Ciberseguridad para no informáticos I
Ransomware qué es y cómo funciona
Entendemos como ransomware un programa informático realizado con fines delictivos cuyo funcionamiento básico se basa en la encriptación de los ficheros de la víctima con un algoritmo robusto las claves del cual solo son conocidas por el atacante. Es una forma de secuestro digital mediante el que se pide un rescate o se extorsiona a la víctima y lleva ya unos años conviviendo entre nosotros, causando daños económicos y en algunos casos graves, provocando cierres de empresa que no han podido paliar las consecuencias de los ataques.
En estos últimos años, más concretamente desde la aparición de la actividad delictiva del secuestro de datos basado en ransomware, la ciberseguridad está en boca de todos.
Ha pasado de ser un término asociado a grandes corporaciones y gobiernos a formar parte de las preocupaciones y del día a día de las pequeñas y medianas empresas.
Venimos de un modelo anterior en el que el porcentaje de digitalización de las empresas era muy bajo, en el que la informática era algo necesario, pero no imprescindible. Y ahora, nos hemos metido de lleno en un modelo en el que aquellas empresas que no están digitalizadas pierden competitividad a marchas forzadas y “se quedan fuera”.
Este cambio se ha producido a una velocidad muy elevada, que no ha dejado margen de maniobra en muchos casos produciéndose una gran brecha entre la “necesidad actual” y el “estado actual”, siendo que muchas empresas no tienen ni los medios ni el conocimiento, ni la estructura necesaria para afrontar con garantías un cambio tan veloz. Y en contadas ocasiones, aun contando con esos recursos, carecen de la cultura de empresa necesaria sobre el campo de la ciberseguridad.
En resumen, la ciberseguridad a entrado por la puerta grande sin preguntar planteando un desafío muy grande para las PYMES.
Ataques de ransomware
¿Por qué tanta prisa justo ahora? La era digital y el ransomware
Se ha producido un cambio radical en el “lado oscuro” y para entenderlo hay que situarse en el punto de vista del atacante. Un hacker se enfrenta a dos problemas básicos para tener éxito en su actividad cuando esta se orienta a obtener beneficios económicos:
- Dificultad técnica del ataque: hay que acceder a algún dispositivo de la víctima, ya sean ordenadores convencionales o servidores centrales, y esto es complejo según el tipo de infraestructura a la que se enfrentan.
- Dificultad de cobrar el pago: Si finalmente obtiene algún tipo de beneficio económico, lo ha de poder cobrar evitando a los cuerpos de seguridad de los distintos países y esto, desde luego, no es nada sencillo.
Cómo prevenir el ransomware
¿Cómo minimizan la dificultad técnica? La ingeniería social
Hay 3 factores fundamentales que juegan alineados actualmente.
Como primer factor, un acceso masivo de personas a la red y la digitalización de las empresas, ha provocado que el eslabón más débil, el usuario, sea el blanco perfecto para minimizar la dificultad técnica. Mediante métodos de engaño basados en ingeniería social, los hackers consiguen un punto de entrada a las estructuras de las empresas de forma más sencilla y de ahí, saltan internamente aprovechando los privilegios sobre el sistema que tiene la víctima o saltando a otra con más privilegios una vez están dentro, hasta llegar al punto central de la estructura.
La clave en este punto es que la cantidad de usuarios que acceden a la red ha crecido exponencialmente. A más usuarios más puntos potenciales sobre los que probar suerte en un ataque.
Como segundo factor, hay dos componentes que van de la mano, la velocidad de acceso a internet y de las redes en general, y la potencia de procesamiento de los terminales. Estos dos conceptos se alinean facilitando los ataques online por una parte y ejecutando software malicioso de gran potencia en la víctima por otra, lo cual permite sofisticar los ataques con tecnología vanguardista debido a que los medios usados soportan la exigencia de la misma.
Como tercer factor, y consecuencia directa del segundo, nace el ransomware. Este tipo de aplicación maliciosa, se nutre de los estándares de encriptación más robustos, de la potencia de cálculo de los terminales que infecta y de la conexión rápida a internet que tienen los mismos para acabar siendo la herramienta perfecta para el atacante.
Cómo funciona ransomware?
La herramienta perfecta
Para entender cómo funciona el ransomware, hay que comprender los principios básicos de la criptografía de clave asimétrica.
Querido lector, no sufras, lo voy a tratar de explicar de forma sencilla.
Se denomina de “clave asimétrica” porque se compone de dos claves, una clave pública y otra privada que forman un par único y se relacionan entre ellas también de forma única. Este estándar se usa activamente para “cifrar datos” y para “autenticar datos”.
Fundamentalmente, estas dos claves se pueden usar entre ellas para cifrar un mensaje con una y descifrarlo con la otra y viceversa. Además, su forma de generación garantiza que son únicas.
Hay mucha más contenido en la red que amplía esta información, por ahora con esta base es suficiente para avanzar en este artículo.
Hasta aquí, si yo quisiera cifrar un documento con criptografía de clave asimétrica y mandarlo a otra persona necesito tener un par de claves (las mías) y que la otra persona tenga otro par de claves (las suyas).
Ambos conocemos la clave pública del otro, pues como su nombre dice es pública, pero no conocemos su clave privada. Para mandar un mensaje solo tengo que coger la clave pública del destinatario, cifrarlo y mandarlo.
Él y solamente él, es capaz de descifrar ese mensaje con su clave privada porqué el mensaje está cifrado con su clave pública y como hemos comentado anteriormente, estas se relacionan de manera única entre ellas.
Ni qué decir tiene que, el cifrado que se usa es suficientemente robusto para ser matemática y computacionalmente invulnerable a los intentos de ruptura del mismo.
Supongamos ahora que nuestro atacante accede al terminal de la víctima y genera sus dos pares de claves, su clave pública y su clave privada.
Accede de forma ilícita al ordenador de la víctima y cifra con su clave pública los datos. En ese momento, los datos están cifrados y él y solamente él es capaz de descifrarlos con su otra clave, la privada.
La víctima no puede leer sus archivos ni tampoco descifrarlos. En adelante, sus ficheros están secuestrados hasta que el atacante, con su clave privada, los descifre.
Todo esto es posible porque el ordenador de la víctima tiene potencia suficiente para cifrar todos los datos de manera rápida y en cuestión de minutos el ordenador queda inutilizado.
Además, el hacker solo tiene que conseguir ejecutar el virus y quedarse con la clave privada, tarea fácil una vez ha conseguido entrar en el sistema.
Esta es una aproximación muy sencilla, pero hay que destacar que al ser ataques muy rentables (luego explicaremos porqué) los hackers desarrollan cada día formas nuevas de sofisticar más y más este tipo de actividad perfeccionándola sistemáticamente.
Como dato de interés, en sus inicios, el ransomware apuntaba a “cualquiera” porque las campañas de infección se realizaban de forma masiva, afectando a usuarios de empresas pequeñas y grandes sin discriminación.
Con el tiempo, los hackers han visto que las empresas pequeñas y usuarios de a pie no tienen capacidad de pago o sencillamente deciden no pagar y por ello, la tendencia ha cambiado. Los ataques se han especializado en objetivos más concretos y estudiados para afectar a empresas críticas que llegado el momento, no tengan más remedio que pagar (hospitales, ayuntamientos, grandes corporaciones) cantidades enormes de dinero.
Ransomware. La doble extorsión
¿y si además de cifrar la información me la envío?
Ricemos el rizo. Imaginemos que nuestro hacker accede al terminal de la víctima y antes de cifrar los datos, de forma sigilosa, identifica los ficheros que encuentra y se guarda una copia de una base de datos o de archivos confidenciales.
Con las conexiones de fibra óptica que existen hoy en día, no es nada extraño que consiga enviarse una gran cantidad de información en un periodo corto de tiempo. Una vez los tiene, cifra y realiza el secuestro de los mismos
Lamentablemente, se han dado casos en que un atacante extorsiona de forma doble a la víctima exigiéndole el pago por descifrar los ficheros y además amenazándola con publicar información sensible.
Obtener el pago
Y el rescate
Ahora que hemos visto de forma básica cuánto daño puede hacer y porqué el ransomware es la herramienta estrella de un hacker, si deseas entender cómo se enfrentan los atacantes al segundo gran problema de “obtener el pago” y cómo lo resuelven consulte este artículo.
Infraestructura tecnológica
Seguridad, control y prevención para pequeñas y medianas empresas. Adaptamos los proyectos a las necesidades del cliente.