En este artículo haremos un repaso sobre la situación de los ciberataques de la que partíamos, justo antes de extenderse mundialmente el COVID-19 (enfermedad infecciosa causada por el coronavirus SARS-CoV-2), y reflexionaremos sobre qué relación pueden tener con la llegada de la pandemia. Para empezar, veamos sólo algunos ejemplos de instituciones atacadas poco antes de la gran alerta mundial, con el fin de poner las cosas en contexto:
- Universidad de Maastricth, navidad de 2019: severo ataque de ransomware.
- Universidad de Burgos, mediados de Enero: base de datos vulnerada.
- Hospital Universitario de Torrejón de Ardoz, también a mediados de enero: un virus informático afecta a la disponibilidad de varios sistemas de información.
Estos ejemplos muestran que cualquier organismo, antes o después, va a enfrentarse a una crisis ocasionada por un ciberataque. Y no se trata simplemente de que las empresas, organismos oficiales, universidades, centros sanitarios, etc. sean atacados, pues esto ocurre a diario: se trata de la envergadura de los daños producidos y de si van a ser difíciles de reparar. En este caso, se tendrá que instaurar de forma urgente un Gabinete de Crisis, que trabaje de manera ininterrumpida hasta restituir la situación.
Para las empresas esto cobra especial importancia, porque hoy en día más que nunca, los ciberataques están incluidos entre aquellas situaciones que ponen a las organizaciones en un riesgo real de desaparecer. Otras situaciones catastróficas son, por supuesto: los incendios, inundaciones, accidentes, etc. Pero qué duda cabe que, en los tiempos actuales, los ciberataques son un riesgo latente diario que no puede pasarse por alto; y me atrevería a afirmar que son incluso más peligrosos para la continuidad de una empresa, que riesgos de cualquier otro tipo.
La crisis originada por el COVID-19 ha dejado fuera de juego a particulares, autónomos y empresas. Y es que, en cuestión de muy poco tiempo, ha cambiado de golpe todo el panorama sanitario y económico; y se han alterado todas nuestras vidas.
Las empresas que opten por implementar un Sistema de Gestión de Continuidad de Negocio, estarán preparadas para restablecerse operativamente tras un incidente que hubiera provocado su interrupción; y obviamente, podrán prevenir mejor las posibles pérdidas económicas. Actualmente esto tiene más sentido que nunca, por la avalancha de ciberataques que se producen.
La norma ISO 22301 es un reglamento internacional enfocado en la gestión de la continuidad de negocio. Permite establecer una serie de requisitos para implementar una serie de procesos (planificación, operación, supervisión y mantenimiento) dedicados a proteger a la empresa de incidentes que la puedan llevar a la interrupción de su actividad, minimizar las probabilidades de que esto ocurra, y conseguir la recuperación de esta en el menor tiempo posible. Este modelo es aplicable en cualquier tipo de organización, con independencia del tipo de servicios que preste o cual sea su tamaño; pero no se debería pasar por alto en aquellas empresas con una fuerte presencia online y, por tanto, candidatas a sufrir un ciberataque que pueda afectarles gravemente. Ibermática fue la primera empresa española en obtener esta certificación, y eso ocurrió a mediados del año 2011.
El debate es: ¿Están preparadas las empresas españolas para afrontar lo que supone la crisis del COVID-19 en todas sus variantes? La respuesta es que no. De hecho, no hay más que mirar la enorme cantidad de ERTES que se llevaron a cabo en España sólo en las primeras semanas del estado de alarma y que han seguido aumentando, y la desaparición de negocios que no volverán a abrir.
Si algo ha demostrado el COVID-19, es que ningún país, por adelantado, moderno o tecnológico que fuese, tenía desarrollado un Gabinete de Crisis que pudiese hacer frente a una situación así. Obviamente, veremos en los próximos meses y años, cumbres nacionales e internacionales y acuerdos para desarrollar planes coordinados: internos, y entre países y fronteras. Porque nuevas pandemias vendrán en un futuro y tenemos que ser capaces (esta vez sí) de aprender de los gravísimos errores que se han cometido, y que nos han llevado a tanta destrucción en términos de vidas, bienestar social y empleo.
Todo parece indicar que los ciberataques han aumentado alarmantemente en medio de la crisis provocada por el colapso social, sanitario y económico. La mayoría de las empresas han tenido que cambiar sus esquemas para poder seguir funcionando. Han trasformado muchos de sus procesos del mundo físico, al mundo online; y esto hace que ahora sean vulnerables. El teletrabajo ha venido para quedarse. Sin embargo, debido a la pandemia, se ha tenido que implementar deprisa y corriendo. Esto ha supuesto no tener tiempo en muchos casos para prestar atención a los agujeros de seguridad. La protección que pueda tener la conexión doméstica normalmente es inferior, porque en gran medida depende del propio empleado.
La utilización de aplicaciones de videoconferencia se ha extendido enormemente, y también ello supone un incremento de posibilidades para los cibercriminales. El caso más conocido es el de ZOOM. A raíz de su utilización masiva, se descubrió que presentaba bastantes vulnerabilidades y la empresa tuvo que ponerse las pilas para solucionarlo. Pero aún así, es importante que los usuarios de este tipo de aplicaciones de telepresencia tengan claro que deben saber configurarlas con ciertos parámetros, para hacer más seguro su uso y que de esa forma no sea fácil colarse y comprometer la privacidad.
Y no solo tenemos el caso de ZOOM, también ha aumentado lógicamente el uso de aplicaciones como Skype, Google Hangouts, Google Meet, Cisco Webex, Microsoft Teams, etc. y esto ha provocado un incremento masivo de envío de correos maliciosos, con falsos archivos de instalación de dichas aplicaciones, que vienen infectados con malware muy peligroso. O correos donde se indican direcciones de páginas fraudulentas desde la cuales descargarse los instaladores de ese tipo de aplicaciones, que luego no son tales.
Las personas pasamos ahora mucho tiempo en casa usando nuestro ordenador y nuestro Smartphone, para mantenernos en contacto con nuestra empresa, médico, instituciones públicas, escuela, amigos y familiares. Utilizando la tecnología moderna que tenemos en casa, nos mantenemos productivos en nuestro trabajo y en la gestión de otras actividades, pero también somos más susceptibles a los ciberataques. Y esto no lo digo yo: nos los explican muy bien en el siguiente artículo de ENISA (European Union Agency for Cybersecurity):
Securing smart infrastructure during the COVID-19 pandemic
En ese artículo indican que proteger no sólo los hogares inteligentes (conectados con dispositivos IOT) sino también los edificios inteligentes, se vuelve más relevante que nunca por la crisis que ha provocado la pandemia del COVID-19. ENISA presenta en ese artículo varias medidas fundamentales para proteger los dispositivos inteligentes.
Y para tener un buen punto de partida en relación a la situación en la que estábamos antes de la aparición de la crisis provocada por el COVID-19, nos sirve de referencia la información publicada en el siguiente reporte de ACCENTURE relativo al panorama de las ciberamenazas.
Según ese reporte, y aunque sea de agosto del 2019, si que nos pone tras la pista de varias cosas importantes a tener en cuenta:
La desinformación y la tecnología están evolucionando.
A medida que persisten las tensiones geopolíticas, los actores de amenazas cibernéticas utilizan eventos globales de alto perfil para influir en la opinión de las masas, aprovechando las nuevas tecnologías. Como ejemplo, tenemos la situación vivida en el 2019 con la famosa guerra comercial entre EE. UU. y China; cuyos efectos siguen perdurando en el tiempo. Fue un acontecimiento mundial muy relevante, que se aprovechó para generar confusión con fakenews, tanto en un sentido como en el otro. Tal vez, el principal protagonista de todo aquello fue la marca Huawey y que es lo que más recordamos.
Los cibercriminales se adaptan, se apresuran y diversifican
Los ataques con motivación financiera aún están activos, pero los ciberdelincuentes continuarán cambiando sus tácticas para reducir los riesgos de detección e interrupciones. Aquí quiero incidir especialmente: pues actualmente, debido al COVID-19, hay una adaptación de tácticas para perpetrar ataques. De hecho, se ha producido una evolución en varias amenazas informáticas en estos meses que llevamos de pandemia y en la manera en la que los ciberdelincuentes actúan.
El correo electrónico ha sido siempre uno de los vectores de ataque que emplean los ciberatacantes para difundir sus amenazas informáticas y en el caso de España (por poner un ejemplo) desde el pasado 14 de marzo, se han incrementado los ataques que tienen como protagonistas a los e-mails maliciosos. En un primer momento se enviaron correos con archivos adjuntos que supuestamente tenían información sobre el COVID-19, por lo que mucha gente era susceptible de abrirlos. Se ha tratado en muchos casos de archivos camuflados que parecen ser documentos de word, pero que en realidad son ejecutables con código malicioso, que si se abren procederán a incluir malware en el ordenador.
Esto es a lo que me refiero cuando digo que los cibercriminales se adaptan: en la situación de mayor tensión por la propagación de la pandemia, el tipo de correos maliciosos que nos han llegado estaban adaptados a esta temática (pandemia, coronavirus, COVID-19). Se ha dado la circunstancia de que se han incrementado los reportes sobre ataques informáticos; lo cual es lógico por la gran cantidad de personas que pasan ahora mucho más tiempo en casa y continuamente conectadas a Internet, que: o bien los sufren directamente, o tienen conocimiento de los ataques que padecen sus allegados.
Nuevos peligros en la defensa y respuesta de ransomware
Los ataques de ransomware podrían representar una amenaza significativa y, a veces, puede servir motivos híbridos: financieros, ideológicos o políticos. Es preocupante el aumento del cifrado de datos y de dispositivos, para posteriormente pedir un rescate por ellos. El “secuestrador” ofrecerá la clave que (en teoría) los descifra, a cambio de dinero. Estos ataques se producen contra organismos públicos, grandes empresas, pymes, universidades, hospitales, etc. La envergadura del problema llega a ser tal, que supone consecuencias devastadoras en muchos de los casos: por la pérdida de datos críticos, la paralización de la actividad, daños irreparables en la reputación, que los directivos y responsables de custodiar los datos incurran en imputaciones legales, e incluso poner en riesgo vidas humanas.
Además, se ha detectado que los últimos ataques de ransomware (incluso antes de que empezase la pandemia) han comenzado a ampliar su operativa: ya no se busca solamente cifrar los datos de una empresa u organización y pedir un rescate para desbloquearlos, sino que los atacantes también analizan qué información es sumamente importante, y la roban. El propósito es exigir otro rescate adicional por no filtrar y publicar dicha información. Actualmente, en muchos casos ya se piden los dos rescates: uno por desbloquear los datos y otro por no exponer la información sensible que han robado. Imaginad lo qu puede suponer algo así para la supervivencia de una empresa: por un lado, tener que pagar un doble rescate es algo demencial, y por otro, el daño provocado a su reputación si determinada información comprometida llega a todo el mundo.
Las amenazas de la cadena de suministro convierten a los amigos en enemigos
La higiene básica de ciberseguridad parece estar empujando a los actores de ciberamenazas a encontrar nuevas vías, tales como las cadenas de suministro, para comprometer a las organizaciones. Para ponerlo en contexto, una ofensiva encauzada hacia el proveedor de los sistemas de información, que suele realizarse a través de software de terceros, busca introducir el código malicioso en las fases de desarrollo del programa. De esta manera los transgresores consiguen internarse indirectamente en la empresa objetivo, aprovechando un canal lícito. Por lo tanto, esta práctica arruina completamente la cadena de valor, causando daños y desprestigio a todos los asociados; y como era de esperar, es una tendencia al alza.
Las vulnerabilidades en la nube exigen soluciones costosas
Las vulnerabilidades modernas de CPU representan un alto riesgo para las organizaciones que ejecutan su infraestructura informática en la nube pública. No podemos olvidarnos, por supuesto, de las vulnerabilidades en la nube. Estamos hablando de soluciones costosas, pero es que desde hace bastante tiempo, muchas empresas están llevando sus datos a las nubes.
Si tenemos en cuenta que la Cloud es una solución tecnológica que crece constantemente, implica que la migración a la misma favorece la aparición de nuevas vulnerabilidades que los ciberdelincuentes no van a dejar de aprovechar. Algunos de los problemas más notables que podemos encontrar en la nube son:
– Varios actores y terceros trabajando en la configuración y el diseño de la arquitectura de la nube, provoca que sea difícil auditar el desarrollo que llevan a cabo todos ellos. Es complicado asegurar que no se comentan errores, ni se expongan indebidamente datos y servicios. Las nubes, como sabemos, manejan una cantidad enorme de datos. Y muchos usuarios utilizándolos, precisamente origina un gran riesgo.
– El famoso ataque DDoS (Distributed Denial-of-Service) puede provocar la inaccesibilidad a la nube. Este tipo de irrupción llega a inhabilitar servidores, servicios e infraestructuras completas. Las formas de perpetrarlo pueden ser: producir una saturación en el tráfico de red para dejar a los servidores incomunicados, o buscar el agotamiento de los recursos del sistema y así incapacitar a las máquinas para dar respuesta al tráfico legítimo. En este sentido, para provocar la parada de servicios en los entornos Cloud, los ciberdelincuentes utilizan recursos compartidos, como la CPU y el ancho de banda.
– No menos importante es el hecho de que en la nube hay que realizar una importante gestión de identidades: tanto de los administradores (parte obviamente crucial), como de un considerable número de perfiles para el resto de los usuarios, con una multitud de permisos diferentes. Manejar una cantidad extensa de cuentas y niveles, dificulta tener registro de todo; y esto favorece la vulneración de la integridad en algunas de las credenciales menos vigiladas. Mediante técnicas de elevación de privilegios (EoP), un acceso aparentemente sin permisos puede explotarse para escalar hasta la parte más protegida del sistema.