Todos los días nos levantamos con noticias de nuevos ataques tanto a organismos públicos como a empresas privadas, recientemente los medios se han hecho eco de ataques tan relevantes como el de Colonial Pipeline o Ireland Health Service Executive (HSE), entre otros. De hecho, desde 2019, más de 2.100 empresas a nivel mundial han reportado ataques de ransomware por parte de más de una treintena de grupos organizados de cibercriminales tales como Wirad Spider, Maze, DoppelPaymer, DarkSide, Sodinokibi (REvil), Avaddon, RansomEXX, DarkTracer, DoppelPaymer o Babuk.
El problema no se limita a un número concreto de países sino que se extiende por todo el planeta hasta el punto de que debe de ser afrontado de manera global; hoy en día, es imposible que un estado, una entidad o una empresa pueda combatir un cibercrimen por sí sola, ya que nos encontramos en una guerra asimétrica donde los grupos delictivos van un paso por delante, podríamos decir siguiendo el símil bélico que los combates se realizan en un campo de batalla diferente a los hasta ahora conocidos. Por otra parte, nos encontramos con que los ataques cibernéticos son uno de los negocios más lucrativos actualmente, y han llevado a las mafias a reconvertirse, dejando de lado otras actividades delictivas y recalando en esta, sobre todo debido a que este tipo de actividad les da una seguridad que otras acciones delictivas no les proporcionaba, debido a múltiples factores.
El primero factor es la facilidad de mover los beneficios obtenidos con el cibercrimen de manera anónima, a lo que se suma que, mediante las criptomonedas, también sea de modo rápido, seguro y anónimo; pensemos que las criptomonedas les ha permitido realizar las extorsiones de forma segura y anónima y ha llevado a que la mayoría, por no decir el cien por cien, de los chantajes de ataques de ransomware exijan el pago en criptomonedas, llegando a realizarse pagos por cantidades superiores a los varios millones de dólares.
La posibilidad de llevar a cabo ataques a todo tipo de objetivos -por ejemplo, países donde la seguridad jurídica o la persecución de este tipo de delitos es nula o muy laxa-, es un segundo factor a tener en cuenta. Incluso nos encontramos con estados que se aprovechan de este tipo de bandas delictivas para atacar intereses económicos de países rivales con fines geopolíticos, llegando a darse el caso de que algunos de los grupos delictivos que realizan ataques están sustentados por fondos de los gobiernos y su interés no es tanto económico como político, para debilitar la economía de un país vecino mediante el ataque a sus empresas.
Muchos escollos que superar
Un tercer factor es que la colaboración entre estados para combatir a este tipo de bandas delictivas todavía no es lo suficientemente potente a nivel global, dado que los escollos a superar son muchos, entre ellos podríamos destacar que: por un lado, muchas veces desde donde se origina el ataque o se mantiene la infraestructura para realizar dichos ataques suele perseguirse este tipo de delitos de una manera laxa; se dan casos en los que los delincuentes que ejecutan este tipo de ataques pueden estar en un tercer país diferente al que mantiene la infraestructura; además, se ha profesionalizado tanto el cibercrimen que, muchas veces, quien realiza el ataque no es el propietario del software sino que lo usa como un servicio, con lo cual si ya es difícil combatirlo en un país, mucho más complejo es tratar de frenar al cibercriminal lidiando con varias legislaciones totalmente diferentes e incluso intereses políticos distintos.
En cuarto lugar, cabe destacar que este tipo de delitos se ha profesionalizado, el cibercrimen funciona con una estructura piramidal donde el que genera el ransomware o malware, por decir un tipo de ataque, lo proporciona en modo RaaS (Ransomware as a Service) a otros grupos delictivos o personas que realizan los ataques al objetivo o víctima y, después, la recompensa o el beneficio de este ataque se distribuye entre los diferentes actores, saliendo beneficiados todos y, por supuesto, desde el anonimato de la Darknet; se puede decir que esto recuerda mucho a las películas de Ocean’s Eleven, donde se juntan diferente actores con cualidades distintas para cometer la estafa y luego, una vez obtenido el beneficio, se lo reparten y se separan hasta el siguiente golpe.
Cómo luchar contra la ciberdelincuencia
Una vez definidos algunos de los puntos que explican por qué la ciberdelincuencia está viviendo su momento de oro, debemos analizar qué podemos hacer para intentar combatirlo en un mundo donde claramente vamos hacia una transformación digital en todos los aspectos de la vida y debemos contar con que hay un “Salvaje Oeste Cyber” que está presente entre todos nosotros.
Lo primero que hay que tener en cuenta es que existe un nuevo escenario, la Darknet, donde los delincuentes cibernéticos se mueven como pez en el agua. Esto hace que haya que potenciar la Targeted Threat Intelligence, es decir la ciberinteligencia por parte de los organismos competentes, así como empresas especializadas que colaboren tanto con compañías privadas como con organismos públicos. Debemos detectar a los delincuentes, ya sean un grupo o un individuo, antes de que realice el ataque, es mejor prevenir que remediar; esto tiene que ser una labor de cooperación público-privada de aquellos países que realmente quieren combatir este tipo de delincuencia que es la más peligrosa. Actualmente, sabemos que algunos estados no lo harán, ya que les interesa que exista este tipo de grupo de cibercrimen.
En segundo lugar, tenemos que pensar que todo ataque comienza por el eslabón más débil de la cadena que es el humano, y en la red actualmente existe la información suficiente sobre cada persona para explotar esa debilidad mediante ingeniera social, con lo cual, concienciar a las personas sobre las buenas prácticas de uso (aplicaciones, correo electrónico, navegación web, etc.) que llevan una carga viral por debajo evitará muchos potenciales ataques; esto unido, por supuesto, a las medidas de seguridad que las empresas implantan y que tienen que ir enfocadas al concepto de Zero Trust, especialmente en la sociedad actual donde el teletrabajo ha venido para quedarse.
Como tercera acción hay que analizar de dónde se está obteniendo más beneficio en delitos cibernéticos; posiblemente sea en el cifrado de datos mediante ransomware, ya que se pide un rescate por la clave de descifrado o, en su defecto, si no pagas dicho rescate se chantajea con la publicación de los datos en foros públicos para provocar daño reputacional o económico al objetivo del ataque. En este sentido, potenciar técnicas de cifrado de la documentación sensible o confidencial de una organización debería ser una prioridad hoy en día, lo mejor es ponérselo lo más difícil posible al delincuente para que no pueda acceder a lo que busca y –si consigue acceder– que no pueda utilizarlo a su antojo. No nos olvidemos que esto es un negocio y los ciberdelincuentes no van a perder tiempo en robar información de un sitio que presenta una gran dificultad si tienen cientos de miles de objetivos más fáciles.
Ciberinteligencia preventiva
El 7 de mayo de 2021 puede que sea una fecha que muchos ciberdelincuentes no olviden fácilmente ya que se produjo un ataque de ransomware a Colonial Pipeline, empresa americana que distribuye petróleo por la costa este de Estados Unidos transportando dos millones y medio de barriles diariamente y proporciona el 45% del fuel consumido en la costa este del país. El impacto de este ataque provocó que parte sus sistemas se tuvieran que apagar para evitar la expansión del ransomware, lo cual produjo la falta de servicio de esta empresa a sus clientes y la declaración del estado de emergencia en 18 estados de Estados Unidos. Este incidente ha provocado presiones a nivel político para que países donde haya redes de ransomware tomen medidas para cerrar dichas infraestructuras y se intente detener a los cibercriminales.
El grupo DarkSide, que comenzó sus operaciones a mitad de agosto del 2020 y proporciona un servicio de Ransomware as a Service, fue identificado por el FBI como el autor de dicho ataque; DarkSide ha sido responsable en el último año de ataques a empresas como Companhia Paranaense de Energía (Copel) en Brasil, el proveedor de MSP Compucom de USA y la compañía canadiense Discount Car and Truck Rentals, entre otros.
Las presiones realizadas para combatir el cibercrimen han provocado que el grupo DarkSide haya perdido el acceso a parte de su infraestructura como blog, servidores de publicación de datos, pasarelas de pago y sus servidores de replicación, debido a la acción policial que ha provocado el cierre de su servicio de RaaS de cara a sus colaboradores.
Esto nos da una idea de cómo combatir esta nueva generación de ciberdelincuencia, donde se necesita una implicación real de todos los países, ya que los cibercriminales actúan a nivel global y, muy especialmente, la aplicación de una ciberinteligencia preventiva.
En definitiva, además de las medidas tradicionales de seguridad que cualquier organización debe implantar a nivel de tecnología IT/IoT/OT, es importante enfocarse en realizar una inversión en dos pilares: en el ser humano y en la información o los datos de la empresa, que son las dos joyas de la corona de cualquier compañía. Así, podremos ponérselo un poco más difícil a los cibercriminales y les resultaremos menos atractivos de cara a atacarnos; y mientras, debemos potenciar la ciberinteligencia para intentar saber si nos van atacar antes de que lo hagan.