La ciberdelincuencia ha expandido en los últimos años –en todo el mundo y México no es la excepción– un modelo ilícito de negocios que aún muchos desconocen: el ransomware. Se trata de un tipo de malware (código malicioso) diseñado para instalarse en un equipo de cómputo, infiltrarse en el sistema informático de una empresa privada o institución pública y encriptar datos sensibles. El objetivo es pedir una cantidad de dinero –en criptomonedas como el bitcoin– a cambio de liberar esa información
La ciberdelincuencia ha expandido en los últimos años –en todo el mundo y México no es la excepción– un modelo ilícito de negocios que aún muchos desconocen: el ransomware. Se trata de un tipo de malware (código malicioso) diseñado para instalarse en un equipo de cómputo, infiltrarse en el sistema informático de una empresa privada o institución pública y encriptar datos sensibles. El objetivo es pedir una cantidad de dinero –en criptomonedas como el bitcoin– a cambio de liberar esa información.
* Basado en el artículo original de Imani Barnes WIRED. “Meet LockerGoga, the Ransomware Crippling Industrial Firms” March 25, 2019; https://www.wired.com/story/lockergoga-ransomware-crippling-industrial-firms/ (opens a new window)
Debido a la evolución de la digitalización y la interconectividad, las amenazas cibernéticas han dejado de ser sólo una preocupación de seguridad y privacidad personal para constituirse en un auténtico peligro para plataformas de información que involucran datos de grupos de personas o comunidades enteras.
A través del despliegue del ransomware, los ciberdelincuentes ya no sólo buscan robar información de tarjetas de crédito y otros datos sensibles de identificación personal, sino que han mejorado sus tácticas para manipular a los responsables de organizaciones o instancias, públicas o privadas, para que paguen grandes sumas de dinero a cambio de la liberación segura de sus datos y el control de sus sistemas
En México –el tercer país de Latinoamérica con más ataques de ransomware– el escenario es complicado porque los criminales han esparcido familias de malware muy diversas. De acuerdo con el Eset Security Report, de la firma especializada en seguridad cibernética Eset, en 2018 más de 200 variantes de ransomware se propagaron en territorio mexicano. Las dos familias que concentraron mayores detecciones fueron Crysis y TeslaCrypt.
Los delincuentes cibernéticos están ampliando sus alcances de posibles víctimas para incluir objetivos de oportunidad1 en una multitud de industrias.
Esta extorsión cibernética o cibersecuestro de datos ha generado importantes ganancias a los grupos delictivos. Se estima que los costos globales de ransomware alcancen los 12 mil millones de dólares para fines de 2019.
Este documento proporciona información sobre la evolución del ransomware como un instrumento de extorsión cibernética, identifica cepas notorias y explica cómo las empresas pueden protegerse.
Una a breve historia del ransomware
Los primeros signos de ransomware aparecieron en 1989 en la industria de la salud. Un atacante usó disquetes infectados para encriptar archivos de computadora, alegando que el usuario estaba “violando un acuerdo de licencia”(Edith Cowan University. “Ransomware: Emergence of the cyber-extortion menace” 2015; https://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1179&context=ism (opens a new window)), y exigió 189 dólares a cambio de una clave de descifrado. Si bien el intento de extorsionar no tuvo éxito, este ataque se conoció comúnmente como PC Cyborg y puso en marcha el arquetipo para futuros hackeos. En los años siguientes, los ataques de ransomware estuvieron presentes, pero todavía no eran un problema significativo porque a los cibercriminales les faltaban tres elementos clave:
Una estrategia clara para desencriptar o destruir los archivos y datos por los que exigieron dinero.
La capacidad de comunicarse de forma anónima.
Un método imposible de rastrear para que la víctima pague el rescate.
Con esas limitaciones, los ciber delincuentes se conformaron con aprovechar vulnerabilidades explotables en software y errores humanos para instalar malware en dispositivos a través de estafas de antivirus. De esta manera pudieron robar credenciales confidenciales e información personal para vender a extraños.
Años más tarde, en 2006, el virus troyano Archiveus cambió el ámbito del ransomware. Cuando se descarga, encripta todos los archivos encontrados en la carpeta “Mis documentos” de la computadora del usuario. Para que las víctimas pudieran recuperar el acceso a estos archivos, debían dirigirse a sitios web específicos –indicados por el propio Archiveus– para realizar compras y pagar así el rescate. (Computer Business Review. “The History of Ransomware” Feb. 23, 2018; https://www.cbronline.com/news/the-history-of-ransomware (opens a new window).)
La introducción del bitcoin en 2008 fue un punto de inflexión significativo en el mundo de la ciberextorsión. Esta nueva moneda digital permitió a los cibercriminales llevar a cabo ataques y recibir pagos de rescate prácticamente imposibles de rastrear. Ahora los ciberdelincuentes tenían la libertad de ser creativos con sus ataques y subir la apuesta.
Después de varias réplicas de cepas de ransomware (los llamados CTB-Locker o CryptoLocker), en 2013 los maleantes cumplieron con los otros dos elementos faltantes. Ahora podrían ejecutar tramas poderosas de extorsión de ransomware.
En el lenguaje cibernético, “CTB” son las siglas de Curve (por la tipografía de curva elíptica), TOR y Bitcoin. Ahora, ¿qué es “TOR”? Son las siglas del protocolo The Onion Routing. Así, el CTB proporcionaba a los piratas cibernéticos un cifrado rápido y seguro del contenido del archivo, un medio para la comunicación anónima a través del protocolo TOR, y el bitcoin permitía transacciones cripto-efectivo seguras e imposibles de rastrear. Era, pues, la evolución del delito cibernético.
Dado que las organizaciones y las cadenas de suministro dependen cada vez más de las redes y de la conexión de dispositivos, la escala y el efecto de un ataque de ransomware es también cada vez mayor.
La prevalencia del ransomware
El FBI lanzó el Internet Crime Complaint Center (IC3) para rastrear los ataques de cibercrimen y ransomware y proporcionar información a personas y organizaciones sobre cómo protegerse contra estos delitos. Desde su lanzamiento en 2000, el IC3 ha recibido informes de más de 4 millones de eventos de delitos cibernéticos, con un aumento de la ciberextorsión.
En 2018, los ataques de ransomware informados directamente al IC3 representaron aproximadamente 3.6 millones de dólares en pérdidas para las víctimas (4 Federal Bureau of Investigation. “2018 Internet Crime Report” 2019; https://www.ic3.gov/media/annualreport/2018_IC3Report.pdf (opens a new window)). Si bien la pérdida financiera informada puede parecer baja, es importante tener en cuenta que es común que muchas organizaciones paguen rescates sin dar a conocer que han sido víctimas de ataques de ransomware.
Estos ataques están aumentando a un ritmo tan rápido que los investigadores de Cybersecurity Ventures predicen que “una nueva organización será víctima del ransomware cada 14 segundos en 2019 y cada 11 segundos para 2021” (Cybersecurity Ventures. “Global Ransomware Damage Costs Predicted To Reach $20 Billion (USD) By 2021” Oct. 19, 2018).
Los ataques de ransomware también se están volviendo más agresivos. Los ciberdelincuentes duplican e incluso triplican la demanda si el rescate no se paga dentro del plazo especificado. Este método de ciberextorsión se ha convertido en un negocio multimillonario para los ciberdelincuentes, y se espera que los costos globales de ransomware alcancen aproximadamente 12 mil millones de dólares para fines de 2019 y 20 mil millones para 2021.
¿Qué papel juega el Seguro de Riesgos Cibernéticos?
Es recomendable que toda organización o instancia, ya sea pública o privada, tenga una protección adecuada contra los ataques de ransomware. Esto se extiende más allá de contar con antivirus y software anti-malware y copias de seguridad.
Los escenarios de phishing (fraude electrónico) se aprovechan mucho para iniciar ataques de ransomware y comúnmente están “diseñados para engañar a un usuario para que proporcione las credenciales de la cuenta de Office 365”5 para violar un sistema. Estos ataques van más allá de exigir rescates y a menudo vienen con varios daños y gastos asociados, que incluyen:
“Daño y destrucción (o pérdida) de datos, tiempo de inactividad, pérdida de productividad, interrupción posterior al ataque al curso normal de los negocios, investigación forense, restauración y eliminación de datos y sistemas de rehenes, daño a la reputación y capacitación de los empleados en respuesta directa a ataques de ransomware” (Cybersecurity Ventures. “Global Ransomware Damage Costs Predicted To Reach $20 Billion (USD) By 2021” Oct. 19, 2018 https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021/ (opens a new window)).
El Seguro de Riesgos Cibernéticos puede evitar que una empresa agote todos sus recursos para hacer frente a un ataque y recuperarse. En el caso de una invasión de ransomware, este seguro cubriría la demanda de rescate y los gastos adicionales, incluidos análisis forenses e investigación, hasta el límite especificado de la póliza Cyber. El valor que proporciona el Seguro de Riesgos Cibernéticos se demuestra a través de los extensos acuerdos y mejoras de seguros centrales disponibles en el mercado, tales como:
Responsabilidad de seguridad de la red.
Procedimiento reglamentario de privacidad.
Costos de respuesta por incumplimiento.
Reembolso por ciberextorsión.
Reemplazo de hardware (bricking).
Recuperación de datos.
Interrupción comercial y gastos extra.
Interrupción de negocio dependiente.
Daño reputacional.
Hay pólizas que ofrecen cobertura a las empresas por daños causados por proveedores externos debido a un evento cibernético como el ransomware. Lockton, el corredor privado de seguros más importante a escala mundial, ve de primera mano el valor que el Seguro de Riesgos Cibernéticos ofrece a nuestros clientes contra daños y costos incurridos debido a los ataques de ransomware, como Ryuk y WannaCry, proporcionando cobertura para gastos que alcanzan más de 4.5 millones de dólares, acumulativamente.
Los ataques de ransomware implican severas mermas económicas, además de interrupción del negocio en muchas ocasiones. Durante los últimos 30 años, el ransomware se ha adaptado a las estrategias defensivas una y otra vez, pues los cibercriminales explotan numerosas vías para llevar a cabo ataques.
Desde los intentos de ingeniería social y phishing hasta sitios web infectados, la amenaza se vuelve más sofisticada a cada minuto. Su avance está afectando a un número creciente de industrias. La pregunta ya no es si estoy expuesto a un ataque, sino cuándo ocurrirá. Las organizaciones deberían cambiar su enfoque de una postura de recuperación a una proactiva, y desarrollar los planes de prevención y contingencia apropiados.
Lockton ha asegurado endosos complementarios exclusivos con muchas de las grandes compañías de Seguros de Riesgos Cibernéticos para garantizar que nuestros clientes cuenten con condiciones de cobertura óptimas.
