• Eduardo J. Villarreal S.

Más allá de Colonial Pipeline, los ciberataques de ransomware son una amenaza creciente

(WSJ) - El ciberataque que dejó fuera de línea un oleoducto esencial de Estados Unidos muestra cómo la peligrosa amenaza de secuestro de datos (ransomware) a escala profesional se está extendiendo rápidamente y apunta a empresas, escuelas, hospitales y otras instituciones.



Si bien el ransomware ha sido un desafío para las pequeñas empresas durante años, una confluencia de factores ha envalentonado a los atacantes el año pasado, que culminó con el cierre el viernes de un gasoducto crítico hacia la costa este de Estados Unidos. El operador del gasoducto, Colonial Pipeline Co., ahora dice que el servicio podría estar fuera de línea hasta el fin de semana, amenazando con aumentar los precios en las gasolineras para millones de estadounidenses.


Los ataques están creciendo en número y escala a medida que millones de personas en todo el país trabajan o asisten a la escuela de forma remota, en algunos casos abriendo puertas traseras a redes sin protecciones de seguridad corporativas o institucionales, dicen los investigadores de seguridad.


Los hackers se han vuelto expertos en comunicarse sobre vulnerabilidades en la llamada Dark Web, una red de computadoras que pueden compartir información de forma anónima. La capacidad de exigir el pago en criptomonedas limita las capacidades de seguimiento de las fuerzas del orden. Y el crecimiento de las pólizas de seguros que cubren los pagos de ransomware ha ayudado a sembrar una industria de ransomware cada vez más profesionalizada.


Altos funcionarios de la administración de Biden han dicho que el ransomware es probablemente la amenaza de ciberseguridad más grave para Estados Unidos y que, en su trayectoria actual, el problema solo empeorará en los próximos años. Un alto funcionario del Departamento de Justicia comparó el fenómeno con las "armas cibernéticas de destrucción masiva".


No existe una cámara de compensación oficial de Estados Unidos para rastrear los casos de ransomware, pero el año pasado se informó a la Oficina Federal de Investigaciones de casi 2,500, un aumento del 66% con respecto a 2019.


Si bien a menudo es difícil obtener datos precisos sobre los ataques, en parte debido al deseo de secreto entre los perpetradores y las víctimas, las víctimas de ransomware pagaron a los hackers al menos $350 millones de dólares en pagos de criptomonedas en 2020, un aumento de cuatro veces con respecto al año anterior, según la firma de análisis de blockchain Chainalysis Inc. Otros expertos en seguridad y funcionarios de ciberseguridad han estimado que el costo total de los registros económicos de EUA es de miles de millones al año.


“La razón por la que el ransomware está explotando es porque es escalable, predecible y lucrativo”, dijo Antony P. Kim, socio del bufete de abogados Orrick Herrington & Sutcliffe LLP en la práctica de innovación de datos, privacidad y cibernética.
"Si ese no es un modelo de negocio, no sé cuál es".

La Oficina Federal de Investigaciones ha dicho durante años a las empresas que no deberían pagar rescates cuando son víctimas de hackers, pero la firma de ciberseguridad Bitdefender dice que al menos la mitad de todas las víctimas terminan pagando.


Las empresas menos vulnerables son aquellas que respaldan los sistemas para que no se sientan presionadas a pagar, pero hacerlo puede resultar costoso desde el principio.


El ransomware cifra el contenido de las computadoras de la víctima, dejándolas inutilizables hasta que se realiza un pago, momento en el que los hackers prometen dar a las víctimas una clave de descifrado, una serie compleja de letras y números que desbloquearán sus sistemas. A menudo, las víctimas pagan un rescate porque no tienen copias de seguridad de los sistemas infectados o porque el esfuerzo necesario para restaurar cientos de computadoras es prohibitivo.


"Estamos en la cúspide de una pandemia digital global, impulsada por la codicia, un ecosistema digital vulnerable y una empresa delictiva en constante expansión", dijo Chris Krebs, exfuncionario superior de ciberseguridad del Departamento de Seguridad Nacional bajo el presidente Trump, en testimonio del Congreso sobre ransomware la semana pasada.

Las escuelas, los bufetes de abogados, los gobiernos locales, los aeropuertos y las fuerzas del orden se han visto afectados.


Un ataque en septiembre le costó a la cadena de hospitales United Health Services Inc. 67 millones de dólares el año pasado antes de impuestos, y un mes después, los grupos de ransomware dejaron fuera de servicio a docenas de hospitales durante una campaña generalizada.


El Distrito Escolar Independiente Sheldon de 10,000 estudiantes en Houston pagó un rescate de $206,931 dólares, negociado con una reducción de aproximadamente $350,000, luego de que un ataque de ransomware el año pasado lo dejara inoperable y amenazara con una próxima distribución de cheques de pago.


“No pudimos funcionar”, dijo el director de Sheldon, King R. Davis.
“Para nosotros era muy importante seguir avanzando”.

La Universidad de California en San Francisco pagó un rescate de 1.14 millones de dólares a un hacker en junio. La universidad ha dicho que tomó la decisión de pagar porque el hacker cifró datos para importantes trabajos académicos, incluida la investigación. La universidad dijo en un comunicado que era una "decisión difícil" pagar el rescate.


DarkSide, el ransomware vinculado por el FBI al incidente de Colonial Pipeline, utiliza el software de anonimato Tor para mantener oculta la ubicación de su servidor a las fuerzas del orden. El grupo que fabrica el ransomware utiliza la moneda digital bitcoin para pagos que se pueden realizar de forma anónima. Utiliza foros de hackeo en línea para reclutar socios "afiliados" que puedan entrar en las redes de las víctimas, y se cree que opera fuera de Europa del Este, según investigadores de seguridad.


Los desarrolladores de DarkSide no respondieron a una solicitud de comentarios. En la sección de "prensa" del sitio web de la banda de ransomware, parecían distanciarse del ataque a Colonial y culpaban a un afiliado.


Dijeron que ejercerían más control sobre las empresas que sus afiliados querían atacar "para evitar consecuencias sociales en el futuro".

Si bien los grupos de ransomware tradicionalmente han cerrado operaciones críticas y exigido pagos para proporcionar claves para restaurarlas, en los últimos años, los grupos de ransomware comenzaron a amenazar con publicar documentos tomados de las víctimas.


Este cambio ha dado a los hackers una nueva línea de negocio, permitiéndoles cobrar pagos incluso cuando las víctimas pudieron restaurar los sistemas encriptados a través de una copia de seguridad, dijo Charles Carmakal, vicepresidente senior de la firma de ciberseguridad Mandiant.


“Muchas veces, estas víctimas se sienten obligadas a pagar”, dijo.

Las bandas de ransomware ahora notifican a los empleados de la empresa e incluso a los socios cuando se han infiltrado en una víctima para maximizar la presión de pago, dijo Sherri Davidoff, directora ejecutiva de la consultora de seguridad LMG Security LLC. En su sitio web, DarkSide dice que está dispuesto a vender información robada a las víctimas a vendedores en corto, si la víctima se niega a pagar.


En conjunto, todos estos servicios en línea facilitan que un grupo creciente de hackers se involucre en ransomware con un mínimo de esfuerzo, dijo Davidoff.


"Es muy apuntar y hacer clic", dijo.

Reflejando la escala de la amenaza, el mes pasado el Departamento de Justicia formó un grupo de trabajo destinado a reducir los esquemas de extorsión populares haciéndolos menos lucrativos a través de esfuerzos para atacar todo el ecosistema digital que los respalda, incluida la forma en que los delincuentes dependen de la moneda digital para extraer a la víctima. pagos.


En una entrevista el mes pasado, John Carlin, un alto funcionario del Departamento de Justicia, comparó el ransomware con “armas cibernéticas de destrucción masiva” que, como las armas nucleares, se estaban volviendo más poderosas y devastadoras con el tiempo. El éxito de las operaciones de ransomware ha permitido a los hackers exigir sumas de dinero cada vez mayores a decenas de millones de dólares a las víctimas y reinvertir esas ganancias en nuevas herramientas y servicios que permiten más y mejores ataques, dijo Carlin.


"Tenemos que encontrar una manera de romper el ciclo no virtuoso en el que estamos ahora, donde cuanto más dinero ganan, más se canaliza hacia las herramientas que están usando", dijo Carlin.

Hablando durante una conferencia de prensa en la Casa Blanca el lunes, Anne Neuberger, asesora adjunta de seguridad nacional del presidente Biden, dijo que muchas empresas están "a menudo en una posición difícil si sus datos están encriptados y no tienen copias de seguridad y no pueden recuperar los datos".


La Sra. Neuberger también dijo que se estaba desarrollando una “tendencia preocupante” de hackers que apuntaban a empresas que tienen seguros y son más ricas y, por lo tanto, más propensas a pagar un rescate.


"Necesitamos analizar cuidadosamente esta área, incluso con nuestros socios internacionales, para determinar qué hacemos además de interrumpir activamente la infraestructura y responsabilizar a los perpetradores para asegurarnos de que no estamos fomentando el aumento del ransomware", dijo.