El dilema de pagar un rescat cibernètic
Dues empreses de l’estat espanyol han patit recentment ciberatacs de tipus ‘ransomware’, una intrusió que xifra els fitxers dels ordinadors vulnerables i els fa inaccessibles
La setmana passada almenys dues empreses de l’Estat van patir ciberatacs que van deixar inoperatius els seus sistemes informàtics, cosa que les va obligar a alterar la seva activitat durant dies. Una d’elles, la Cadena SER, va haver de prescindir dels ordinadors en la redacció i la producció dels seus programes. No va poder comptar, per exemple, amb els habituals talls de veu amb declaracions de protagonistes de l’actualitat en les seves emissions obligadament analògiques. L’altra, l’empresa Everis de serveis informàtics -propietat de la firma japonesa NTT Data però presidida per Eduardo Serra, antic alt càrrec de l’àrea de Defensa en governs d’UCD, el PSOE i el PP-, va enviar el personal a casa fins que els tècnics van aconseguir aturar els efectes de l’atac.
En tots dos casos, els ciberatacs van ser del tipus anomenat ransomware, una intrusió que xifra els fitxers dels ordinadors vulnerables, i els fa així inaccessibles sense disposar d’una clau de desxifratge que els delinqüents s’ofereixen a proporcionar a la víctima a canvi del pagament d’un rescat monetari, generalment en forma de bitcoins o alguna altra criptomoneda. L’import del rescat exigit en aquesta ocasió no s’ha fet públic, però fonts del sector el situen al voltant dels 190 bitcoins, equivalents a un milió i mig d’euros al canvi actual.
Les primeres infeccions de ransomware daten de fa tres dècades, quan es propagaven en forma de disquets enviats per correu. Però en els últims anys s’han generalitzat. Encara són recents l’epidèmia de WannaCry que la primavera del 2017 va afectar 200.000 empreses de tot el món, i la de Petya uns mesos més tard. Durant l’any passat la incidència de ransomware es va calmar, però ara ha tornat amb força: la firma especialitzada Trend Micro diu haver detectat entre el gener i el juny d’aquest any un 77% més d’atacs de ransomware que durant el segon semestre del 2018. Pels detalls que n’han transcendit, la Cadena SER va ser infectada pel ransomware Ryuk, i Everis, pel BitPaymer, tots dos d’origen rus.
Les infeccions per ransomware es produeixen per imprudència d’algun usuari, que obre un arxiu adjunt o fa clic en algun enllaç web que contenen el programari maliciós. La majoria no es manifesten immediatament. Un cop s’ha introduït en els sistemes, sovint el programari s’hi queda de tres a sis mesos en estat latent, observant els recursos de la xarxa i el comportament dels usuaris fins que troba el moment i la manera més efectius per activar-se. Aquesta activació, que consisteix en el xifratge de documents i altres fitxers, sol tenir lloc durant la nit per dos motius: que hi ha menys presència de personal tècnic capaç de detectar que s’està produint alguna anomalia i la lentitud potencial de l’operació de xifratge, que en el cas d’equips antics i menys potents pot trigar força estona. Algunes de les eines de protecció contra els atacs de ransomware funcionen precisament detectant aquest increment en el consum de recursos en horaris poc habituals.
Protegir-se dels atacs
El risc de ser víctima d’un ciberatac, tant de ransomware com d’una altra mena, es redueix considerablement si s’apliquen mesures preventives. La majoria d’aquestes són de sentit comú.
Primer, aïllar de la xarxa els equips infectats, per si el programari maliciós encara no s’ha propagat. Per aquest motiu les empreses afectades solen enviar els empleats a treballar des de casa o des de les oficines del client.
Segon, disposar de còpia de seguretat actualitzada de tots els fitxers crítics per a l’activitat, per tal de poder aplicar-la substituint els fitxers segrestats. Hi ha qui recomana aplicar la regla del 3-2-1 : tres còpies en dos formats diferents, un dels quals es conserva fora de les pròpies instal·lacions.
Tercer, mantenir al dia els sistemes operatius i les aplicacions. La majoria de les infeccions aprofiten forats de seguretat que els fabricants ja han corregit en les versions actuals dels seus productes, però continuen oberts en els equips on encara no s’ha aplicat l’actualització. Aquesta mesura, tanmateix, no protegeix contra els atacs anomenats de dia zero, que exploten forats que els delinqüents han trobat abans que el mateix fabricant.
Quart, restringir i protegir l’ús de les funcions d’administració de sistemes. Les infeccions ataquen i es propaguen precisament fent servir els privilegis d’administració. Si us trobeu que no teniu permisos per instal·lar tot el que us sembli al vostre ordinador de la feina és per aquesta raó, entre d’altres.
Cinquè, disposar d’eines defensives. Totes les empreses que us deuen sonar pels seus antivirus -Kaspersky, Sophos, Symantec, S21Sec, CheckPoint, Trend Micro, ESET- i altres de l’àmbit de la defensa com Raytheon estan ampliant les seves capacitats a la prevenció d’atacs de ransomwar e mitjançant tècniques diverses com la detecció d’activitats sospitoses.
En cas de ser víctima d’un atac de ransomware, sorgeix el mateix dubte que en qualsevol altre tipus de segrest: ¿hem de pagar el rescat que ens exigeixen els malfactors? Com en els segrestos de persones, la recomanació més freqüent és no fer-ho: malgrat haver pagat, no tens cap garantia de recuperar els fitxers, i en cas que te’ls tornin, ja t’hauràs significat com a vulnerable i candidat a nous atacs en el futur.
Ara bé, en la pràctica moltes víctimes de ransomware acaben pagant, encara que no ho reconeguin. Hi ha un motiu principal: sovint les companyies de ciberassegurances -segment on destaca la britànica Lloyd’s, especialista en assegurar riscos atípics com les conseqüències del canvi climàtic o la veu de Bruce Springsteen- prefereixen cobrir el preu del rescat que el de les sovint complicades operacions de recuperació de la normalitat a partir de les còpies de seguretat. En el sector se citen els casos dels municipis nord-americans de Baltimore i Atlanta, que per estalviar-se rescats de 76.000 i 51.000 dòlars, respectivament, han acabat assumint uns costos de recuperació de la informació de 5,3 milions en el primer cas i 8,5 milions en el segon. També cal saber que diverses empreses de ciberseguretat han estat enxampades presumint d’haver recuperat els fitxers segrestats gràcies a alguna tecnologia pròpia, quan, en realitat, no havien fet res més que pagar el rescat, després d’acordar un descompte amb els delinqüents. Lleig, molt lleig.