El alto costo que pagan las empresas para defenderse de los hackers rusos
Con KP Snacks como última víctima de un ciberataque, las empresas deben aprender a defenderse contra una amenaza creciente.
The Guardian. La nieve de enero yacía espesa en el suelo de Moscú, mientras oficiales enmascarados del FSB, la temible agencia de seguridad de Rusia, se preparaban para derribar las puertas de una de las 25 direcciones que allanarían ese día.
Su objetivo era REvil, un oscuro cónclave de piratas informáticos que afirmaba haber robado más de $100 millones (£74 millones) al año a través de ataques de "ransomware", antes de desaparecer repentinamente .
Mientras se llevaban esposados a los miembros del grupo, los oficiales del FSB reunieron monederos criptográficos que contenían volúmenes incalculables de moneda digital como bitcoin. Otros utilizaron máquinas contadoras de dinero para sumar decenas de fajos de billetes de cien dólares.
Los ciberdelincuentes detrás de REvil habían dominado una forma de extorsión orquestada tomando el control de los sistemas informáticos de la empresa y exigiendo el pago para desbloquearlos.
Las ramificaciones de este crimen cada vez más común se extienden desde la tensión geopolítica entre Rusia y Occidente, hasta la inminente escasez de Hula Hoops, Skips y Nik Naks en Gran Bretaña.
Esta semana, KP Snacks escribió a los propietarios de las tiendas para advertir sobre problemas de suministro hasta "finales de marzo como muy pronto" , ya que "no puede procesar pedidos ni enviar mercancías de manera segura".
KP, y los fanáticos de sus delicias saladas, se habían convertido en las últimas víctimas de un ataque de ransomware contra el que, hasta el viernes por la tarde, la compañía aún estaba luchando. Varias llamadas a la empresa fueron contestadas.
Cuando el jefe de una empresa como KP recibe la temida nota de rescate, sin importar la hora del día, su próxima llamada bien podría ser a la firma estadounidense de ciberseguridad Mandiant.
“La situación típica es que no lo ven venir y luego, de repente, experimentan un impacto devastador”, dice el Dr. Jamie Collier, asesor principal de inteligencia de amenazas de Mandiant.
La importancia de los sistemas informáticos para las cadenas de suministro de las empresas, dice, otorga un enorme poder a cualquier pirata informático que rompa sus defensas.
"Proporciona una gran cantidad de apalancamiento y permite que estos grupos exijan tarifas de extorsión significativamente más altas de lo que habrían hecho en el pasado".
Mientras los equipos de Mandiant se ponen a trabajar tratando de reparar o mitigar el daño, las víctimas inician negociaciones con los piratas informáticos, quienes a menudo actúan como si estuvieran logrando un acuerdo comercial legítimo.
“Los grupos de amenazas son muy accesibles”, dice el Dr. Collier. “Los verá reclutar hablantes de inglés que puedan lidiar con eso [negociaciones], casi como servicio al cliente donde puede hacer contacto e interactuar de manera profesional”.
Los piratas informáticos, dice, incluso manipularán a los ejecutivos durante el proceso de compra y transferencia de la criptomoneda favorecida para los pagos de rescate.
Dependiendo de la sofisticación del ataque, el daño causado por un apagado prolongado y si los gustos de Mandiant pueden solucionarlo, a veces no hay más remedio que pagar.
Además de la interrupción operativa, las empresas corren el riesgo de multas reglamentarias si se filtran datos, así como un gran daño a su reputación.
Muchos ahora tienen un seguro cibernético que les ofrece la opción de dejar que la aseguradora pague la cuenta, aunque al mismo tiempo alimenta las críticas por posibles ataques futuros.
En mayo de 2021, la pandilla de ransomware DarkSide, a menudo se rumoreaba que estaba vinculada a REvil, derribó al proveedor de combustible Colonial Pipeline. Como las estaciones de servicio se agotaron y los automovilistas estadounidenses entraron en pánico, la compañía no tuvo otra opción que entregar $ 4,4 millones (£ 3,3 millones).
En el caso de Travelex, ni siquiera toser ayudó. El factor más importante en el colapso de Travelex en agosto de 2020 puede haber sido los efectos de Covid-19 en el turismo, pero el daño persistente de un ataque de ransomware a principios de ese año ayudó a ponerlo al límite. Según los informes, Travelex pagó un rescate de 2,3 millones de dólares, pero la pérdida de confianza de los clientes fue duradera.
Los ataques de ransomware van en aumento. Hubo 1.396 en 2020, según Ransom-DB, que rastrea tales incidentes. El número casi se duplicó a 2699 en 2021, y entre el 35 y el 40 % de los casos terminaron con el pago de un rescate.
Lo más probable, dice Ransom-DB, es que muchos más no se reporten. En el Reino Unido, el organismo responsable de detener la marea es el Centro Nacional de Seguridad Cibernética (NCSC).
Su subdirectora de gestión de incidentes, Eleanor Fairford, dice: “Mientras los ciberdelincuentes obtengan ganancias, mientras la gente les pague, es un modelo comercial muy lucrativo. No hay ninguna razón por la que deba detenerse”.
Algunos han propuesto prohibir que las empresas paguen rescates, eliminando en teoría el incentivo para tales ataques. Esto, advierte Fairford, puede resultar en que las empresas no informen los ataques o simplemente cierren.
Los desafíos para aquellos que intentan detener la marea son múltiples. Las pandillas son anónimas, cambian de marca y se reubican tan rápido como las autoridades pueden encontrarlas.
Cada vez más, trabajan juntos para compartir conocimientos especializados. Incluso hay corredores de "acceso inicial" que conectan empresas que son buenas para infiltrarse en los sistemas con otras que son mejores para implementar ransomware una vez dentro.
Quizás el mayor obstáculo es que los países desde los que operan los piratas informáticos, dominados por los estados rusos y exsoviéticos, han mostrado poco interés por detenerlos. “Podría ser beneficioso para ciertos estados que estas pandillas molesten al oeste, además, el impacto no está en los estados de donde se originan”, dice Fairford.
La demostración de fuerza del FSB contra REvil, dice, puede ser poco más que teatro o conveniencia diplomática. “No creo que nadie considere seriamente esto como el principio del fin del ransomware, a manos del estado ruso. Es una especie de intento simbólico de mostrar movimiento”.
Los expertos coinciden en que la única solución es que las empresas tomen todas las precauciones para defenderse de algunas de las debilidades más conocidas que explotan las pandillas de ransomware, a menudo a través de miembros individuales del personal.