Cómo funciona un ransomware
Urudata
Los atacantes suelen manejarse durante horas, días, semanas y meses en tu computadora de manera sigilosa e imperceptible para los usuarios. En ese lapso, el atacante se va moviendo dentro de la red y va copiando y extrayendo la información de a poco, sin que te des cuenta. "Puede ser de a pocos megas por un período muy largo de tiempo, para no activar alarmas”, indicó.
En general, la puerta de entrada al ransomware es una persona o empleado de una empresa que cae a través de un phishing: un mail que simula ser de alguien conocido donde se envía un documento (o un enlace para su descarga) que la persona tiende a abrir.
DALL·E 2024-07-31 11.52.29 - A pure, animated, cartoon-style image illustrating ransomware. A computer screen with a clear red warning message that says 'Your files are locked!' T.webp
Imagen creada con inteligencia artificial.
DALL-E
Hoy estos mails están mucho más personalizados y se torna dificultoso detectar el engaño. Esto significa, por ejemplo, que si sos abogado probablemente te llegue algo relacionado a un proceso legal a tu casilla de correo electrónico. Allí podría haber un documento PDF como adjunto, el cual (erróneamente) procedes a abrir.
¿Qué pasa cuando lo abrís? Das inicio a la secuencia de ataque para que finalmente se extraigan datos y luego se cifren todos los archivos que se poseen en el computador (o red), modificando contenido y formato. Al darle doble clic a estos archivos cifrados, la computadora no interpreta qué tipo de archivo es y no logra abrirlos.
Lo único legible en la computadora de la víctima es la llamada “Nota de rescate”. Allí dan información clave sobre lo sucedido. Primero, el grupo cibercriminal se identifica, luego dice que los archivos que están en tu computadora fueron encriptados, advirtiendo al usuario que no intente recuperarlos con algún programa informático porque hacerlo será "inútil" e "irrecuperable", además de poder llegar a alterarlo de forma definitiva.
Por último, piden que se pongan en contacto con ellos, brindando enlaces a salas de chat que estos cibercriminales poseen. Para navegar a estos enlaces es necesario acceder a través de Tor, un navegador especial que accede a la internet profunda.
Chats y negociación
En la sala de chat empieza lo más difícil: la negociación.
En general, el monto inicial está en un 5% de los ingresos anuales de la empresa o unos miles de dólares a un particular.
"Una vez que vos entrás en la etapa de negociar... tenés que ser consciente de que ya perdiste. Tu objetivo será generar el mal menor", indicó.
Esto significa que la información cifrada ya está perdida, por lo cual todo lo que tiene que ver con la prevención (si es que existió), ya no corre.
A la hora de decidir negociar o no, más allá de ser conscientes de que se va a negociar con cibercriminales, con todos los conflictos éticos que esto encierra, hay que saber primariamente qué tipo de información es la afectada. "Depende mucho de qué tipo de información o cuál es la naturaleza de la empresa a la cual le robaron la información", indicó.
La tarea de negociador es nueva en Uruguay, apuntó el experto, mientras que en otros países ya hay profesionales dedicados a esta actividad.
Por lo general, el proceso lleva unos días de ofertas y contraofertas, pudiéndose llegar a lograr montos por debajo del 50% del reclamado en un principio.
El monto final a pagar está relacionado directamente con las habilidades del negociador.
Cuando terminan de acordar el precio, la persona debe pagar en criptomonedas a una billetera virtual designada por el atacante, donde luego son derivadas a otras, volviéndolo imposible de rastrear por las policías.
"Para estos procesos de negociación, los sindicatos cibercriminales poseen grandes call centers que funcionan 24 horas al día, donde se hace la atención (negociación) y seguimiento al cliente (víctima)", indicó López.
¿Qué pasa luego del rescate?
Los atacantes se encargan de enviar un descifrador y una clave única. Este descifrador es un pequeño programa informático que, al iniciarlo, pide que se escriba la clave, la cual es única en cada ataque. Al ejecutar el descifrador con la clave, inmediatamente los archivos vuelven a mostrarse como estaban originalmente.
Una duda de quienes son nuevos en este tema es si el pago del rescate garantiza la recuperación de la información. López explicó que si los atacantes no cumplieran con su promesa de desencriptar la información, disminuiría significativamente la eficacia y rentabilidad de futuros ataques a otras potenciales víctimas. Consideró que no descifrar los archivos comprometidos luego de un pago no es negocio para los atacantes.
"Ellos quieren que digas a otros: 'a mí me pasó, pagué y resultó que desencriptaron los datos'. Su cometido es que vos tengas una buena referencia del atacante. Es más: existen casos registrados donde el propio atacante llega a hacer recomendaciones a la víctima para disminuir el riesgo de futuros ataques”, indicó.
El caso Crowdstrike
Esta compañía es considerada la número uno en la protección de incidentes de ciberseguridad en el mundo.
Es como tener un policía fuertemente armado e inteligente en tu computadora, capaz de monitorear todo el comportamiento de los programas y, ante algo sospechoso, lo detiene de inmediato.
Urudata, que es distribuidor en Uruguay de esta tecnología, señaló que Falcon, el nombre del programa que se instala en las computadoras, se actualiza todos los días todo el tiempo.
El apagón informático obedeció a que en la última actualización tenía un archivo defectuoso para Windows. Eso causó la llamada “pantalla azul de la muerte”. Simplemente las computadoras debieron restablecerse una a una para que pudieran volver a operar con normalidad.
Como las empresas que necesitan sí o sí este tipo de programas para protegerse de ataques informáticos (aerolíneas, hospitales, gobiernos), cayeron por este error de Crowdstrike.
"Se actualiza varias veces al día, para asegurarse de que siempre está al tanto de las últimas tácticas de amenazas. Esta práctica es esencial para mantener la protección contra nuevo software malicioso, en especial nuevas variantes de ransomware", indicó el experto. López lo resumió así: "Es la evolución del antivirus clásico. Es un software de detección y respuesta", contó López.
¿Qué hace el software de Crowdstrike?
Si un usuario baja un archivo contaminado con ransomware y quiere abrirlo, el software de Crowdstrike lo detiene y lanza una advertencia. Allí se señala que la computadora intentó abrir un archivo malicioso y reporta qué nivel de riesgo tiene este comportamiento para que el propio Crowdstrike, o uno mismo, tome las acciones pertinentes.
¿Cómo resguardar la información?
López abogó para que las empresas guarden la información en un lugar distinto a la computadora o red que se quiere respaldar.
Instó a que se haga en un sitio distinto y desconectado del principal y, por supuesto, tomando medidas de prevención.
