Viernes, 9:15 de la mañana (Todos los desastres se materializan los viernes, lo sabes)
Has llegado a tu oficina, y ves al personal corriendo como pollos sin cabeza. Hasta aquí todo normal, salvo porque en el puesto del vigilante has visto las cámaras apagadas, y el ascensor también se ha puesto de acuerdo en dejar de funcionar. Aquí se te enciende tu interpretación de la reacción de Cannon-Bard, que te dice que hoy tendrías que estar de vacaciones en Soria. Subes hasta tu despacho, y un colaborador tuyo te ametralla a 180 palabras por minuto.
Entresacas las frases "Desastre total", "Todas las delegaciones" "Ramsonware". Le das las gracias y te diriges al departamento de Help-Desk. En las mesas que normalmente ves vacías están dos directivos de Marketing, un jefe de operaciones, y un responsable de Financiero. Todos pálidos en silencio, machacando en sus móviles el software de mensajería instantánea de la empresa. Los despachos cercanos han sido tomados por otros directivos para gritar por teléfono en la intimidad. Al fondo, ves algo de movimiento en lo que los informáticos llaman "La cueva". Te asomas y ves una escena digna de un quirófano de campaña de la guerra de Cuba. Varios portátiles destripados y varias pilas de discos de portátil apilados a un lado. Todos los técnicos alrededor de una mesa de taller, con el responsable técnico a los mandos...
Por encima de su hombro ves la pantalla de un portátil y, donde debiera de mostrarse el escritorio o la pantalla de login lo único que se muestra es un texto formateado como si fuera una carta con un sello formado por una calavera y dos tibias cruzadas. Llegas a distinguir que el texto está en inglés, y lees por encima lo que parece una explicación de cómo realizar pagos en bitcoins.
Ya tienes suficiente, las señales fisiológicas de estrés te han hecho aflojar el nudo de la corbata (como el resto de tus compañeros, por lo que ves). Abres tu maletín sobre una mesa cercana a la puerta de la cueva, enciendes el portátil. Detrás tuyo uno de los informáticos novatos ha visto tu reacción y te grita: "—No lo enciendas !!!"
.../... -Sigue después del artículo.../...
Esta escena, con algunas variedades, se está produciendo cada vez más en las empresas. Si bien por lo espectacular puede parecernos algo novedoso, ciertamente no lo es tanto, al menos en cuanto a algunas de sus características. Para los que todavía no conocen nada del Ransomware les remito a este magnífico artículo de Javier Rubio Alamillo. En este artículo se hace un completo análisis del fenómeno del Ransomware y su situación hace unos meses, tiempo que en este "negocio" parece ser una eternidad...
El caso es que este fenómeno ha venido con intención de permanecer, y está evolucionando, y lo está haciendo mucho y muy rápido. ¿Por qué?
En este artículo intentaremos señalar lo que creemos son las principales circunstancias que han abonado este crecimiento. Decir además, que más que a una suma, nos encontramos con una potenciación entre las partes, y es la combinación de estas lo que posibilita lo que algunos denominan "el nacimiento de un nuevo modelo de negocio".
Para mencionar las principales causas de éxito, podemos empezar por las mejoras técnicas en los sistemas informáticos que permiten no solo un cifrado más rápido sino una mayor velocidad de transmisión de información; la aparición y consolidación de los bitcoin y similares como sistemas monetarios alternativos, que posibilitan un medio de pago al margen de los sistemas tradicionales de rastreo del dinero o transacciones convencionales; y finalmente, lo que a mi modo de ver quizás tenga más influencia en el desarrollo de este fenómeno, será la aparición de un mercado de desarrollo de software "sectorial" a medida, a la imagen y semejanza de los actuales paradigmas de desarrollo de la industria del software.
Los conceptos "Factoría de software", "Malware as a service", metodologías ágiles, SCRUM, Integración continua, Personalización, escalabilidad, etc., todo este desarrollo en la infraestructura de producción de software terminará convirtiendo el antiguo arte de programación de malware a medida, en una nueva verdadera industria de armas cibernéticas. Sería el equivalente de la comparación entre el herrero afgano haciendo en su fragua una copia de un Kalashnikov (aunque conseguían hacerlos completamente funcionales, dicho sea de paso) con una factoría de producción industrial. De esta guisa, podemos decir que el Delincuente también está evolucionando de la adquisición de armería diversa, palanquetas, mazas butroneras, radiales y similares, a la adquisición y "puesta en producción" de este otro nuevo tipo de herramientas.
No obstante, no todo son novedades. Uno de los principales agentes de este fenómeno que aún no hemos mencionado es un viejo conocido, aunque ahora nos refiramos a él con nuevos términos, como puede ser el de "ingeniería social". Nos referimos al sempiterno "factor humano", ese que nos hace ser influenciables y nos induce a realizar acciones movidos por la vieja conocida Persuasión, ayudada de sus hijas Emociones, materializadas a veces en Ambición, otras en Piedad, Avaricia, Seducción, etc. El caso es que pese a la alta tecnificación con los que se han pertrechado los nuevos malhechores aún juega una baza crucial la colaboración de la propia víctima, la Connivencia Humana. A modo de ejemplo, tenemos muy cercano el famoso caso del ransomware de correos, que mediante una puesta en escena muy bien orquestada prácticamente "obligaba" al receptor a abrir un falso PDF que era el real actor de la infección.
Otra característica curiosa y "humana" que nos encontramos en estos casos es el buen trabajo realizado por los "diseñadores" de estas "campañas", que cuidan muy mucho del usuario y la "Usabilidad" de su sistema (jejee, otro palabro de moda), dotándole de una perfecta documentación sobre cómo realizar el pago. Incluso (no conozco ningún caso en nuestro país) han llegado a existir versiones con teléfono de servicio al cliente. Escenificación, Teatralidad, también viejas conocidas...
Otras características más funestas que también van evolucionando en estos casos, son las situaciones en las que, cada vez más frecuentemente, pueden incluir medidas de presión, como que se produzca el borrado aleatorio de ficheros en cada reinicio, y la implementación de un contador que amenaza con el borrado total en un período de tiempo (Amenaza y Coerción al más puro estilo de toma de rehenes).
¿Qué otros factores pueden influir en el éxito de estos ataques?
Pues además de la ya referida connivencia humana, mediante engaños cada vez más elaborados, la coerción aplicada mediante borrados aleatorios, etc. , nos encontramos también con aspectos de tipo técnico, o mejor dicho impericia técnica, como la utilización de plugins de navegador no actualizados, la utilización de paginas no habituales susceptibles de ejecutar código... Respecto a esto, mencionar que estos códigos maliciosos no se encuentran necesariamente en páginas de contenidos oscuros o ilícitos (A.K.A. porno, apuestas online, recetas de cocina, consejos de adelgazamiento, o fotos de gatitos). El "tocomocho" se muestra más efectivo cuanto más aura de respetabilidad, profesionalidad, y autoridad tenga el "gancho" (acompañado de una correcta redacción en castellano, los cacos han superado ya la fase de "escritura nigeriana"). Otra novedad en relación a este aspecto es que ya comienza a aparecer ransomware para Android, en la forma de aplicaciones "legítimas" que, ocultamente, llaman y ejecutan otra aplicación "chunga", que es la artífice del ataque. En el entorno pc, nos encontramos con que estas soluciones enlatadas y "prêt-à-porter", vuelven a utilizar técnicas tradicionales, como pueden ser las infecciones por medio de correos y documentos con macros añadidas. A mi modo de ver, estamos viendo una peligrosa combinación de desarrollo técnico-científico y metodológico junto con viejos trucos de artesano.
¿Qué podemos esperar ver en los próximos meses?
En el futuro más cercano, o mejor dicho, nuestro más inminente presente, deberemos tener mucho ojo con Android y resto de plataformas móviles. Esto se verá acelerado por varios aspectos, como pueden ser la mayor seguridad en las últimas versiones de Windows, que dificultan la ejecución de programas con permisos de administrador, y el uso cada vez mayor del móvil como plataforma de pago, que a la sazón nos hará cada vez más dependientes de nuestros dispositivos móviles. Esperemos que a este respecto los responsables (Google, Telefónicas) se "pongan las pilas" y mejoren el actual problema de Android en lo referido a las actualizaciones automatizadas del sistema operativo de móviles y tabletas.
La pregunta del millón, que suele ser ¿qué hago si me pasa? actualmente tiene la respuesta del millón en Informática, que es "Ten actualizadas tus copias de seguridad". Lo terrible es la escasa conciencia social que tenemos de las copias de seguridad a nivel empresarial, y no digamos personal, lo cual nos deja absolutamente expuestos a estos ataques. Frente al ransomware solo se han mostrado efectivas copias de seguridad aisladas del entorno de trabajo; incluso las modernas copias de seguridad en la nube también pueden caer en el ransomware, si por desgracia tenemos estas unidades mapeadas en red.
Como le puede decir cualquier especialista, en estos temas no se trata simplemente de tener una estrategia de backup, se necesita una completa estrategia de recuperación de información. Ocurre muchas veces que al tirar del backup, este no se ha podido recuperar. Una metodología seria de protección contemplaría ejercicios regulares de restauración de las copias de seguridad, para garantizar su efectividad en caso de ser necesarias... pero meta Ud. eso en la cabeza de los que tienen que lidiar con la producción diaria, acostumbrados a galopar a golpe de plazo... (Sugerencia: apuéstese la comida del jueves con su responsable de backups a que si hacen un ejercicio de restauración el backup “peta”. Pocas apuestas tan beneficiosas hará en su vida, aún perdiendo).
Algunos especialistas, para conseguir la concienciación de los usuarios, han propuesto como soluciones profilácticas "duras" la realización de "laboratorios experimentales para "educar" a los usuarios, sometiéndoles a un "verdadero" proceso de infección, y después mostrarles los errores, con la esperanza de que esto pudiera funcionar a modo de "vacuna". A modo de refuerzo positivo de estas acciones, siempre sería recomendable establecer algún tipo de bonificación a aquellos que hubieran superado el experimento positivamente. En cualquier caso, como en otras muchas cosas, este tipo de acciones donde realmente podrá tener éxito es a medio - largo plazo, por lo que algunos apuntan que lo más eficiente pasa por centrarse en la concienciación de las nuevas generaciones, que se supone serán los más abiertos a adquirir metodologías correctas.
La amenaza real del ransomware, creo que a veces se nos escapa. En muchas ocasiones, el gran problema no es que se pierda la documentación electrónica. Cuanto más valiosa sea esta más fácil será que exista algún tipo de constatación física de su existencia, copias de seguridad redundadas, etc. La verdadera amenaza, que muchas empresas y particulares debieran plantearse, es qué pasa si los documentos "secuestrados" pasan a ser públicos. Propiedad Industrial, LOPD, Información Comercial, Estrategia de negocio... elija el punto donde menos le duela el golpe...
¿Pagar o no pagar? Esa es la cuestión
La gran decisión que debe afrontar toda víctima. ¿Respuestas? Hay de todo. Incluso pagando, se expone uno a todo tipo de riesgos; que no haya más contacto por parte del extorsionador, que le manden una 'vacuna', pero que no funcione, que funcione pero a la semana te vuelva a cifrar... Lo que me parece curioso es que por lo visto se utiliza la Teoría de Juegos para calcular las posibilidades de éxito de estas extorsiones, al estilo de los chantajes tradicionales o el moderno sabotaje industrial.
¿Se puede eliminar?
Parece que en algunos casos se puede eliminar el virus del sistema sin dejar rastro, únicamente los archivos cifrados. En mi personal opinión, incluso en el caso de contar con un perfecto sistema de backup, haría un clonado del disco, y haría un formateado y reinstalación completa del sistema. En determinadas situaciones recomendaría desprenderse de todo el material afectado. Para cada caso pienso que lo mejor es ponerse en manos de un profesional.
¿Avisamos a la Policía?
Hay quien declara la inutilidad de esta medida, ya que la tónica es que no se actúe hasta no recibir un número determinado de denuncias. El problema es que hay una gran variedad de opiniones en este caso. Personalmente creo que presentar la denuncia ayuda a hacer un seguimiento estadístico del problema sin el cual difícilmente habrá lugar a una intervención policial a gran escala. En general, creo que, en la medida de que nuestra vida cada vez tiene mayor entidad digital, los episodios digitales tienen un mayor impacto en nuestra vida en su dimensión 'física'. El ransomware es un robo con chantaje en el entorno digital que tiene efectos en la vida real. Pienso que en general debería tratarse como se haría frente a un acto 'físico'
.../... -Viene de arriba .../...
— Pero es tarde. Ya has apretado el botón de encendido. En este momento es cuando realmente los sientes "de corbata". El chaval actúa con rapidez. Se abalanza sobre el portátil y le extrae la batería en un santiamén, interrumpiendo así el proceso de arranque antes que la Bios activará tu disco duro.
"—Si no se ha activado todavía podemos hacer una copia de tu disco duro y salvar tus documentos antes de que el malware se ejecute. —te explica el técnico."
Has sido de los pocos que han podido salvar la información de su portátil. Aún así, te confirman que toda la información de departamento de las carpetas compartidas habrá quedado afectada. "Vaya mierda de viernes —piensas".
–-Haz copias en un pendrive o similar de tu documentación más importante. No, no lo dejes para el fin de semana, Hazlo AHORA.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación