A raíz del ataque que sufrió el sistema informático del Poder Judicial de Córdoba, muchos se preguntan quiénes son estos delincuentes, cómo se organizan y operan, y cuál es su objetivo. La Voz dialogó con especialistas para arrojar algo de luz frente a estos hechos.
Lo primero que hacen estos grupos es reunir información de las empresas u organizaciones que son candidatas para sus ataques. Lo hacen a través del spear phishing, una forma especial derivada de suplantación de identidad que se diferencia porque se realiza con una intención maliciosa.
Buscan empresas que tengan datos sensibles, manejen dólares y tengan una visión de mercados extranjeros. También se tiene en cuenta que cotice en bolsa o esté anclada en países que no tengan educación en ciberseguridad, y se aprovechan del descuido de algún empleado que pueda abrir un archivo o enlace malicioso.
Para lograr ingresar al sistema de la compañía, buscan información pública como datos de empleados y sus vías de contacto. “El mecanismo se hace a través de un e-mail en un 70 u 80 por ciento de los casos, en el que los atacantes se hacen pasar por una persona importante, un gobierno u otro individuo que forme parte de su organización”, cuenta Dan Borgogno, security engineer de empresas cordobesas.
“El correo tiene un archivo, que se ve inofensivo y dentro de este puede tener un ejecutable que active un virus”, agrega.
Otra de las vías menos comunes es el ingreso a través de programas desactualizados y que tengan vulnerabilidades.
A partir del ingreso se inicia una etapa de descubrimiento, en la que de modo desapercibido los hackers comienzan a rastrear en la red de la empresa los sitios con datos de valor. Siempre actúan con un control remoto o como los especialistas lo llaman “backdoor”. Los datos relevantes para los hackers son aquellos con los cuales la empresa trabaja. Mientras más críticos sean para los atacados, más puede llegar a ser la recompensa que piden los hackers.
“Usualmente, las empresas grandes tienen lo que se llama software de detección de anomalías o detección de malware, que monitorean cuando existe actividad sospechosa”, dice Borgogno. Aun así, muchos grupos pasan desapercibidos.
Que pasa después de la exploración
Una vez que descubrieron los datos “picantes”, empiezan el proceso de ejecutar lo que se llama el ransomware, un programa que se encarga de cifrar la información. El cifrado en ciberseguridad es la conversión de datos de un formato legible a un formato codificado, así los datos cifrados solo se pueden leer o procesar luego de descifrarlos.
En los casos de los ciberataques, para volver a recuperar la información cifrada es necesaria una clave, la cual debe proveer el hacker. Lo que sucede en este punto es que el atacante para ofrecerla pide algo a cambio, por lo general una recompensa económica.
“Cuando una empresa es víctima de un ataque, lo que está viendo son sus propios archivos, pero totalmente ilegibles. Lo que se necesita es entonces, la clave para volverlos al estado anterior”, explica Dan.
El pago que exigen a cambio de “soltar” los servidores por lo general se pide en bitcoins, ya que se trata de una moneda que opera entre usuarios anónimos. Según los expertos, es posible contratar algún especialista, pero ello no asegura la recuperación los archivos, dado que son ataques difíciles de sortear y se precisa de muchos conocimientos.
Se puede dar que la organización afectada no pague y la consecuencia es la publicación de los datos sensibles en internet. Aquí entra en juego el derecho a la protección de datos personales, como puede ser información de registros médicos. El impacto es directo sobre los clientes o implicados en esos datos que salieron a la luz, y la institución pierde credibilidad.
“Ya pasó en muchos casos que una víctima ha pagado y no se le ha devuelto la clave para que pueda recuperar los archivos. Muchos analistas en seguridad recomiendan no pagar y tener mecanismos de prevención”, cuenta el experto.
Cómo prevenir los ataques
- Educación: en cualquier organización las personas deben estar educadas en ciberseguridad (no bajar cualquier archivo, que identifiquen e-mails fraudulentos, comunicar ante cualquier duda)
- Tener un equipo especializado propio: lo ideal es tener personal que se encargue de realizar un seguimiento a la seguridad en general de las operaciones de cada uno de los empleados.
- Detección: esta acción apunta a rastrear en caso de que un ransomware se esté ejecutando, determinar su origen y sus intenciones en la red de la empresa.
- Tener un back up de datos: ejecutar este tipo de acciones de manera diaria ya sea en la misma computadora o en otras y a su vez, almacenar los mismos datos en dispositivos externos (pendrives o disco duros).
