David Álvarez - D2Soluciones 

El cibercrimen, y especialmente el secuestro de datos, está en auge.  Antes de hablar de ransomware debemos hablar de hackeo e intrusión. Al fin al cabo el secuestró de datos solo es la última fase del trabajo que realiza un cibercriminal.


¿Cómo es posible que nos entren en casa?

De esta pregunta ya sabemos la respuesta, sabemos a grandes rasgos como logran los criminales entrar en nuestros hogares. Muchas de las técnicas son básicamente las mismas cuando se trata de cibercriminales accediendo a nuestros sistemas informáticos.

Sea correo electrónico, escritorio remoto, bancos, intranets, servidores de archivos, etc … los cibercriminales tienen acceso generalmente a la puerta principal, aunque de buenas a primeras no la puedan abrir. Nuestros servicios online necesitan una entrada con acceso al público para que podamos acceder desde la red pública que es internet. Y ahí es donde comienza el problema … los cibercriminales intentarán entrar por estas puertas haciendo uso de todas las técnicas y herramientas que estén en su mano.



Quieren nuestra llave

Los cibercriminales nos espían. Vigilarán nuestra cerradura para hacerle una foto a nuestra llave cuando la usemos.⁽¹⁾

Se disfrazarán del cartero para poder examinar más de cerca nuestra cerradura.⁽²⁾

Encima de nuestra cerradura pondrán una falsa e idéntica para capturar la forma de la llave.⁽³⁾

Se harán pasar por el cerrajero que nos instaló la cerradura para hacerle un falso mantenimiento y que les dejemos nuestra llave.⁽⁴⁾

Probarán miles de llaves – incluso millones, hasta que den con la nuestra.⁽⁵⁾

Nos seguirán y meterán la mano en nuestro bolso para hacerle una copia a nuestra llave.⁽⁶⁾

Instalarán cámaras para ver dónde guardamos la llave de repuesto.⁽⁷⁾

Entrarán en nuestro coche para hacerse con la llave que tenemos en la guantera.⁽⁸⁾

En el mundo digital nuestras contraseñas son nuestras llaves. La complejidad y la renovación periódica son las claves para que no se puedan adivinar y/o se rindan obsoletas.

Nuestra contraseña es solo nuestra. No debemos dejarla a nadie. Una vez compartida con alguien perdemos el rastro de quien más la puede tener. Tampoco conviene tenerla apuntada.

Por otra parte las actualizaciones de sistemas operativos y aplicaciones pondrán al día las cerraduras que siempre serán los últimos modelos con todos los avances de los ingenieros.

Nuestros ordenadores personales y de ocio, probablemente infectados, pueden estar vigilados por cibercriminales. Por esta razón los ordenadores que usemos para el trabajo y para acceder a sitios privados (correo, bancos, portales profesionales etc.) deberían ser exclusivos para para estas labores y estar protegidos con un buen antivirus corporativo.

Asimismo, donde se pueda, debemos usar accesos con autenticación de doble factor. Si se hacen con nuestra contraseña, una segunda clave privada compartida, o certificado, introducida/o con anterioridad por nuestro administrador provocará que solo haya acceso desde nuestro equipo. Así, el acceso pasa a estar limitado a aquellos equipos con la clave compartida o certificado y no será accesible desde cualquier terminal conectado a internet.



¡Les invitamos a entrar!

Sí, así es. ¿Para qué quieren una llave si les dejamos pasar? O peor aún, salimos a la calle y les traemos de la mano.⁽⁹⁾

¿Quién no ha dejado pasar al inspector del gas, a un fontanero de la comunidad o a un Testigo de Jehová?⁽¹⁰⁾

Una vez dentro los cibercriminales disfrazados pueden hacer lo que quieran. Manipular puertas y ventanas, instalar cámaras espía, dejar un explosivo con temporizador. Solo necesitan distraernos el tiempo suficiente.⁽¹¹⁾

Hablando de distraernos, simplemente con abrir la puerta ya estamos en peligro. Unos nos pueden distraer para que otro se cuele dentro y se esconda. Más tarde ya le abrirá la puerta a sus compañeros para ayudarle con las cajas.⁽¹²⁾ ⁽¹¹⁾

Es más, si no protegemos nuestro hogar con una mínima de seguridad, una patada bastará para acceder al interior.  Una casa poco segura atrae más cibercriminales quienes distinguen rápidamente una vivienda poco segura.⁽¹³⁾

Un antivirus corporativo nos protege de la mayor parte de archivos infectados y correos falsos con enlaces o adjuntos peligrosos. También nos protege de los correos que están disfrazados como un mensaje de nuestro banco o de un cliente, y que en realidad sirven para “pescar” nuestras contraseñas o directamente estafarnos solicitando el cambio de una cuenta de banco para un pago.

Las acciones administrativas solicitadas por correo deberían ser verificados hablando directamente con la fuente. Una buena práctica es poner en marcha el uso de correo y documentos firmados digitalmente.

Tampoco deberíamos instalar software pirateado. Una gran parte de este software está infectado aunque no lo detectemos a priori. Los mismos que inicialmente proporcionan los programas son los que lo han infectado. Qué mejor manera de infectarnos que repartir un software goloso y gratuito. Así es que encima buscamos software infectado para meterlo en nuestros propios equipos.

Una vez más, la actualización de sistemas operativos mejora la seguridad de nuestros equipos eliminando puntos débiles conocidos y mejorando código vulnerable.



Técnicas de hackeado e intrusión:

(1) ARP poisoning
(2) Sniffing
(3) Man in the middle / DNS poisoning
(4) Phishing
(5) Brut force
(6) Wifi interception
(7) Spyware
(8) Terminal infection
(9) Warez
(10) Spoofing
(11) Trojan malware
(12) DDoS attack
(13) Exploits



¡Aaaaaaaaaaaa! ¡RANSOMWARE!

Ya están dentro.

Una vez que han logrado entrar en los sistemas informáticos, la forma más fácil de recuperar su inversión es secuestrar los datos de la víctima y pedir dinero para liberar los de nuevo. Esto se hace mediante el cifrado de datos usando una clave privada. A diferencia de lo que ocurre en las series de televisión,  el único que puede descifrar los datos es quien está en posesión de la clave privada, es decir, el cibercriminal.

A veces hay suerte.

Una aclaración. En muchos casos, por no decir la mayor parte de las veces,  los cibercriminales en realidad saben poco o nada de informática. Simplemente han adquirido las herramientas a través de la Dark Web a una empresa de desarrollo de software para cibercriminales y han seguido al pie de la letra el manual de instrucciones.

A veces para simplificar, la clave privada con la que cifran nuestros datos es la misma dentro de una misma versión del software invasor. Si las autoridades se hacen con la versión del software maligno, entonces habrán conseguido una clave privada que sirve para varias víctimas. Estas claves privadas después se hacen públicas y de esta manera algunas víctimas podrán descifrar y recuperar sus datos.

Cibercriminales y la industria multinacional y multimillonaria del cibercrimen.

El ransomware es en este momento una industria multimillonaria. Hay empresas a distintos tamaños y una infraestructura que funciona igual que cualquier industria menos opaca. Empresas opacas con cientos de trabajadores desarrollan plataformas para aspirantes a cibercriminal con paquetes de servicios de todos los niveles:  envío de correo masivo, despliegue de ataques, herramientas de intrusión, plataformas de ransomware y más.

El modelo de vender ransomware como un servicio web (Ransomware-as-a-Service – RaaS) es cada vez más popular, con casi dos tercios (64%) de todos los ataques observados en 2020 utilizando este enfoque. Una vez que los cibercriminales han penetrado una red, alquilan los servicios de un operador de ransomware a cambio de una parte del botín.

Cada año más de la mitad de las empresas del mundo sufren ataques de ransomware. A muchas empresas no les queda mas remedio que pagar o cerrar. Hoy en día no es inusual encontrar empresas que han pagado un millón de euros o más por sus datos. La multinacional de la electrónica e informática FOXCONN pago a sus secuestradores unos supuestos 34 millones de dólares después de haber cifrado 1200 servidores y haber borrado copias de seguridad. Las grandes empresas, instituciones públicas – sobre todo el sector de la sanidad, bancos y financieras son los objetivos mas golosos para los

Voy a denunciar pero no voy a pagar ¡NUNCA JAMAS!

Se debe denunciar el ataque, pero nunca se debe pagar el rescate. Vale lo de denunciar, pero lo de no pagar … depende. No vamos a juzgar a nadie. Como responsable de sistemas he visto gente llorar, y les he ayudado abonar los bitcoins demandados para recuperar sus datos. En mi experiencia hay una probabilidad alta de recuperar los datos – aproximadamente un 70%. Algunos expertos en ciberseguridad que conozco, al leer esto, me van a mandar un email indignados, alguno hasta me llamara directamente al móvil. Que sepas de antemano que te voy a colgar el teléfono.

Pillar a un cibercriminal con los datos de la denuncia es, en la práctica, imposible. Ni los bitcoins ni los correos se pueden trazar. No dejan rastro ya que actúan detrás de redes opacas. Una anécdota: la confianza que tienen en las redes opacas es tal, que en un caso nos asignaron un técnico de soporte – Henri – que nos asistió mediante chat y soporte remoto a desencriptar los datos de un cliente. 



Resumen de medidas

Antivirus corporativo – Agente de administración

Activando el nivel alto de protección contra virus e intrusiones, conociendo en todo momento el estado de protección y controlando la actualización de los sistemas operativos de todos los equipos de la empresa.

VPN – Red privada virtual 

Protege todos los accesos externos detrás de un solo acceso de doble factor y navega siempre de forma segura.

Controlador de dominio – Permisos y privilegios

Controla de forma centralizada las cuentas y credenciales de todos los usuarios. Gestión de accesos y usos de los servicios. Limita accesos a recursos y equipos.

Buenas prácticas – Protocolos y conciencia

La puesta en marcha de protocolos a la hora de la provisión de equipos y servicios. Documentar altas bajas y modificaciones de usuarios, recursos, permisos y privilegios. Charlas y comunicados para los usuarios para que tengan una mayor conciencia de su papel dentro de la seguridad corporativa.

Firma digital – Comprobar el origen

Hoy en día ya se pueden firmar y cifrar correos y documentos usando las herramientas de firma digital. Una autoridad de certificado raíz se encarga de validar la firma y nos avala la autenticidad del documento. Aunque se han conocido casos de robo de certificados, un documento firmado digitalmente es mucho más seguro que un documento sin firmar que no nos ofrece ninguna garantía sobre su origen.

Cortafuegos – Dispositivo de seguridad

Un cortafuegos es un dispositivo de seguridad delante de la red local que monitoriza el tráfico entrante y saliente y decide si debe permitir o bloquear  tráfico específico en función de un conjunto de restricciones de seguridad previamente definidas.

En resumen los cortafuegos establecen una barrera entre las redes internas seguras, controladas y fiables y las redes externas poco fiables como Internet. Un cortafuegos puede ser hardware, software o ambos.

En realidad, el router que provee internet a la red local actúa como un cortafuegos básico. Muchos incluso están provistos de opciones de seguridad para minimizar los ataques a puertos y servicios.