Como te contamos en nuestro artículo sobre ransomware éste, básicamente, es un programa malicioso usado por cibercriminales para cobrar un rescate por la inforamción del usuario. No es de extrañarse que sea uno de los malwares más temidos pues en muchos casos, pese al pago del rescate (usualmente en criptomoneda, ascendiendo a los millones de dólares), el equipo infectado puede quedar con daños irreparables. Dado que las TI evolucionan a pasos agigantados y a la par, los mecanismos para generar daños crecen para explotar vulnerabilidades de una forma mucho más eficiente; así el ransomware, conocido por encriptar y secuestrar información, ahora es también un mecanismo para chantajear y amenazar la vida de los usuarios. Los ataques con este software malicioso han sido especialmente persistentes en la región de América Latina pues tan solo en el 2017, los ataques exitosos aumentaron en un 30% y, desde entonces, su promedio de crecimiento ha sido de un 7% anual.
Los datos
De acuerdo al Panorama de vulnerabilidades de la región, realizado por Kaspersky, entre enero y septiembre del 2020 se detectaron un promedio de 1,300 millones de ataques de ransomware a países de Latinoamérica, lo que significa un aproximado de 5 mil ataques al día. La lisa la encabeza Brasil, donde se registraron un 46.6% de detecciones, le siguen México con el 22.57%, Colombia (8.07%), Perú (5.56%), Ecuador (3.86%), Chile (2.29%), Venezuela (2.17%) y Argentina (1.93%). Los analistas de la firma de Ciberseguridad aseguran que gran parte del impacto del ransomware local, fundamentalmente, a malas prácticas de seguridad de TI en las empresas, así como a la ausencia o desconocimiento de un marco legal aplicable a nivel de gobierno.
Este análisis también hace evidente que muchos de los dispositivos en la región (2 de cada 3 en promedio) poseen vulnerabilidades inmensas, sobre todo una falta de actualización y el uso de sistemas operativos viejos pues, por ejemplo, más de la mitad de las computadoras en Latinoamérica aún utilizan Windows 7 (55%) y más aún, un 5% de los ordenadores usan todavía Windows XP. El problema con el uso de SOs viejos es que éstos ya no se actualizan más y, por lo tanto, sus vulnerabilidades son una puerta abierta para ser explotadas. Así mismo, la tasa de software pirata en América Latina es la más alta en el mundo, con un 66% de programas no legítimos. Esto, en conjunto con credenciales de acceso débiles (contraseñas predecibles, predeterminadas o débiles), aúna a la explotación y vulneración de datos.
Las familias de ransomware más prevalentes explotan vulnerabilidades en sistemas no actualizados y, en muchos casos, llegan como payload en software pirata. De entre este malware, el que prevalece en la región sigue siendo el infame WannaCry, seguido por las familias de REvil —también conocido como Sodin o Sodinokibi—, Maze, Ryuk, Netwalker, Zeppelin, DoppelPaymer, Dharma y Mespinoza.
Los daños
Si bien el promedio de crecimiento del uso de malware en la región se ha mantenido constante, los daños que los ataques han causado son multimillonarios, sea por las condiciones económicas particulares de América Latina, sea por las empresas y sectores que los piratas informáticos deciden atacar. Una constante en los últimos meses ha sido el ataque al sector salud, lo cual no sólo genera pérdidas económicas, sino que vulnera vidas de forma directa.
La evolución de este malware se ha dado por muchos frentes, por ejemplo, aquellos de la clase REvil son los primeros categorizados como Ransomware as a service, es decir, la fuente del malware se encuentra como una aplicación en la nube, que los cibercriminales pueden utilizar —pagando una cuota tipo suscripción— para realizar sus ataques. Sin embargo, la evolución más notable se ha dado con un cambio en los mecanismos de ataque: ya no sólo se encripta la información de la víctima, ahora los piratas informáticos también amenazan con publicar la información en la deep web. Y esta información puede ser desde interna, relativa al funcionamiento y economía de la empresa, hasta datos personales de los usuarios o clientes de la organización, lo cual es un directo atentado contra la vida de los involucrados en la brecha.
Otro de los mecanismos utilizados por los ataques, ahora clasificados como Ransomware 2.0, es la subasta de los datos: una vez que se realiza la primera exfiltración de información en el sistema de la víctima, se le da a ésta un ultimátum. Si no se acepta el pago o si se supera la fecha dada, los datos son subastados al mejor postor, entre éstos puede estar la empresa, que busca recuperar su información pero, dadas las posibilidades de poder explotar dichos datos, suelen ser adquiridos por otros delincuentes a un precio muy jugoso.
De acuerdo a Dmitry Bestuzhev, líder del equipo de análisis e investigación global en América Latina de Kaspersky, “Lo que estamos viendo con el alza del Ransomware 2.0, es que los ataques se están volviendo mucho más específicos y su misión ya no es solo encriptar: el proceso de extorsión se basa en publicar información confidencial en línea. Esto no solo pone la reputación de la empresa en riesgo, sino que implica una posibilidad de demanda a las organizaciones si la información viola regulaciones como la HIPAA [Health Insurance Portability and Accountability Act, o Acta de seguro de salud, portabilidad y responsabilidad, por sus siglas en inglés] o la GDPR [General Data Protection Regulation, o Regulación general para la protección de datos, por sus siglas en inglés]. Es decir, un ataque así puede significar mucho más que pérdidas económicas".
Soluciones actuales para las nuevas amenazas
Como advierte Kaspersky, el ransomware y estas nuevas variantes de ataque son sólo el paso final: antes de ejecutarse, los cibercriminales ya realizaron un reconocimiento de la red y detectaron la información fundamental, por lo que las organizaciones deben pensar en las Ciberseguridad dentro de un espectro más amplio, no solo para eliminar malware y ataques ya realizados, sino para prevenirlos del todo, es por ello que la implementación de un plan de Respuesta a Incidentes es la clave para prevenir, solucionar y reforzar vulnerabilidades dentro del sistema de red de tu organización. El análisis, como primer paso en un plan de RI, no solo ayuda a observar cuáles pueden ser los vectores de ataque a tu empresa, también ayuda a identificar qué información implica más riesgo y, por lo tanto, qué mecanismo es mejor para resguardarla. El Centro de Respuesta a Incidentes de Nordstern Kaspersky, cuenta con expertos en Ciberseguridad que te brindarán un plan detallado de prevención y de pasos a seguir (en caso de ya haber sufrido un incidente y querer evitar una vulneración de nueva cuenta).
Recuerda que uno de los activos más importantes para tu empresa es su reputación y la fiabilidad de tu red para proteger la información de tus usuarios. Si quieres prevenir un ataque o crees que has sido víctima, ¡contáctanos! En el Centro de Respuesta a Incidentes de Nordstern Kaspersky, tenemos una solución para ti.
