Ransomdemia: ayer la industria farmacéutica, hoy la CNV ¿y mañana?

El sector público es un objetivo prioritario para los ciberdelincuentes

Guardar
La Comisión Nacional de Valores
La Comisión Nacional de Valores detectó un ciberataque. EFE/Sascha Steinbach

El Ransomware es la principal amenaza para las empresas en 2023, y su ecosistema seguirá evolucionando con grupos criminales más concentrados, reducidos y ágiles; impactando en el público. Además, la Inteligencia Artificial (IA) impulsará campañas de phishing, malware y operaciones de ransomware que se ejecutarán de forma totalmente automatizada.

Las ciberbandas innovan contratando “detectives” en la dark web para investigar minuciosamente a un objetivo antes de lanzar el ataque. Mucha de la información hoy está expuesta y en todo caso es exfiltrada, exponiendo, arquitectura y seguridad de las empresas, mapas de red, telecomunicaciones, de aplicaciones, vulnerabilidades o datos de funcionarios y ejecutivos clave.

Dado el éxito que los cibercriminales tuvieron con el RaaS, Ransomware as a Service, un creciente número de vectores adicionales de ataque estará accesible como servicio en la dark web. Esto traerá aparejada la expansión del universo del cibercrimen a través del CaaS (Content as a Service) para crear y vender paquetes de ataque como servicio, como modalidad rápida, sencilla y replicable.

Te puede interesar: La Comisión Nacional de Valores logró “aislar y controlar” un ataque informático y mañana lo denunciará a la Justicia

Cada vez son más frecuentes los incidentes que afectan infraestructura de misión crítica, servicios esenciales, logística, puertos y al comercio global generando pérdidas millonarias. Recientemente, la Comisión Nacional de Valores, el INTA, la Super Intendencia de Seguros y un proveedor de la industria farmacéutica, fueron algunos de los que han tomado estado público en apenas dos semanas. Durante el 2022 registramos más de 100 casos en la Argentina, y la tendencia aumenta en este 2023, junto con el espectro de víctimas.

“La cabeza de Medusa” (1597)
“La cabeza de Medusa” (1597) de Caravaggio. Ese fue el nombre del software usado para el ataque a la CNV

“Es probable que los sistemas gubernamentales de la ciudad de Dallas en Estados Unidos tarden semanas en funcionar normalmente después de un ataque de ransomware”, dijeron funcionarios.

Durante dos semanas, la ciudad se vio envuelta en un esfuerzo de recuperación masivo después de que la banda “Royal” causara daños significativos a los sistemas que administran la Policía, el departamento de bomberos, los tribunales, e infraestructura crítica de la ciudad. La potencia y efectividad quedó en evidencia cuando agregó una víctima argentina a su lista.

Los ataques son cada vez más sofisticados. Se registró la mayor afectación de datos de todos los tiempos con 6 agresiones por minuto. Junto con el ransomware, los compromisos de correo electrónico y el uso delictivo de criptomonedas encabezan la lista de las agresiones más comunes, por encima de las estafas virtuales y el “cuento del tío”, el robo de identidad, violaciones de datos personales, phishing y estafas por Whatsapp.

Te puede interesar: Cómo funciona Medusa, la organización de hackers que atacó a la CNV y secuestró información sensible de inversores argentinos

¿Qué paso con la CNV? Medusa es una organización con varios años en su haber, un grupo que tiene antecedentes de este tipo de delitos y que es un tipo de banda con una estructura profesional que lucra con esto. Hizo ataques previos en Paquistán, Chile, entre otros, donde alrededor del 90% de los ataques se dieron por un mail y en un período de quince días. Desde un inicio, los afectados se encuentran con la intrusión no solicitada y luego, el proceso de exfiltración. Para cuando el grupo pide el rescate, ya copiaron los datos de las víctimas, por lo que es necesario actuar con rapidez y un equipo experto para prevenir que el ataque no avance hasta encriptar todo.

En el caso de la CNV, son varias las consecuencias, hay que evaluar la contingencia a la que el mercado de capitales está expuesto en este sentido, también el tema del filtrado de datos y la continuidad o no de las operaciones.

En esa línea, el FBI anunció que las bandas de ransomware violaron las redes de más de 800 organizaciones de múltiples sectores de infraestructura crítica de EEUU durante 2022, aunque este número seguramente fue mayor. Guerra cibernética o no, esta modalidad se ha disparado de forma alarmante. El mundo está atravesando un nuevo nivel de guerra cibernética, mientras tanto, la mayoría de los ciberdelincuentes no necesitan ningún estímulo geopolítico. La misma banda que ataca a una PYME en Argentina, una semana después lo hace con la Agencia Impositiva de Corea del Sur.

En 2023 los ciberdelincuentes ampliarán su objetivo a las herramientas de colaboración como Slack, Teams, OneDrive y Google Drive con exploits de phishing. Estas son una valiosa fuente de datos sensibles y su uso creció exponencialmente a raíz de la modalidad laboral remota.

El enfoque debe estar puesto en el desarrollo de la resiliencia y en reducir la exposición al riesgo. Las prioridades para los Estados, empresas e instituciones deberán ser el fortalecimiento de sus defensas y los marcos regulatorios de la privacidad, capacitar para disminuir el error humano y desarrollar mecanismos para responder de forma inmediata a la amenaza.

El sector público es un objetivo prioritario para los ciberdelincuentes, capaces de paralizar la infraestructura crítica, esto expondrá aún más las condiciones de ciberseguridad deficitaria que, en muchas ocasiones, es el punto más débil de los servicios esenciales por más que sean privatizados.

Este espiral creciente de ciberataques sucede en simultaneo que la aceleración de los procesos de transformación digital en todas las industrias, al mismo tiempo que crece geométricamente la cantidad y variedad de ataques, incluyendo IT, OT y a los individuos, personas de a pie que hoy no, pero mañana se convertirán en víctimas.

Seguir leyendo:

Guardar