La Oficina Federal de Seguridad de la Información (BSI) publica un informe de situación sobre la seguridad informática en Alemania. El ransomware aparece en él más de una vez. Es hora de actualizar la aplicación asesina más impopular de Bitcoin. ¿Pone el malware extorsionador en peligro la legitimidad de las criptodivisas?
Recientemente, la Oficina Federal de Seguridad de la Información (BSI) ha publicado el Informe de situación sobre la seguridad de las TI en Alemania 2021.
El informe expone en 100 páginas la «situación de las amenazas a la seguridad informática en Alemania», centrándose en «los ataques a empresas, tanto estatales como a instituciones públicas y particulares». La palabra «ransomware» aparece 79 veces en estas 100 páginas. Esto indica la gran importancia de este «software de chantaje» entre las fuentes de peligro del ciberespacio.
El ransomware no es realmente un fenómeno nuevo. «El malware que restringe el acceso a los datos o sistemas, por ejemplo mediante el cifrado, para que el atacante pueda luego extorsionar un rescate» existía incluso antes de Bitcoin. Pero solo desde que se hizo habitual exigir Bitcoins para los pagos alrededor de 2013, el «modelo de negocio del ransomware» se convirtió en LA historia de éxito de la ciberdelincuencia internacional, y eso de forma ininterrumpida durante unos ocho años.
¿Por qué Bitcoin? ¿Por qué la criptomoneda se convirtió en un punto de referencia para el ransomware?
Los bitcoins no son anónimos. Las monedas digitales son muy transparentes. Como un caracol que deja su rastro de baba, cada transacción deja un rastro muy claro en la cadena de bloques. Expertos como el ex general de la CIA … afirman, por tanto, que Bitcoin es el peor medio de pago imaginable para los delincuentes.
Sin embargo, los Bitcoins son muy buenos para una cosa: Recibir dinero de forma anónima. Cualquiera puede generar una dirección para recibir dinero. Para ello, no necesita un documento de identidad, una cuenta bancaria, un número de teléfono, ni siquiera una dirección de correo electrónico. Además, los Bitcoins de los que se tiene la clave privada no se pueden congelar, y las transacciones entrantes no se pueden censurar. Con estas propiedades, Bitcoin estimuló el ransomware, que posteriormente se convirtió en una «aplicación asesina» de Bitcoin de la que la escena prefiere no hablar.
En sentido estricto, el ransomware supone una amenaza decente para el Bitcoin. En Estados Unidos se tiende a clasificar como ciberterrorismo la extorsión a gran escala, por ejemplo, contra un destacado bufete de abogados. El ransomware podría convertirse en la razón -o el pretexto- por el que las criptodivisas sean (aún) más estrictamente reguladas y posiblemente también prohibidas.
Todas las paradas para los chanchullos de protección de la mafia
El informe de BSI muestra cómo la situación en torno al ransomware ha seguido evolucionando en Alemania desde junio de 2020 hasta mayo de 2021. Es excelente para obtener una instantánea de este «comercio» emergente, y del daño que está causando.
Algunas tendencias saltan literalmente a la vista. Por ejemplo, el sector se enfrenta a un cambio de mentalidad entre las víctimas. Cada vez es más frecuente que las víctimas se queden más tranquilas ante el ataque gracias a una copia de seguridad o que sigan las recomendaciones de las autoridades de no pagar el dinero de la protección.
Los hackers reaccionan a esto con dos tácticas: Por un lado, no sólo cifran los datos, sino que también los roban. De este modo, pueden mejorar su posición ante la amenaza de filtración de datos. Además, también amenazan con ataques DDoS para que la víctima pague el rescate. Por ejemplo, según la BSI, «si una empresa de venta por correo en línea se viera obligada a cambiar a una presencia web menos resistente a los ataques de DDoS debido a un ataque de ransomware, dicho ataque de DDoS dificultaría aún más la posibilidad de hacer frente al ataque de ransomware».
Así que esto acerca el ransomware a las mafias de protección multidisciplinares. Cualquier medio servirá si se acumula presión.
El ransomware como final de la caza mayor
Una segunda tendencia del ransomware es la profesionalización interna. Otros informes ya han escrito sobre esto, como la división del trabajo entre los desarrolladores de software, los distribuidores y los blanqueadores de dinero.
La BSI añade a esto el carácter multifacético de los ataques. En lugar de arrastrar el malware por el océano de los sistemas informáticos como una red de arrastre, los hackers se orientan cada vez más hacia los «ataques de espionaje APT». Se trata de ataques elaborados, complejos, profesionales y selectivos -elaborados a mano, por así decirlo- contra organismos gubernamentales y empresas. Se centran en un objetivo, luego trabajan las vulnerabilidades, a veces durante meses, y luego las explotan con todos los medios a su disposición. Se sospecha que estos ataques están financiados o promovidos por los habituales estados delincuentes: China, Rusia, Irán y Corea del Norte.
En el caso del ransomware, por ejemplo, funciona así: En primer lugar, el troyano Emotet anida en Outlook. Allí, analiza el tráfico de correo electrónico de la víctima para llevar a cabo «ataques de ingeniería social de aspecto especialmente auténtico contra los contactos de la víctima». A continuación, Emotet abre la descarga para que los hackers puedan instalar el malware espía Trickbot. Ahora se escanea todo el sistema y, si es posible, también la red. Sólo en el último paso -y sólo si vale la pena- los hackers suben el ransomware Ryuk. De este modo, se encriptan los datos.
El ransomware se convierte así en el colofón de una larga toma de posesión orquestada de los sistemas informáticos.
Los piratas informáticos se dirigen cada vez más a las víctimas con capacidad financiera. La BSI lo llama «caza mayor». Esta tendencia existe desde hace tiempo y se manifiesta en víctimas cada vez más conocidas y grandes, desde los supermercados suecos hasta los proveedores de energía italianos.
Una nueva víctima pública cada semana
El daño causado por el ransomware es difícil de estimar. Pero cada vez es más evidente que deben ser enormes.
Según el presidente de la BSI, Arne Schönbohm, la informática de al menos una administración municipal o autoridad de distrito alemana se paraliza por el ransomware cada semana. Cuando las cosas van mal en la administración alemana, cada vez es más frecuente que se deba a un ransomware.
La BSI no revela cuánto pagan al año las empresas e instituciones alemanas por el ransomware. Si es que conoce esta información. Pero el hecho es que el rescate es sólo una parte del daño causado por el ransomware, y probablemente ni siquiera la mayor.
«Suele pasar una media de 23 días desde que se descubre una infección hasta que los sistemas se limpian y se restablecen totalmente en funcionamiento […] A este impacto inmediato le suelen seguir los costes de seguimiento que se producen para hacer frente al ataque.»
Por lo tanto, por término medio se necesitan unas tres semanas hasta que los sistemas vuelven a estar completamente intactos. En el caso de una tienda online, por ejemplo, esto puede ser muy costoso. Si además se produce un daño a la reputación debido a la publicación de datos, «el daño causado por un ataque de ransomware puede amenazar la existencia de una organización afectada», explica la BSI.
Pero no es sólo el procesamiento de un ataque lo que devora recursos, sino también su prevención. Las BSI recomiendan amplias medidas: Las empresas deben mantener una copia de seguridad, es decir, que esté completamente desconectada y que se compruebe periódicamente su capacidad de reconstrucción. Las transferencias de datos en la red también deben ser supervisadas de cerca para evitar el robo de datos o para detectarlo en una fase temprana. Hay que minimizar las vulnerabilidades, como las conexiones con el mundo exterior, actualizar los sistemas operativos y los programas con regularidad y prontitud, y segmentar las redes internamente. Los empleados deben recibir una formación «exhaustiva y continua», y el acceso a los niveles de administración debe limitarse sistemáticamente.
Estas medidas son ciertamente sensatas. No pueden evitar completamente los ataques, pero pueden hacerlos mucho menos probables. Pero son caros. Requieren un mantenimiento casi constante de los sistemas informáticos, exigen el tiempo de todos los empleados y ralentizan los procesos, por ejemplo cuando se bloquean las transferencias de datos. Se trata de un obstáculo para el trabajo.
Visto así, el ransomware no sólo se está convirtiendo en un lucrativo modelo de negocio en la ciberdelincuencia de bajo riesgo, sino también en un sabotaje global de la economía y el Estado. Sin embargo, es bastante especulativo si realmente tienen ya un impacto en el crecimiento económico mundial o la falta de él.
¿Amenaza para la democracia?
Cada vez más, la BSI está preocupada porque el ransomware y otros programas maliciosos no sólo atacan a las empresas, sino que amenazan la seguridad pública. Las señales ya están ahí:
«El año pasado se produjo una nueva situación de amenaza debido a los incidentes en los que los ciberdelincuentes o los agentes estatales atacaron específicamente a empresas y autoridades del sector sanitario. A diferencia de lo que ocurría al principio de la pandemia, las BSI han observado ataques informáticos selectivos relacionados con la COVID-19 en áreas clave del sector sanitario en el periodo actual del informe. Entre ellos se encuentran, por ejemplo, el ataque a la Agencia Europea del Medicamento (EMA), los ataques a fabricantes de vacunas extranjeros, un ataque DDoS al portal de vacunación COVID-19 del estado alemán de Turingia y un ataque de ransomware a un fabricante alemán de pruebas de antígeno COVID-19».
Un caso destacado es también el ataque a un hospital universitario de Renania del Norte-Westfalia, que sufrió cortes temporales del sistema debido a un incidente de ransomware y no pudo admitir nuevos pacientes de cuidados intensivos durante 13 días. El hospital en cuestión puede ser el de Düsseldorf. También se vio afectado el aeropuerto de Saarbrücken, cuyos sistemas informáticos estuvieron fuera de servicio durante algún tiempo en el transcurso de un ataque de hace casi un año.
El BSI especula que el ransomware también podría suponer una amenaza para la democracia si ataca el entorno electoral. Por ejemplo, «un ataque de ransomware contra la administración de una ciudad o condado podría causar retrasos en la realización o el recuento de las elecciones si, por ejemplo, las comunicaciones por correo electrónico no están disponibles debido al ataque». Esto podría dañar la confianza en los procesos electorales, convertirse en parte de una operación de amaño y dificultar o imposibilitar la implantación de sistemas de voto electrónico.
