Secuestros virtuales a empresas: una peligrosa amenaza global que tiene cada vez más impacto en Argentina

La palabra no tiene traducción directa al español y está incluida en la muy amplia categoría de “delitos informáticos”: ransomware. Combinación del tradicional rescate (en inglés, ransom) exigido para liberar una persona o grupo de personas secuestradas con fines extorsivos, y los sistemas informáticos o equipos atacados, que a través de un software malicioso son bloqueados, encriptados, vueltos inaccesibles a la víctima, una empresa, a la quese le exige un rescate, casi siempre en criptomonedas, para “devolverle” el sistema.

Ya en 2020, un informe de ciberamenazas de PwC resaltó que el ransomware, que ese año proliferó por efecto de la pandemia, la explosión del trabajo remoto y la reorientación de organizaciones criminales hacia la ciberdelincuencia, seguiría avanzando este año. De hecho, un informe de Checkpoint Research, una consultora de seguridad informática, precisó que en la primera mitad de 2021 los ataques de ransomware en el mundo crecieron 57% respecto de 2020, en el que ya habían aumentado 75 por ciento. El estudio de Checkpoint detectó además que, en cantidad de ataques por organización por semana, India era el país más afectado, con 213 casos, seguido por la Argentina, con 104 (pero con un descenso del 54% respecto de 2020) y Chile cercano tercero, con 103 casos.

Son estadísticas difíciles de sopesar. Hay distintos criterios de calificación e información de un delito que, en general, las víctimas prefieren ocultar, aunque en EEUU avanza la decisión de hacer obligatoria la denuncia tras dos ataques de alto perfil. Uno a Colonial Pipeline, que inicialmente paralizó y luego afectó durante una semana la provisión de combustible en parte de la costa este, y otro a JBS, el procesador de carne más grande del mundo. Colonial pagó en mayo 75 bitcoins de rescate (unos USD 4,3 millones entonces, de los cuales el FBI pudo recuperar 2,3 millones) al grupo criminal ruso Dark Side (Lado Oscuro), y el ataque a JBS fue atribuido a los también grupos rusos REvil y Sodinokibi.

“Tuvimos que pagar, nadie quiere ser extorsionado por criminales”, se defendió ante el Senado de EEUU Joseph Blount, CEO de Colonial, también criticada porque la intrusión ocurrió a través de una cuenta no protegida por múltiple autenticación (un principio básico de ciberseguridad), a la que se podía acceder con un solo código. “Era un código complejo, no era Colonial123″, se defendió Blount ante senadores inquietos por los punto débiles de la ciberseguridad nacional.

Y por la Argentina, ¿cómo andamos?

“La temática es fuerte. Tuvimos mucho aumento de actividad”, dijo Diego Taich, Managing Director de Consultoría en Ciberseguridad y Tecnologías de Información de PwC Argentina. “El ciberdelito ya venía en aumento, es un negocio que mueve entre 2 y 3 billones (millones de millones) de dólares por año, más que el PBI de muchos países. En los últimos años se formaron organizaciones especializadas, fondeadas, con distintos roles, criminales que estaban en otras actividades y se mudaron al ciberdelito, por lo redituable”, explicó.

Uno de los mayores problemas es la dificultad de hallar a los cibercriminales. “Pueden estar en cualquier parte del mundo, separados por miles de kilómetros entre sí, anonimizados”, dijo Taich. Además, la amenaza se “democratizó”: los potenciales blancos no se limitan a un banco o gran empresa. “Los ataques pueden ser contra compañías de 20.000, 2.000 o 200 empleados, una pyme”, explicó.

“Tengo encriptados mis servidores”, dice un cliente, y Taich y su equipo llegan cual bomberos a preparar la “respuesta-incidente”. Muchas veces, este no pasa a mayores, pero otras se produce una cibercrisis: se para la operación y hay pedido de rescate, usualmente en bitcoins. “Ante la crisis, hay poca info de lo que pasó y hay que tomar muchísimas decisiones, que muchas veces no están protocolizadas, a diferencia de EEUU y Europa, donde hay más madurez al respecto. Del otro lado tenés tipos preparados, bien fondeados: es una lucha muy desigual entre una empresa que no tiene recursos infinitos y bandas que se dedican a eso y tienen todo el tiempo del mundo”, dijo Taich a Infobae.

Un buen plan debe incluir desde la respuesta a los extorsionadores y la denuncia judicial hasta la comunicación pública. “El primer consejo -dijo Taich- es no acceder a la extorsión, porque incentiva la actividad y que vuelvan a extorsionarte, porque saben que cedés. Pero en los últimos meses el mismo FBI reconoció que en ciertas situaciones no queda otra que poner algo”.

La situación puede ser extrema. Según Crowd Strike, uno de los principales proveedores mundiales de programas antivirus y soluciones contra el ciberdelito, el sector más atacado en el mundo es la Salud.

“De repente te encriptan los sistemas, las historias clínicas o un aparato. ¿Qué hacés, si está en juego la vida de un paciente?”, da un ejemplo Taich de los dilemas que se pueden presentar. “En situaciones extremas, se puede dar una “prueba” al extorsionador. Algunos acceden, por un rescate mucho menor al inicialmente solicitado, pero la recomendación general es no pagar e involucrar a fuerzas de seguridad, que pueden hacer exhortos y accionar contra cibercriminales situados en otros países”.

Además, la probabilidad y el costo de un ransomware aumenta con la proporción de empleados de una empresa que trabajen de modo remoto.

Daniel Monastersky, director de una diplomatura en Gestión y Estrategia en Seguridad de la Universidad del CEMA (Centro de Estudios Macroeconómicos de la Argentina) coincide en que “el ransomware es una de las preocupaciones más grandes hoy en las organizaciones, pero se puede minimizar mucho tomando ciertos recaudos. Entre ellos figuran el back up permanente y doble factor de autenticación. También ayudan sistemas como “Zero Trust”, un concepto creado por la empresa Forrester que, a diferencia del modelo de “seguridad perimetral”, postula que las organizaciones no deben confiar en ninguna entidad, aunque sea interna, y deben delimitar datos, redes, dispositivos, operaciones, personas.

Además, dice Monastersky, hay cuestiones filosóficas, como el principio de no ceder a la extorsión, pero no hay normativa al respecto. Un caso concreto de daño extremo, menciona, ocurrió cuando 30 servidores del Hospital Universitario de Düsseldorf, en Alemania, fueron atacados por un ransomware que denegó la atención de un respirados a una paciente que, horas más tarde y por ese motivo, falleció.

“Mi consejo, por temas de compliance, es que si un cliente sufre un ransomware, haga la denuncia penal de inmediato. Eso dispara, por ejemplo, un ciberseguro. Pero en casi el 100% de los casos no se llega a determinar el autor. Pueden ser chinos, rusos, coreanos, aunque también hay organizaciones que operan con ‘falsa bandera’. Organizaciones puramente locales todavía no hay”, dijo Monastersky. En CABA, agregó, las denuncias de delitos informáticos aumentaron más de 500%, porque “al haber más gente conectada desde su casa, los vectores de ataque aumentaron: hay más posibilidades de acceder y escalar”.

“Hay tipos que están en el submundo de internet, a través de phishing abren una puerta trasera a una empresa, cuya llave tienen y conocen solo ellos, y la ofrecen en la internet profunda. Otros se dedican a hacer software malicioso y a venderlo allí. Y hay quienes combinan ambas cosas, tienen ransomware, compran una puerta de entrada, entran y dejan el regalito: te encriptan y piden bitcoins. Algunos, aunque sucede menos, llegan a copiar los datos, los exfiltran y también los usan para extorsionar”, explicó Taich.

Una fuente de la Superintendencia de Tecnología y Delitos Informáticos de la Policía de la Ciudad coincidió en que “el ciberdelito dio un salto exponencial durante la pandemia a partir de que muchas personas no habituadas a operar por canales virtuales generaron muchas vulnerabilidades”.

“Los ataques de ransomware son siempre extranjeros, no hay una banda a nivel nacional, aunque sí puede haber argentinos trabajando para grupos extranjeros”, aclaró. La secuencia es siempre la misma:

1 - Infectan la red o un dispositivo;

2 - La infección se propaga por servidores y computadoras;

3 - Encriptan los datos;

4 - Envían la notificación, habitualmente un email precisando la billetera a la cual hacer el pago y una captura de pantalla para mostrarte que efectivamente tomaron el sistema.

La recomendación siempre, insistió la fuente oficial, es no pagar. No solo por el efecto de incentivación, sino porque tampoco es seguro que el pago asegure la recuperación completa de archivos y sistemas. Además, agregó, “hay sitios gratuitos, fusionados con Europol y policías extranjeras y privadas a nivel mundial, donde se ingresa, se cuenta qué ransomware atacó y si es conocido se arregla el problema con un parche de seguridad”.

Los ataques ocurren a menudo por descuidos y la mayoría no son teledirigidos, sino al voleo. Muchas empresas hacían trabajo presencial y no tenían problemas, pero con el trabajo remoto e ingreso por VPN y computadoras no actualizadas que navegan por sitios no seguros, descargan malware o mails fraudulentos, el malware termina infiltrando un sistema.

“Las recomendaciones son básicas”, dijo la fuente policial especializada en ciberdelito: copias de seguridad constantes, para resguardar los archivos, mantenerlas fuera de la misma red, en una nube u otros lugares de guarda; buenos antivirus, actualizados; desactivar la función de Windows que oculta las extensiones de los documentos, tener parches de seguridad y sistemas operativos al día. En fin, buenas prácticas digitales que minimicen riesgos de infección, algo que muchas empresas no hacen para ahorrar el costo que supone para una red de 100, 200 o más computadoras.

El funcionario policial citó a Infobae un reciente caso de ransomware a una importante cadena de retail local. Cada vez más, dijo, las empresas tienen su CISO (Chief Information Security Officer) que cuando llegan las fuerzas de seguridad ya identificó el problema. Los equipos de ciberdelito empiezan entonces a recolectar la “evidencia digital” y el proceso de trazabilidad, para lo cual es clave identificar por dónde ingresó la infección. Según Crowd Strike, en casos de ransomware, la entrada más habitual es a través de un usuario con muchos “privilegios” del sistema atacado.

Además, se analiza la billetera de rescate, mediante reversiones en sitios de criptomonedas, por si está denunciada, aunque es muy difícil bloquear una billetera, pese a la ayuda de las 11 billeteras serias que operan legalmente en el país y al “Convenio de Budapest”, un acuerdo de asistencia mutua al que adhirió la Argentina y en el que empresas como Google y Facebook y plataformas como YouTube y Gmail responden a pedidos de información voluntaria para “ir armando el rompecabezas”.

La exacta dimensión del ransomware en la Argentina es difícil de establecer, pero un informe de la Unidad Fiscal Especializada en Ciberdelincuencia, fechado el 23 de septiembre, brinda algunos pistas al respecto. La Unidad, a cargo del fiscal Horacio Azzolin, registró que entre 2019 y 2020 aumentó 381% la cantidad de reportes de delitos informáticos, de 2.369 a 11.396 (de un promedio diario de 6,5 a 31 reportes). Además, entre abril de 2020 y marzo de este año hubo 14.583 reportes (aumento del 465%) y se iniciaron 289 investigaciones.

El aumento de la ciberactividad y el trabajo remoto fueron terreno propicio, explica la UCEFI, citando que hacia mayo de este año el número de usuarios de Mercado Libre había aumentado un 40% y que según un informe de Google ya en octubre de 2020 un tercio de los argentinos encuestados había concretado su primera compra online y que la mitad había elegido esa modalidad “para minimizar las salidas” durante la pandemia. Además, según el BCRA, en 2020 las transferencias electrónicas aumentaron 90%, producto de un aumento de 86% en las de homebanking, 167% en las de mobile banking y de 227% en los pagos remotos con tarjeta de débito.

En ese contexto, las modalidades delictivas que más aumentaron fueron los fraudes mediante “ardid o engaño”. Menos masivas, las maniobras de phishing (acceso electrónico a información confidencial de terceros, para su uso posterior) aumentaron de 244 en los 12 meses previos a la pandemia, a 1.079 en los 12 posteriores.

Respecto del ransomware, el informe precisa que las denuncias pasaron de 10 en el primer trimestre de 2020 a 38 en el primero de este año, un aumento del 280%, pero con números relativamente bajos.

Claro que, como ya se dijo, los ataques de ransomware tienden a ocultarse, en especial sii no pasan a mayores, pero la tendencia y el consejo es, cada vez más, a denunciarlos. El riesgo de no hacerlo es el avance silencioso de prácticas que, según los datos de Crowd Strike y el índice de Criminalidad Electrónica de Chainalysis, un “curador” internacional de blockchain, puede tener consecuencias devastadoras.

SEGUIR LEYENDO: