger su información. Además, estamos muy al pendiente de los rusos.
