Domingo 06 de septiembre de 2020. BancoEstado reportó un ataque informático que afectó a sus sistemas. Horas más tarde, se dieron cuenta que el ataque informático era sin precedentes y obligó a cerrar las sucursales, produciendo aglomeraciones y largas filas en plena pandemia. En el presente artículo, analizaremos las posibles causas del hackeo a BancoEstado.
Sin embargo, no vamos a realizar el típico artículo informativo sobre lo sucedido. Queremos ir más allá y aportar al debate que genera el ataque informático a una entidad estatal.
¿Qué es un ransomware y qué tipos son los más dañinos?
¿No sabes qué es un ransomware? La palabra está compuesta de dos palabras clave: ransom = secuestro y ware = software. Está compuesta de todos aquellos códigos maliciosos que le exigen a un usuario el pago o un rescate para recuperar sus archivos.
¿Cómo se puede propagar un ransomware? Por archivos no solicitados o enlaces a un vínculo de un banco o empresa de mensajería. También se propagan por softwares P2P (peer-to-peer).
Tipos de ransomware más dañinos
Según ESET, en cuanto al método de propagación, en algunos casos estos códigos maliciosos explotan las vulnerabilidades para extenderse por toda la red. Cifran los directorios mapeados y algunos pueden detectar servicios en la nube que también pueden ser cifrados.
Un ejemplo claro fue WannaCry, ransomware que impactó a varias empresas que no tenían actualizados sus sistemas operativos y al infectar un solo dispositivo se propagó por toda la red.
Este comportamiento se denomina «ransomworm» y son más dañinos, comparado con otras campañas que se propagan a través del correo.
¿Cómo podemos saber qué ransomware es más dañino que otro?
Es difícil medir cuán crítica es la información afectada por el código malicioso. Si ha sido robada o cifrada, tendrá un impacto distinto dependiendo de la naturaleza de esta información. En el caso del BancoEstado, podríamos pensar en bases de datos de clientes o información confidencial que sea útil para la organización.
¿Es más dañino el cifrado o el secuestro/robo de información?
Los ransomware más críticos son aquellos que cifran la información. Pero si sólo bloquean el sistema pueden ser eliminados con una solución de seguridad que consiste en la instalación de un disco o unidad que esté en modo esclavo para someterlo a un análisis y la eliminación del malware. Incluso, sería posible extraer la información valiosa del disco.
Sin embargo, ¿qué sucedería si un ransomware cifra la información en una primera instancia y se elimina la amenaza mediante una solución de seguridad en segunda instancia? La información seguirá cifrada y recuperarla sería mucho más compleja.
¿Cuál es el peor ransomware?
El ransomware más dañino es aquel que sea capaz de saltarse todas las medidas de seguridad e infectar, robar y/o cifrar la información más crítica de una organización. Por lo que, te recomendamos realizar backups (respaldos periódicos), mantener actualizado el sistema operativo y las aplicaciones.
Posibles causas del hackeo a BancoEstado: ransomware Sodinokibi sería el responsable
Según el portal TrendTIC, una de las posibles causas del hackeo a BancoEstado sería el ransomware Sodinokibi. El CSIRT (Equipo de Respuesta ante Emergencias Informáticas) realizó un análisis y hallaron que este ransomware está circulando a nivel nacional, además de que no se descarta un ataque dirigido hacia la entidad estatal.
Conociendo el ransomware Sodinokibi
Sodinokibi o REvil es conocido por infectar los sistemas de Artech, una compañía de Estados Unidos. Como no dieron una respuesta tras el ataque, los ciberdelincuentes filtraron la información robada en diversos foros de internet.
En la actualidad, 15 familias de ransomware adoptaron la modalidad de doxing como parte de sus tácticas y esto ha llevado a muchas de ellas a crear sitios dedicados a publicar la información robada.
¿Por qué las entidades gubernamentales son un blanco de ataque?
Según el reporte de Verizon llamado Data Breach Investigation Report (DBIR), el ransomware es un gran problema para las organizaciones gubernamentales, debido a que los ciberdelincuentes están motivados por objetivos financieros y usan un amplio espectro de este tipo de entidades.
El 61% de los incidentes de seguridad vinculados al malware que afectaron a entidades gubernamentales corresponden al ransomware.
Las razones que convierten a las entidades gubernamentales en un blanco perfecto son:
- Mantener la continuidad de los sistemas: con el objetivo de garantizar la continuidad de los sistemas, las organizaciones gubernamentales tienen la presión de resolver el incidente lo más rápido posible. Esto ofrece ventajas a los cibercriminales a la hora de negociar el pago de un rescate.
- Gran volumen y alta sensibilidad de los datos: según Verizon, un 51% de los datos comprometidos que afectan al sector gubernamental corresponde a información personal.
- Falta de capacitación e inversión en ciberseguridad: el factor humano es clave y sólo un clic indebido puede comprometer la información de toda la red. La formación de los trabajadores es fundamental para evitar los ataques informáticos. Pero como las capacitaciones cuestan tiempo y dinero, las capacitaciones son difíciles e imposibles de realizar.
- Escasez de profesionales en ciberseguridad: es muy complejo para las entidades gubernamentales atraer y retener talento, según Deloitte.
- Transformación digital con vulnerabilidades: lamentablemente, este tipo de organizaciones han diseñado, desarrollado e implementado nuevos softwares y estos procesos no han sido acompañados con protocolos y políticas para gestionar la seguridad de la tecnología. Desde la actualización de software hasta los planes de capacitación. Entonces, el uso de software y sistemas operativos obsoletos son un riesgo para la seguridad, ya que esto permite la exposición frente a nuevos ataques, convirtiendo a las entidades estatales en blancos fáciles.
- Superficie de ataque: como los gobiernos han decidido aumentar la cantidad de servicios a través de medios digitales, han aumentado el número de computadoras que utilizan. Cada uno de ellos son un punto de acceso para un ataque informático. A esto nos referimos con el concepto de «superficie de ataque». Por lo que no siempre se tiene en cuenta, ni se asignan los recursos necesarios en materia de ciberseguridad para proteger en su totalidad los equipos.
Evolución del ransomware a lo largo de los años
Una de las primeras formas de ransomware es la categoría LockScreen que busca impedir el acceso al sistema. Un ejemplo de ello es Reveton, popularmente conocido como el «virus de la policía».
Otra categoría son los ransomware de tipo FileCoder que tiene como objetivo cifrar los archivos en el equipo de la víctima. En 2013, se registró un crecimiento explosivo con sus posteriores variantes.
En 2017, el escenario cambió radicalmente. WannaCry, un ransomware con comportamiento de gusano que le permitía propagarse en redes e infectar sistemas con vulnerabilidades explotables, hizo su aparición. Esto generó un nuevo concepto: ransomworm.
A fines de ese año, Wiperware hizo su aparición y generó diversos problemas a las organizaciones, debido a que no sólo se comportaba como un FileCoder, sino que afectaba al MBR (Master Boot Record), dejando el sistema operativo inutilizable.
Al año siguiente, las detecciones de ransomware decrecieron, pero las nuevas familias de estos virus aumentaron. Dharma, SamSam o Bit Paymer fueron diseñados bajo un nuevo enfoque.
La evolución de estos tipos de malware se ha enfocado en un menor grupo de víctimas, específicamente a aquellas empresas y organizaciones gubernamentales que tienen mayores recursos y cuya reputación puede verse comprometida.
Posibles causas del hackeo a BancoEstado: un ciberataque pudo haber sido evitado
Según Sebastián Sichel, presidente de BancoEstado, afirmó en la Radio BioBio que «es un virus que encripta información de ciertas máquinas y computadores y lo que hemos hecho es no hacer operativas esas máquinas. La primera información fue el sábado, tomamos la decisión de bajar los sistemas, se tomaron todos los protocolos y contactamos a expertos para ver cómo desbloqueamos y ver cómo levantamos de a poco los servicios del banco. No vamos a descansar hasta pillar a quienes son los responsables«.
En consecuencia, dijo que «todo lo que estamos haciendo es para proteger sus fondos y darle tranquilidad que nada ha sido afectado de sus cuentas». Isabel Margarita Cabello, fiscal del Banco Estado, declaró que «tenemos lista la querella porque vamos a perseguir a los delincuentes hasta el final. Esta Fiscalía tiene un propósito muy claro que es cuidar al banco y cuidar a todos los chilenos».
Sin embargo, los ataques de ransomware pueden ser evitados con adecuados protocolos de ciberseguridad orientados a la prevención. Además, se deben tomar medidas para minimizar todos los riesgos, con el objetivo de robustecer la seguridad del entorno. Pero nada es gratuito: requiere de inversión.
Los ransomware no son «virus nuevos», como dijo Sichel en el punto de prensa. Maze, el primer ransomware en adoptar la práctica de doxing en sus ataques que fue detectado en mayo de 2019. Además, DopplePaymer y Sodinokibi han sido conocidos por afectar grandes compañías entre los años 2019-2020.
¡Descarga la App de Aurockra y activa las notificaciones!
Discusión sobre este post