Especialistas en seguridad informática explican las fases de intrusiones como la padecida por la Administración autonómica y, sobre todo, si estamos en disposición de prevenirlas en el futuro
23 dic 2021 . Actualizado a las 15:51 h.Los ciberataques a las organizaciones y a las administraciones se están refinando en los últimos años, hasta el punto de poner en jaque periódicamente su buen funcionamiento. Buena muestra de ello es lo que le ha pasado a la Administración autonómica, que ha sufrido un ataque de secuestro de datos (ransomware) donde el Servicio de Salud del Principado de Asturias (Sespa) se ha visto especialmente afectado. Este tipo de ataques tratan de infectar a todos los sistemas posibles para encriptar los datos y, llegado el caso, pedir un rescate económico por ellos.
Desde el año pasado, por ejemplo, la Interpol advierte de que los ciberdelincuentes están lanzando ataques de ransomware contra hospitales, centros médicos e instituciones públicas, ante su situación de saturación por la pandemia. Según los últimos datos que maneja el Instituto Nacional de Ciberseguridad de España (Incibe), los ataques de este tipo se han disparado y estarían por encima de los 600 diarios. Más del 40% de ellos se dan en centros hospitalarios, una cifra que se ha incrementado un 150% durante la pandemia. La empresa especializada en soluciones de Ciberseguridad Datos101 también apunta que, solo en España, hay de media 40.000 ciberataques al día durante este 2021, un 125% más que el pasado año.
José Manuel Redondo, profesor de la Universidad de Oviedo y experto en Ciberseguridad, cree que «es perfectamente posible» que el ataque padecido por la administración regional se enmarque en ese repunte de los delitos de ransomware organizados que tanto están creciendo de acuerdo con el Incibe o la Interpol. «Un ataque de esta clase se hace para obtener algún tipo de beneficio. Nos solemos centrar en el puramente económico-monetario, pero no debemos olvidar que los datos que hay en los sistemas secuestrados también tienen un valor», explica.
Considera que la información de personas, patentes, secretos industriales o datos de las operaciones de una determinada institución o empresa «puede tener un valor estratégico para un tercero, que no siempre tiene que ser el venderlos al mejor postor, aunque también hay mercado para ello, sino también obtener ventajas competitivas, información privilegiada para hacer inversiones…». En este caso concreto, ¿qué valor podrían tener los datos personales que se puedan secuestrar, por ejemplo, en un hospital? José Manuel Redondo lo tiene claro: «el que un criminal interesado en ellos quiera darles, algo que la mayoría de nosotros no podemos ni imaginarnos».
Motivaciones de estos ataques
Una de las principales motivaciones que podría tener atacar a centros médicos o instituciones públicas en tiempos de pandemia, a su juicio, es «forzar a sus responsables a aceptar las demandas económicas del grupo de ransomware que ha ejecutado el ataque. Si un sector de la población está sometido a una excesiva presión debido a la situación actual, ya sean en aspectos médicos o bien económicos, ataques a hospitales, o a instituciones como el SEPE, empeoran aún más una situación de por sí crítica». Dada la situación de contagios actual, «está claro que el sector sanitario asturiano está sometido a una presión tremenda, y por tanto la situación actual encaja con este modus operandi».
El intento de «desbloquear la situación lo antes posible», el impacto «a nivel de prestigio y sobre la población» y «la presión social» en estos casos puede jugar «a favor de los criminales de cara a forzar una solución que les beneficie».
Un ataque de ransomware consiste «en el secuestro de información privada y clave de una empresa o institución. Cuanto más crítica y más cantidad de información se secuestre, más grave y más beneficioso para los criminales es», apunta. El objetivo es fundamentalmente económico. Los datos secuestrados son ficheros que el cliente normalmente sigue teniendo en sus sistemas, pero que están cifrados de manera robusta. Eso quiere decir que, salvo que se cuente con la clave de descifrado (normalmente larga, compleja y única para cada víctima), no se podrán volver a leer de nuevo. La clave que permite recuperar la información «es el dato por el cual se pide un rescate, que normalmente se suele forzar a pagar con medios de pago que son muy difíciles de rastrear, cómo son las criptomonedas».
En otras palabras, «pierdes el acceso a tu propia información, especialmente a aquella que te hace falta para continuar operando tu negocio o institución, debido a que se cifra. Para volver a leerla, tienes que pagar por una clave que te permita descifrarla, y confías en que, una vez que has pagado, dicha clave te llegue y realmente sirva para eso».
Proceso de la intrusión
El proceso de un ataque de esta clase sigue un patrón relativamente sencillo. El atacante tiene que «conseguir ejecutar el ransomware en alguna máquina de su víctima». Para ello se vale de dos posibles estrategias. La primera sería «aprovecharse de alguna vulnerabilidad de cualquier software que ejecute la empresa. Si dicha vulnerabilidad permite al atacante ejecutar su ransomware dentro de las máquinas de la víctima, empezará el proceso de ataque que vamos a describir después».
Otra es «tratar de engañar a empleados de la empresa de alguna forma», ya sea mediante phising, mensajes con pretextos… para que se descargue el ransomware «a su máquina de empresa y lo ejecute pensando que está haciendo algo legítimo». Este experto en ciberseguridad resalta que, una vez conseguido esto, los operadores de ransomware habitualmente examinan «cómo es la red de máquinas de la víctima: localizan otras máquinas en las que puedan ejecutar el ransomware mediante el uso de engaños, malas configuraciones, vulnerabilidades… para de esta forma ‘moverse’ de una máquina a otra (y de una red de máquinas a otra, aumentando sus efectos destructivos). Con eso se van haciendo un ‘mapa’ de las redes de dispositivos de la víctima» que les permite, por ejemplo, localizar los datos más interesantes a cifrar, eliminar copias de seguridad de estos, tener un acceso a todos los ordenadores en red de la empresa para realizar labores de espionaje o robo de información, «o cualquier cosa que al atacante se le ocurra».
La última fase sería el cifrado de la información en todas las máquinas que se han invadido, con la eliminación previa de copias de seguridad, que permiten recuperar la información sin necesidad de pagar, y el conocido aviso con las instrucciones de pago. «Esto implica una cosa que alguna gente desconoce: en muchas ocasiones, cuando se ve el aviso de cifrado y pago, el ransomware ya lleva tiempo en la empresa, y puede haber afectado a un número desconocido de sus máquinas», resalta José Manuel Redondo.
Este es el motivo por el cual muchas veces leemos que la respuesta a un ataque de este tipo implica la parada total de todas las máquinas que dan un servicio y la desconexión de estas de otras redes. Esto es necesario «para que una serie de profesionales, los forenses informáticos, puedan estudiar los discos duros de dichas máquinas con medios especiales y ver hasta qué punto están afectadas sin necesidad de encender las mismas y seguir propagando dicha infección o secuestrando datos».
Que la institución afectada acceda a la extorsión, sin embargo, «no nos garantiza recuperar la información. Lo que nos pueden entregar puede ser una clave inválida, incompleta, o nada… ya que nadie nos asegura que los criminales cumplirán con su palabra». En ese caso la empresa «se quedará sin sus datos y su dinero, a lo que hay que añadir el daño reputacional que seguramente le hará perder clientes. En estos casos una vía de actuación es pedir consejo a la línea de atención ciudadana que el INCIBE ha creado»
En el caso de este tipo de ataques «la principal motivación» es monetaria y, por tanto, la cantidad de dinero que se puede extorsionar a una empresa grande o a una administración «es mayor que la que se puede sacar a la inmensa mayoría de ciudadanos particulares».
No obstante, José Manuel Redondo apunta que «atacar a una administración o empresa y secuestrar sus datos en realidad es un ataque a todos sus empleados, clientes o usuarios». Esa información personal secuestrada de cada uno de nosotros «puede acabar siendo vendida a terceros que pueden tener intenciones no muy lícitas o publicada, y con ello desencadenar otros problemas como son suplantaciones de identidad, engaños de diferente tipo, o quizá vías de acceso a otras empresas en las que trabajen o se relacionen esas personas, y seguir propagando este tipo de ataques a más víctimas».
De esta forma, «aunque nosotros en nuestra casa no hayamos sido víctimas de un ataque clásico de ransomware, las consecuencias de uno bien pueden hacernos víctimas de otras formas que, a priori, no podemos imaginar».
Miguel García Menéndez es Ingeniero en Informática por la Universidad de Oviedo y PDD por IESE Business School/Universidad de Navarra. Investigador, autor, docente y divulgador, actualmente es CEO del Grupo Castroalonso y vicepresidente de la plataforma Arco Atlántico de Ciberseguridad y Entorno Digital. Constata que «el sector sanitario es pieza de deseo de los ciberdelincuentes desde hace años», en una oleada que, a su juicio, «empieza en EEUU».
Desde su punto de vista, «hay un momento, 2017, que es un punto de inflexión en estos ataques». Resalta que «las aseguradoras americanas han sido objeto de ciberataques con el foco del robo de información de pacientes desde hace tiempo, pero con el ransomware ese año en concreto fue especial. De hecho empieza con una noticia que en su momento fue paradigmática, como es el ataque a un hospital estadounidense que vio sus sistemas bloqueados».
Cree que, a partir de ahí, se pintó un panorama «muy virulento», hasta el punto de que en un país como Francia «27 instituciones sanitarias sufrieron estas intrusiones en 2020». Miguel García Menéndez comenta que el CyberPeace institute, un Think Tank suizo centrado en ciberseguridad, llevó a cabo el año pasado un informe llamado «Jugando con vidas (Playing with lives)» en el que se relatan «los recientes ciberataques que se han producido» y muestran como «cada vez somos más el objetivo de ‘los malos’».
Respecto a la reciente invasión padecida por la administración regional, pone un ejemplo ilustrativo. «Yo asistí en Oviedo a una presentación no hace ni dos meses y uno de los ponentes habló de una serie de debilidades que desde su empresa habían visto en el HUCA», comenta. Considera que, «en la mayoría de los casos», los ciberdelincuentes buscan «un lucro económico». No obstante también cree que «las consecuencias pueden ser otras», en el sentido de «en qué lugar queda la reputación de una administración» tras no poder hacer frente a un problema de este tipo.
Pese a todo, este experto insiste en que el objetivo «básicamente es un lucro económico, ya que no deja de ser un chantaje moderno que te deja con las manos atadas con tu informática, y siempre hay alguien que doblega la rodilla». Cree que «la atribución es complicada en este tipo de delitos» y «no suele ser tan inmediato» dar con los responsables.
Fragilidad digital
Miguel García Menéndez hace uso de un término «que es el de fragilidad digital» a la hora de justificar el hecho de que los ciberataques en España hayan repuntado por encima del 120% en el último año. «La digitalización está muy bien, y yo me sumo, pero sí es verdad que nada es gratis y, al final, si no te digitalizas bien eso te lleva a la otra cara de la moneda, generas riesgos y te dotas de una infraestructura con peligros asociados», comenta.
Cree que «a más uso de medios telemáticos se acentúa» el riesgo de intrusiones para las que hay «una intensificación y no orientada necesariamente a grandes actores», como empresas o administraciones. El «igual saco más de muchos pequeños que de uno grande» es la filosofía que siguen en muchas ocasiones los intrusos. Mucha gente se siente segura por una manifestación de lo que este experto llama «el mito de la irrelevancia; la gente piensa que no va con ellos».
Considera que «en escenarios de ahora, con Internet de las Cosas, muchas veces se procura hacer es usar intermediarios para abordar un ataque mayor». Es el ejemplo de los «ataques de denegación de servicio, que se basan en inundar un servicio en Internet con millones de peticiones en un momento dado para bloquearlo». El mecanismo para abordarlo «es que esas peticiones lleguen desde dispositivos que son muchos en número y a lo mejor son de particulares y no son el objetivo principal». También alerta de que «el ransomware se está sofisticando y los métodos de los malos evolucionan a pasos agigantados, no solo técnicamente, sino también y socialmente». Y es que explica que, muchas veces, «los ataques de ransomware ya se hacen a través de un insider, es decir, que muchas veces ofrecen a empleados de la organización parte del botín por inyectar un programa en el sistema».