Una empresa de un colombiano puede ser la solución para no pagar a los ciberdelincuentes para recuperar los datos encriptados después de un ataque informático.
La ciberseguridad es un tema crítico en la era de los computadores, los teléfonos inteligentes e internet, especialmente con el aumento de la dependencia de las empresas en el uso de tecnologías digitales. Muchas de ellas creen que no serán víctimas de un ataque cibernético, pero están equivocadas.
En mi opinión existen tres tipos de empresarios o directivos de entidades: los que ingenuamente creen que no serán víctimas de un ataque y no están preparados para enfrentarlo, los que ya están siendo atacados y aún no lo saben, y los que ya fueron atacados. Visto de otra forma, cuando se habla de seguridad informática la pregunta no es si los van a atacar o no, sino cuándo. Tarde o temprano sucederá.
Hay diferentes tipos de ataques cibernéticos, pero sin duda el más utilizado en la actualidad se caracteriza por la encriptación de los datos totales o parciales de una empresa, para luego pedir un pago mediante criptomonedas para desencriptarlos. En el idioma del mundo digital este tipo de ataque se llama ransomware o de secuestro de datos. Pagar no siempre es garantía de que el delincuente envíe los códigos para desencriptar la información y mucho menos para prevenir un ataque futuro.
En Colombia ha habido ataques de este tipo a EPM, Invima, EPS Sanitas, al Dane y a cientos de empresas y entidades más. Los ataques no comienzan de la noche a la mañana, usualmente se inician con el descubrimiento de alguna vulnerabilidad en la red de la empresa o entidad, que le permite al hacker estudiar a su víctima, entender cómo funciona su red de equipos informáticos, dónde tiene alojadas sus copias de seguridad, saber qué información es importante y cuál no, y determinar a quién debe mandar su mensaje de solicitud de dinero después de hacer el ataque visible.
frase-destacada
“El equipo tenía una vulnerabilidad que le permitió al ciberdelincuente crear un usuario administrador…”.
Hace un par de años una empresa manufacturera con operaciones en Colombia y Centroamérica sufrió un fuerte ataque que comenzó cuando un hacker entró a uno de los equipos de computación que manejaba una de las máquinas de producción en su planta de Centroamérica. El equipo tenía una vulnerabilidad que le permitió al ciberdelincuente crear un usuario administrador y con él adentrarse al resto del sistema hasta que logró entender el funcionamiento de toda la red. El delincuente estudió a su víctima durante tres meses, al cabo de los cuales se hizo visible encriptando todos los datos críticos de la compañía para luego pedir una recompensa en criptomonedas para desencriptarlos.
En el caso anterior, la empresa inició protocolos de operación manual de sus fábricas, recuperó datos antiguos con copias de respaldo y se desconectó de internet durante varias semanas hasta que se aseguraron de limpiar todos sus equipos, pues su decisión fue la de no pagar así les tomara muchos meses reconstruir toda la información perdida. Fue lo correcto.
El número de ataques cibernéticos en Colombia y en el resto del mundo ha aumentado significativamente con el auge de las criptomonedas y sobre todo desde que comenzó la pandemia del covid-19, lo que obligó a aumentar el trabajo remoto descuidando aspectos fundamentales de seguridad en pro de agilizar la comunicación y productividad de los empleados de las compañías.
frase-destacada
“Para la víctima de un ataque tipo ransomware no hay garantía de que pagando el rescate que pide el ciberdelincuente, se recuperen los datos”.
Una de las razones del auge de los ciberataques es que el software, los métodos y los sistemas computacionales para realizarlos se comenzaron a alquilar como parte de una nueva modalidad de comercio del mercado negro de internet (1). Es decir que las herramientas para hacer ciberataques ahora están disponibles a mayor número de delincuentes y no hay que ser un experto para utilizarlas.
Para la víctima de un ataque tipo ransomware no hay garantía de que pagando el rescate que pide el ciberdelincuente, se recuperen los datos. Pagar solo fortalece a los atacantes y les da más incentivos para continuar sus actividades. Por esta razón, siempre es recomendable no pagar y acudir a otras alternativas. La más obvia es recuperar los datos de copias de seguridad, pero esta opción no siempre está disponible por diferentes circunstancias.
Por ejemplo, una empresa colombiana de analítica de datos fue atacada por ciberdelincuentes encriptando los datos de todos sus clientes, entre ellos los de importantes entidades del Estado. Llamaron a su empresa proveedora de copias de seguridad para que activara el protocolo de recuperación de datos y encontraron que los parámetros de las copias de respaldo estuvieron mal programados un par de años atrás y que su más reciente copia de seguridad tenía, por lo tanto, dos años de antigüedad. Ellos no tuvieron opción distinta a pagar una fuerte suma de dinero para recuperar los datos encriptados.
El caso anterior fue hace ocho años, cuando estaban comenzando a florecer los ataques informáticos tipo ransomware a la par del auge de las criptomonedas. Hoy, así como los ciberdelincuentes han avanzado en técnicas, modalidades y ampliado la capacidad de sus ataques, también del lado de los buenos ha habido grandes e importantes avances para prevenirlos, para perseguir a los ciberdelincuentes y también, y no menos importante, para recuperar los datos encriptados.
Los Estados Unidos no han escatimado esfuerzos para perseguir delincuentes digitales a nivel mundial, sobre todo a partir de un ataque que sufrió la compañía Colonial Pipeline en mayo de 2021 y que puso en riesgo la seguridad energética de ese país. Fue tal el efecto del ataque que el presidente Joe Biden utilizó los denominados poderes presidenciales de emergencia, el 9 de mayo de ese año, para prevenir la escasez de gas, diésel y combustible en general y que dejó de fluir por la red de 5.500 millas de oleoductos de la empresa atacada.
Colonial Pipeline pagó 4,4 millones de dólares en Bitcoin un día después del ataque y las autoridades norteamericanas lograron recuperar 2,3 millones de dólares (2). La recuperación demostró que el dinero, así sea en criptomonedas, sí puede ser rastreable y recuperable.
La semana pasada siete hackers rusos fueron desenmascarados y sancionados por Estados Unidos y por el Reino Unido exponiendo sus identidades reales y quedando en la famosa denominada lista Clinton del Departamento del Tesoro de los Estados Unidos. Expertos que consulté me dicen que esos no son peces gordos, pero que lo sucedido demuestra que los ciberdelincuentes, además del dinero, también pueden ser rastreados e identificados. (3)
Frente a la recuperación de datos encriptados por un ataque, esto sí es posible. Uno de los pioneros en este tipo de servicios es la empresa colombiana Grupo Digital Recovery SAS a través de su marca Ransomware Help. Fue fundada por el colombiano Juan Ricardo Palacio Escobar (4). Su hoja de vida e insaciable curiosidad lo terminó especializando en desencriptar datos de ciberataques. Es ingeniero electrónico, de Telecomunicaciones y de Seguridad Informática, estudió también criptografía y análisis forense de datos.
Me contó Juan Ricardo, quien se especializó inicialmente en recuperar datos de discos duros dañados para todo tipo de clientes, desde pymes hasta bancos, que hace varios años un cliente se le acercó con un equipo infectado por un ataque de ransomware y que él se obsesionó con el caso hasta que logró entender el funcionamiento del cifrado malicioso y logró desencriptarlo. De allí en adelante comenzó a atender nuevos casos que asumió como retos personales, pues sintió que no podía dejar solos a sus clientes cuando eran víctimas de un ciberataque y mucho menos a merced de pagar un rescate a un ciberdelincuente.
Hoy, su empresa tiene operaciones en Estados Unidos, Panamá, España, Italia y en Colombia. Es contratado por compañías de seguros a través de ajustadores y tasadores de siniestros que asesoran a las primeras para determinar si se debe o no pagar una reclamación de una póliza de ciberataques.
Hablé con Joseph Mclean, colombiano, socio de Crawford en Colombia, multinacional especializada en asesorar a las compañías de seguros cuando se presentan reclamaciones de siniestros, entre ellas las de ciberseguridad. Me confirmó que ha pedido la ayuda de Palacio en al menos once casos -sin revelar el nombre de las empresas-, los cuales tuvieron resultados de desencriptación de datos exitosos, logrando que el cliente no tuviera que pagar a los ciberdelincuentes.
Palacio y su equipo tienen un conocimiento único, o al menos en Colombia, pues no pude encontrar otra empresa en el país que haga lo mismo. Cuentan con tecnología de punta y metodologías criptográficas que pocas empresas poseen.
frase-destacada
“Quien utilice los servicios de desencriptado solo paga si la empresa de Palacio los puede desencriptar”.
Creo que no es exagerado decir que, a nivel mundial, son contadas con los dedos de las manos las empresas que hacen lo mismo que Ransomware Help.
Quien utilice los servicios de desencriptado solo paga si la empresa de Palacio los puede desencriptar. No todos los ataques de ransomware son iguales, los hay de todo tipo y sofisticación. Se calcula que hay al menos unos 200 a 300 tipos. Con una muestra de los datos encriptados que le envíen a Ransomware Help, ellos determinan la viabilidad de la recuperación, ofreciendo una garantía del 100 por ciento, o según algunos casos de extrema complejidad, una probabilidad de éxito inferior. Prestan además un completo servicio de desinfección en todas las máquinas afectadas y ayudan a detectar qué causó la vulnerabilidad para corregirla y prevenir, en lo posible, futuros ataques.
El mundo cambió desde que los ataques cibernéticos se masificaron. Ahora las empresas, las entidades de gobierno y las organizaciones de todo tipo deben hacer inversiones anuales en ciberseguridad, mantener procedimientos rigurosos de copias de seguridad y entrenar periódicamente a su personal para prevenir ser víctimas de ciberdelincuentes.
Si a la cultura organizacional se le imprime una rigurosa consciencia sobre la importancia de la ciberseguridad, será mucho más fácil prevenir, mitigar y superar un ataque informático. Hay que actuar diligentemente asumiendo que un ataque de este tipo tarde o temprano ocurrirá.
----
(1) La sigla que se ha acuñado para esto es RaaS, que en inglés significa Ransomware as a Service, es decir que un tercero puede adquirir el software o el servicio de ataque cibernético por medio de un modelo de suscripción, compra/venta o comisión.
(2) https://www.thomsonreuters.com/en-us/posts/investigation-fraud-and-risk/colonial-pipeline-ransom-funds/
(3) https://www.wired.co.uk/article/conti-trickbot-ransomware-sanctions-uk-us
(4) Juan Ricardo Palacio E. El sitio web de su empresa de desencriptación de ataques tipo ransomware es https://www.ransomwarehelp.com
---
Si usted quiere compartirme ideas, sugerencias o comentarios acerca de esta columna, por favor escríbame, me interesa conocerlas.
Mi e-mail es: columnaluisarango@gmail.com
