Cerrar close
11 de diciembre 2019

CIBERCELINCUENTES SON EQUIPOS DE PROFESIONALES

Publicado por El País

Un ataque informático puede perseguir la destrucción de las redes y datos de una empresa, o bien exigir un rescate económico a cambio de la información robada. En ambos casos, todo empieza con una etapa de reconocimiento en dos fases, externa e interna.

La primera persigue averiguar cómo opera la compañía y sus filiales. La segunda, consiste en localizar e infectar las copias de seguridad (backups) de los datos. Sendas prácticas no son detectadas de inmediato y los bancos no son el mayor objeto de deseo de estos delincuentes: el sector público y las industrias manufactureras o de viajes registran incidentes, tanto en Europa como en Estados Unidos.

Sin embargo, sigue fallando la respuesta como equipo de las instancias afectadas, porque, según se observa, empresas como IBM, la ciberseguridad suele depender de un departamento separado del resto.

Para acceder a una firma o entidad de cierta envergadura, “hay que analizar su ecosistema externo”. “Si opera con firmas más pequeñas con acceso a sus redes de Internet, pero más vulnerables y sin presupuesto para protegerse bien, resulta más fácil para el atacante entrar por ahí para lograr su objetivo”, dice Francisco Galián, experto en ciberseguridad de IBM, que cuenta con un centro de operaciones especializado en simular cibertaques montado en un camión de 23 toneladas llamado C-TOC [Cyber Tactical Operations Center], viaja por el mundo y ha recalado estos días en Holanda.

Sus instalaciones permiten poner a prueba a las compañías para meterse tanto en “la mente del atacante como en la de su víctima, entendida esta última como empresa, para dar respuesta a tiempo a una de estas crisis”, en palabras de Erno Doorenspleet, su responsable.

La sorpresa empresarial es similar al bloqueo de un comprador anónimo atacado cuando solo buscaba, por ejemplo, regalos navideños. Ambas reacciones convergen “cuando la tensión por lo ocurrido impide casi pensar y se pierde un tiempo precisos; y ahí puede verse la madurez técnica de una compañía”, explica.

En las simulaciones, “tan intensas que, a veces, ha habido incluso conatos de enfrentamiento entre ejecutivos al verse inmersos en un incidente informático al que no pueden responder adecuadamente”, indica Doorenspleet, se explica la fase de reconocimiento interno de la infraestructura de la red elegida.

 

‘SECUESTRO DE DATOS’

Van en busca de los datos y si la intención de los ciberdelincuentes es causar el mayor daño posible, «darán la sensación de que se trata de un secuestro de datos (ransomware), que podrán ser luego recuperados, pero, en realidad, se han infectado y se destruyen, y también son perturbados los servidores y cualquier máquina atacada”, sigue Galián. “Si lo que pretenden es pedir un rescate para devolver la información sustraída, el asaltante cifrará todos los datos de la institución elegida y mandará luego una notificación de pago, generalmente en criptomonedas.

Es un chantaje en toda regla, y si las empresas restauran luego sus copias de seguridad sin haber hecho antes una investigación forense profunda, pueden recuperar datos todavía infectados. El atacante suele permanecer en la red unos cinco o seis meses, y deja lo que denominamos mecanismos de persistencia, unas puertas traseras, en la red. Si pasado ese tiempo, comprueba que sigue habiendo cabos sueltos en la seguridad, pueden atacar de nuevo”.

La difícil detección en tiempo real de un ciberataque responde a los tiempos manejados por los delincuentes. Una vez obtenida la información que buscaban, pasan tres o cuatro semanas sin moverse en la red elegida. De esa forma, “cuando se lancen, crearán gran confusión en los equipos de seguridad, porque no hallarán movimientos extraños recientes”.

“Aunque hay empresas con buenos equipos de seguridad, y otras tienen planes, los primeros suelen trabajar aislados del resto de los departamentos, y así no se puede reaccionar bien ante una crisis.

 

EQUIPOS DE PROFESIONALES

En cuanto a los planes, muy pocas los ensayan, y el ciberdelincuente ya no es un tipo metido en un sótano con sudadera y capucha. Ahora son equipos profesionales, y aunque es difícil señalarlos, sí hay momentos claros de riesgo. Por ejemplo, cuando es Navidad en una parte del mundo, pero no en otras, y la gente se lanza en masa a consumir online”, advierte Galián.

El experto indica que dos de cada tres compañías averiguan que fueron atacadas cuando se lo notifican otros, porque sus datos se han hecho públicos, o al recibir una nota del ciberdelincuente pidiendo un rescate.

Aunque las cifras no suelen hacerse públicas, la tendencia observada por especialistas como Galián indica que las aseguradoras están dispuestas a pagar rescates de esta clase hasta cierto límite, “digamos un millón de dólares”. Pero incluso así, no está garantizada la recuperación de datos.

Noticias relacionadas

01 de octubre 2018

Hackean 50 millones de perfiles; ya han tomado medidas

Millones de cuentas vieron comprometidas sus credenciales de acceso.

03 de mayo 2017

Casi causa tragedia ‘La Ballena Azul’

En distintas redes sociales, se dio a conocer un video en el que una alumna de secundaria intenta suicidarse

23 de mayo 2017

Hábitos De Los Internautas Mexicanos

Internautas mexicanos pasan conectados a la red, el equivalente a una jornada laboral.

Contacto

Por favor escríbenos cualquier observación, comentario o duda. Estaremos al pendiente, ¡gracias!

Enviar un comentario Inscripción a talleres