Los últimos meses han sido un auténtico cóctel bien agitado de incidentes de ciberseguridad de lo más variado. Esto nos ha permitido ver que al igual que en los incidentes de 2020 son muchas y bien diferentes las situaciones a las que se enfrentan las empresas y organizaciones hoy en día. Ahora que se sabe más de lo sucedido, se pueden ver algunos patrones en lo ya sucedido y cómo se han conseguido resolver esos problemas.
Descubre cómo proteger tu pyme en este webinar
El ciberataque al SEPE
A principios de marzo el Servicio Público de Empleo Estatal (SEPE) se enfrentó a una complicada situación tras ser atacado por Ryuk un ransomware con nombre de personaje siniestro de manga japonés que desde 2018 viene atacando entidades oficiales de este tipo en todo el mundo. Este tipo de software básicamente secuestra los ordenadores de la red de la entidad cifrando completamente sus datos y desactivando la restauración de las copias de seguridad. Normalmente se manifiesta pidiendo un rescate cuantioso en bitcóines, esperando dificultar su rastreo. Los datos son irrecuperables: o se paga por descifrarlos –y no hay garantías– o se utiliza una copia de seguridad válida.
Ante un ataque de Ryuk las empresas y entidades se enfrentan a un dilema: seguir con las recomendaciones de las autoridades –básicamente, no pagar el rescate– o enfrentarse a pérdidas económicas o de prestigio por no poder operar normalmente. En el caso del SEPE parece que había copias de seguridad adecuadas y todo comenzó a volver a la normalidad tres días después tras una exhaustiva limpieza. Eso sí: resultó extraño que el SEPE usara una copia de la portada de su web recuperada de Archive.org, pero seguramente era lo más rápido en medio del caos. Allí se informó de los servicios del SEPE que habían quedado suspendidos, incluyendo tanto los presenciales como los de la sede electrónica, que se fueron recuperando poco a poco.
El Ministerio Trabajo y Economía Social afirmó poco después que los datos confidenciales estaban a salvo. También confirmó que el ataque se había debido a «la última versión de Ryuk», que había afectado principalmente a las máquinas Windows de la organización, no a los servidores web ni a las bases de datos con información personal y que habían recibido ayuda incluso del Centro Criptológico Nacional. Entre las críticas que recibieron: la utilización de equipos con versiones de Windows y software obsoleto con muchos años a sus espaldas y escasa seguridad. Se desconoce cómo pudo entrar Ryuk en la red del SEPE, pero es sabido que normalmente lo hace a través de phishing en forma de correos electrónicos maliciosos, hiperenlaces que llevan a sitios trampa desde los que se descarga el software o algún dispositivo que se instala sin las debidas precauciones.
Inscríbete al webinar sobre ciberseguridad corporativa
Ayuntamientos en jaque
A finales de marzo la red del Ayuntamiento de Castellón recibió otro ataque similar al del SEPE. No eran los únicos: se cree que unos veinte ayuntamientos de toda España, incluyendo también el de Jaén, se vieron en la misma situación en los últimos meses. La situación era muy similar: equipos Windows encriptados e inutilizados; las máquinas pidiendo un rescate y la red y todos los servicios (portal tributario, sede electrónica y demás) desactivados hasta que se pudo solucionar el problema diez días después.
En este caso el Ayuntamiento de Castellón también optó por no pagar el rescate. Pudieron confirmar que los datos personales de los ciudadanos (impuestos, servicios municipales, etcétera) no habían salido de su red y optaron por ampliar los plazos de pago de impuestos como compensación a quienes no podían usar su web.
Otros ayuntamientos optaron por soluciones similares: no pagar y restaurar. Pero eso exige contar con copias de seguridad fiables. Mientras existan, es cuestión de tiempo recuperarlas. Sin embargo, hay que tener mucho cuidado con Ryuk en este aspecto: es capaz de pasar mucho tiempo escondido tras llegar a los equipos de la red y se sabe que desactiva las copias de seguridad para su restauración, por lo que hay que analizar muy bien cuándo llegó y qué datos se van a poder recuperar antes de hacer nada al respecto. Otra demostración de que las mejores medidas pasan por una buena prevención.
Apúntate al webinar gratis sobre ciberseguridad
Datos filtrados: cuando el problema está a la vista
Facebook se enfrentó a las consecuencias de una gigantesca brecha de privacidad a principios de abril, cuando apareció un listado de datos personales robados con 533 millones de sus usuarios (11 millones de ellos de España) a la venta en un foro de «hackers de bajo nivel»: nombres, lugares de trabajo, correos, números de teléfono, amigos… A diferencia de otros ataques este tenía la particularidad de que no se trataba de información confidencial como datos bancarios, contraseñas y demás. Todo lo que se publicaba era información pública. ¿Qué había pasado?
El atacante se aprovechó de que en Facebook mucha gente deja como visibles gran parte sus datos personales, a veces sin siquiera saberlo. Así que utilizó un truco: probó uno por uno todos los números de teléfonos del mundo y fue rastreando Facebook para encontrar los datos de los amigos de esos números, si acaso existían, enlazando unos con otros. La negligencia y un agujero del tamaño de un cráter en los sistemas de alerta de Facebook hicieron que no saltaran las alarmas; el atacante simplemente recopiló la información, la comprimió en un gigantesco archivo y le puso precio a su trabajo.
¿Es preocupante que alguien venda información que ya es pública? Lo cierto es que sí. Cuando esa información no está tratada de forma masiva, tan solo quienes la están buscando la encuentran, por ejemplo los amigos que se dan de alta en Facebook. Sin embargo, disponer de ella en una gigantesca base de datos facilita usarla para el mal con aviesas intenciones. Simplifica los envíos masivos de correos o SMS con técnicas de phishing, que resultan más efectivos de lo normal si se dirigen a las personas por su nombre, mencionado a su empresa, su número de teléfono o los nombres de sus amigos. Esto da más credibilidad a esos mensajes engañosos. Y si los destinatarios «pican» y hacen clic en los enlaces… Ahí está el malware listo para atacar.
Además de seguir usando un buen antispam y antiphising en el correo electrónico, quienes quieran saber si sus datos están en esta filtración pueden chequearlo en HaveIBeenZuckered.com, donde se comprueba si el teléfono está en la base de datos filtrada, o HaveIBeenPwned.com, que guarda un histórico de brechas de privacidad de este tipo. Ambos sitios son fiables.
LinkedIn sufrió una brecha similar poco después, que supuestamente afectaba a 500 millones de cuentas. No estaba muy claro si eran datos actuales o procedían de incidentes antiguos, pero esto último es lo más probable. Por su parte la empresa confirmó que eran datos públicos rastreados ilegalmente con un scrapper (software automático que lee las páginas web y copia esos datos) y no información confidencial. De modo que la preocupación debería ser tan solo la misma que en el caso de Facebook: que esa información se utilice para crear mensajes de phishing más eficientes contra los usuarios de LinkedIn.
Clubhouse, la app de moda de esta temporada, es una especie de partyline a través del teléfono móvil. Para darse de alta hay que recibir una invitación personalizada por correo. Pues bien: también sufrió un incidente similar poco después. Según Cybernews la filtración fue de 1,3 millones de registros personales, tales como identificador y números de teléfono, fotos, cuentas de Instagram, Twitter, etcétera, incluyendo quién había invitado a Clubhouse a otras personas. Esta vez se vendía como base de datos SQL lista para utilizar.
Como puede verse, todos estos incidentes guardan dos patrones similares: o bien se basan en un malware específico (Ryuk) gestionado a nivel internacional y dirigido a entidades oficiales o grandes empresas, o bien utilizan la misma técnica (scraping) para extraer datos relativamente privados. Para el primero un software actualizado y buenos protocolos de seguridad, en especial las copias de seguridad, resultan fundamentales. Para el segundo, los usuarios deben seguir usando filtros antispam y de malware que les ayuden a eliminar los mensajes sospechosos.
Inscríbete ahora en nuestro webinar sobre ciberseguridad
5 Comentarios
Puedes enviar comentarios en este post.
[…] SER del grupo PRISA) y entidades públicas como ayuntamientos (Oviedo, Cáceres o Vinaroz) o el Ministerio de Trabajo sufriendo por restaurar sus datos. En lo que podría ser considerado el colmo de la vileza, la […]
La peculiar relación entre las amenazas del ransomware y Bitcoin | Blog Sarenet 2 años ago
[…] que pide dinero a cambio de «descifrar» los ordenadores que han sido inutilizados; de hecho en 2021 ya hemos visto unos cuantos. Este «secuestro de información» es relativamente fácil de llevar a cabo en comparación con […]
Ciberseguridad: 5 hábitos para proteger tu negocio | Blog Sarenet 2 años ago
[…] Secuestros y ataques de ransomware (Universidad Autónoma de Barcelona, octubre de 2021; SEPE, julio 2021; Ayuntamiento de Castellón, marzo […]
5 ataques informáticos que se podrían haber evitado en 2021 | Blog Sarenet 2 años ago
[…] las organizaciones que recientemente se han visto afectadas por ataques de ransomware: Media Markt, SEPE, Ministerio de Trabajo, Hospital Universitario Central de Asturias… Estos ciberataques han pasado […]
8 preguntas y respuestas sobre el ransomware | Blog Sarenet 2 años ago
[…] comunes y los incidentes que se van conociendo dan a pensar que no siempre tienen como objetivo las grandes corporaciones y entidades oficiales: también las pymes y pequeños negocios pueden verse afectados en su día a […]
Ransomware y pymes: las pequeñas empresas también pueden ser víctimas | Blog Sarenet 2 años ago
Enviar una respuesta
No hay comentarios