Ciberseguridad: ¿qué debes tener en cuenta, ante ataques como los que acaban de sufrir MediaMarkt y Damm?

Más de un tercio de las empresas de todo el mundo han sufrido ataques de ransomware o bloqueos en el último año.

Algunos ataques son dirigidos. Pero muchos son automáticos, y buscan un porcentaje de éxito.

Más del 90% de las empresas que pagan un rescate no solucionan el problema ni recuperan la información.

Denúncialo a la policía. Pero, también, a la Agencia de Protección de Datos.

La mejor protección contra el malware es preventiva.

Las pymes pueden protegerse igual, o mejor, que las grandes empresas: se trata de minimizar riesgos.

El siguiente artículo es el resultado de una información de nuestra revista hermana Market Visión, que Aramo Editorial (que publica la revista Textil Exprés) difunde en el sector de bienes tecnológicos de consumo. En ese ámbito ha sido noticia estos días el asalto informático realizado por un grupo criminal a la cadena alemana de tiendas de electrodomésticos y electrónica de consumo MediaMarkt, que también opera y es un actor importante en España. Ha sido objeto de un ciberataque del tipo ransomware, que ha encriptado varios miles de ordenadores con sistema operativo Windows. Y el autor del asalto, presuntamente un grupo de delincuencia cibernética denominado Hive, probablemente habría exigido un rescate de varias decenas de millones de euros. Pero este tipo de amenaza no le afecta solo a esta gran cadena de electrónica. De hecho, unos días después acaba de ser noticia, por un hecho similar, la cervecera Damm, con sede en Barcelona. Por ello, el artículo, que hemos publicado primero en Market Visión, lo republicamos aquí ahora, en Textil Exprés, entendiendo que puede ser de gran interés también para buen número de empresas del textil/moda. Este artículo recoge, fundamentalmente, consejos y valoraciones de expertos en la materia.


 

 

Las pymes están tan expuestas a este riesgo como las grandes compañías. O más.

Las empresas del sector pueden preguntarse, a raíz de casos como este, si «esto me puede ocurrir a mí también». De hecho, es una eventualidad que sobrecoge, y a más de uno le pone el vello de punta solo pensar en la posibilidad.

Es evidente que el atractivo de grandes organizaciones es elevado, puesto que se pueden pedir rescates de varios millones de euros. Pero muchos conocemos casos de asalto informático más próximo, y siempre nos preguntamos si esta lotería nos puede tocar a nosotros. ¿Hasta qué punto están libres de peligro las empresas pequeñas, por resultar poco atractivas en cuanto a los importes que pueden pagar?

Sergio Pedroche, country manager de Qualys para España y Portugal, explica a Market Visión que ninguna empresa, independientemente de su tamaño, está libre de sufrir este tipo de ataques. «Desgraciadamente el ransomware continúa aumentando, como reflejan los datos de la consultora IDC, que señala que más de un tercio de las empresas de todo el mundo han experimentado un ataque de ransomware o una brecha que bloqueó el acceso a sus datos o sistemas en el último año. Las vulnerabilidades sin parchear, las configuraciones incorrectas de los dispositivos, los activos conectados a Internet y el software no autorizado se encuentran constantemente entre los principales vectores de ataque».

Para Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación en la UOC (Universitat Oberta de Catalunya), cree que las pymes están en igual o mayor peligro que las de mayor tamaño. «Las grandes empresas dedican parte del presupuesto a la seguridad informática, lo que hace que sea mucho más complicado poder realizar un ataque con éxito. En cambio las medianas o pequeñas empresas no tienen esos recursos y por lo tanto los ataques normalmente son mucho más efectivos». Es cierto que los atacantes «no pueden pedir tanto dinero, pero la suma de todas las pequeñas empresas que acaban pagando también les es rentable». En contrapartida, «las grandes empresas es difícil que acaben pagando, pero claro está que, si pagan unas pocas, el beneficio es mucho mayor»

Según José de la Cruz, director técnico de Trend Micro Iberia, «ninguna organización, grande o pequeña, está exenta de esta amenaza». Nos explica cómo funcionan estas cosas: «Muchos de estos ataques tienen como punto de partida un ataque global, por ejemplo mediante un ataque phising dirigido a miles de cuentas e-mail; el cual posteriormente se propaga dentro de la organización. Posteriormente, los atacantes evalúan los resultados obtenidos con el ataque global, aplicando a cada uno de ellos el planteamiento adecuado para extraer el máximo beneficio: Cifrado, robo de información, etc. Por lo tanto, cualquier compañía puede sufrirlo. Si bien puede que exista variación en la cuantía del rescate solicitado».

Guillermo Fernández, Manager Sales Engineering Iberia de WatchGuard, comparte esta visión: «De ninguna de las maneras las empresas están fuera de peligro, ya sean grandes o pequeñas. Evidentemente, un ataque dirigido puede no justificarse que se lleve a cabo en una pyme, por los costes tan grandes que requiere llevarlo a cabo y el tiempo; pero hay muchos ataques que se hacen automatizados, en los que se busca un porcentaje de éxito: es decir, si un 1% de cada 100 pica, esto ya permitirá ganar dinero al atacante, con lo cual le resultará rentable».

Fernández abunda en las consecuencias que pueden tener dichos ataques. Los problemas que generan «son evidentes: daños de imagen, problemas a nivel operativo de la propia compañía (paralización de su actividad…), y esto puede derivar incluso en el cierre o la quiebra de la compañía». Aquí sí que el tamaño de la empresa puede ser decisivo: «En el caso de MediaMarkt, al ser una compañía grande, sin duda tendrá herramientas de seguridad que le ayuden a conseguir recuperarse. Pero, si se trata de una empresa pequeña, posiblemente esta no cuente con muchas medidas de protección y piense que si no paga no puede volver al servicio. A ello se añade todo lo que esto conlleva: ‘si se paga ¿es cierto que me permitirán recuperar los datos?’ Esto no es una certeza. No siempre que se realiza el pago se recupera la información/sistemas; y se pueden volver a sufrir extorsiones futuras».

 

¿Qué debo hacer si me «secuestran» los sistemas informáticos?

Al hilo de esta respuesta, nos preguntamos qué debe hacer una empresa que ha sufrido un ataque de ransomware. ¿Acudir a la policía? ¿A expertos informáticos? ¿Pagar el rescate? Se ha dicho que, en el caso del grupo de ciberdelincuentes Hive, si no la víctima no abona el rescate, los delincuentes hacen una exposición pública en la red de todos los datos sensibles de empresa... porque no se limitan a bloquear el acceso a los sistemas, sino que previamente, si pueden, «roban» toda su información. ¿No constituye eso un riesgo adicional... en el caso de no pagar rescate?

Los expertos nos responden lo siguiente:

José de la Cruz, de Trend Micro Iberia, nos indica que, en el caso de sufrir un ataque de ransomware, en primer lugar es recomendable contactar con el CERT («Computer Emergency Response Team», equipo de respuesta para emergencias informática) local para notificar el incidente y solicitar ayuda. «Por supuesto el pago del rescate no debe de ser nunca una opción, tanto por evitar alimentar económicamente organizaciones delictivas como por la alta probabilidad de que el rescate no suponga recuperar los archivos afectados». Añade que en algunos casos «los propios atacantes no son capaces de recuperar los ficheros, o directamente aprovechan la ocasión para incrementar la presión y solicitar un rescate mayor». ¿Qué ocurre si no se dispone de recursos informáticos propios? «Es recomendable contactar con una compañía de servicios de recuperación de desastres. En el caso de disponer de un seguro para ciberataques, es muy probable que el propio seguro incluya este servicio».

Jordi Serra, de la UOC, lo tiene claro: hay que denunciarlo a la policía. «Y, si dispone de datos de clientes, como direcciones, teléfonos, correos, etc., lo ha de denunciar también a la Agencia de Protección de Datos», por si acaso los ciberdelincuentes han podido extraer esa información. Por ello, «hay que asegurarse de guardar muy bien esos ficheros de manera que nadie tenga acceso, aparte de quien únicamente lo ha de tener dentro de la empresa». ¿Pagar rescate? «No sirve de mucho. Pueden devolver los archivos... o no. Sin embargo, lo seguro es que nunca se tendrá la certeza de que al día siguiente no se vuelva a cifrar».

Sobre el riesgo de que los asaltantes hagan públicos los datos, «es importante que esos datos sensibles, de proveedores, usuarios, compradores, trabajadores... estén muy bien guardados y no se pueda acceder a ellos. Cifrarlos y que solo tengan acceso aquellas personas que sea estrictamente necesario».

Por otro lado, es importante ponerse en contacto con especialistas «para que puedan estudiar cómo han entrado [los asaltantes] a la infraestructura de la empresa, para poder aplicar medidas de corrección y cerrar ese acceso a futuros casos nuevos».

Sergio Pedroche, de Qualys, explica que la primera medida de urgencia a adoptar, «cuando creemos que un equipo conectado en red ha sufrido un ataque de ransomware, es apagar dicho equipo y desconectarlo de la red, acotando así en la medida de lo posible su propagación. Una vez hecho esto, lo mejor es ponerse en manos de profesionales, sin lugar a dudas». Añade que «podemos buscar las copias de seguridad y activar los protocolos previstos, si existen, pero siempre informando a las autoridades pertinentes y buscando el apoyo de especialistas en recuperación, nunca jamás intentando negociar con los cibercriminales. Esto no ayuda en absoluto y además, por muchas amenazas que recibamos –la de la exposición pública es una más—, es clave que las empresas entiendan que, aquellas que pagan rescates, sabemos que en más del 90% de los casos no solucionan el problema ni recuperan su información».

Guillermo Fernández, de WatchGuard, coincide en que hay muchos grupos que se dedican a realizar este tipo de ataques y que, «para impedir que se puedan recuperar los datos desde un backup y, por tanto, que no se pague el rescate, lo que hacen es amenazar con la publicación de los datos. Primero los roban y luego los cifran y, si no se paga, se publican. Esto supone un riesgo adicional y por eso, las medidas a adoptar deben ser proactivas y no reactivas».

¿Qué debe hacer una empresa ante un hecho así? Para Fernández «lo correcto es acudir a la policía y tratar con personas expertas que ayuden a resolverlo, cuando ya se está en el peor escenario. Lo último a hacer: pagar el rescate, pues no garantiza nada. Pero también hay compañías que pagan porque tienen miedo a enfrentarse incluso a una quiebra del negocio. Hay que ponerse en la piel de la compañía, evidentemente, pero lo ideal es no pagar, pues solo se sigue alimentando este tipo de ataques, ya que resultan rentables para quienes los cometen».

 

¿Sirven de algo las copias de seguridad?

Con motivo de este asalto a los sistemas informáticos de MediaMarkt se ha informado que los ciberdelincuentes a menudo intentan encriptar no solo la información viva en los ordenadores sino las copias de respaldo. ¿Es esto posible? Y, en ese supuesto, ¿de qué sirven dichas copias?

Según Guillermo Fernández, de Watch Guard, «las copias de seguridad deben existir siempre, pues son la última barrera. No solo porque te puedan atacar, sino porque hay otros tipos de incidentes que pueden afectar a la empresa, y los backups deben está ahí siempre». Además, «estas copias de seguridad deben estar a prueba de poder ser cifradas, y hay mecanismos para hacerlo».

Fernández matiza, no obstante, que las copias de seguridad no constituyen la mejor protección para un ataque de estas características, aunque pueden servir de algo. «La mejor protección contra malware avanzado no debe actuar de forma reactiva, es decir, cuando el cifrado ha comenzado, sino que tiene que poder parar antes la ejecución de este proceso y del malware. Aquí son muy útiles las tecnologías Zero-Trust como las de WatchGuard, pues supone desconfiar totalmente de cualquier aplicación antes de que se ejecute».

Más importancia le concede a estas copias un portavoz de Commvault, puesto que la firma está precisamente especializada en protección de dato con soluciones de backup. En su opinión «es fundamental garantizar que las copias de seguridad sean inmutables y que no puedan ser modificadas o cifradas por el ransomware. La función de inmutabilidad del backup aplica métodos probados para restringir las operaciones de escritura y eliminación, lo que evita que actores malintencionados o ataques de malware modifiquen los archivos en las rutas protegidas». Añade que «la verdadera tranquilidad proviene de contar con un plan completo y permanente de preparación para la recuperación (‘recovery readiness’). La preparación para la recuperación significa que las etapas de la recuperación ya están documentadas, automatizadas, y son predecibles». Indica además que «muchos expertos recomiendan contar con una estrategia por capas contra el malware y el ransomware».

Para Sergio Pedroche, de Qualys, «la copia de seguridad de la información es un aspecto clave, tanto si es en unidades físicas de almacenamiento como en la nube. Si estas copias se crearon, por supuesto, antes de la infección, y se almacenaban de forma aislada, garantizarán la recuperación de los datos». Por ello recomienda que las compañías realicen estas copias de forma periódica y autónoma. Es una medida básica, «que no exime de tomar las pertinentes para evitar los ataques, pero que al menos nos asegura una ‘salvaguarda’ de la información, en caso de que no pueda ser desencriptada».

Jordi Serra, de la Universitat Oberta de Catalunya, afirma que las copias de seguridad son necesarias y útiles, «si se tienen bien hechas. Los ciberdelincuentes van a cifrar todo lo que vean, y las copias de seguridad también. Aunque las tengamos cifradas nosotros, ellos pueden cifrar otra vez, con lo que perderemos esos datos». Con esta práctica, los ciberdelincuentes no podrán leer esa información ni republicarla, ya que estará cifrada por la empresa. «Pero esta tampoco podrá acceder, por el cifrado de los ciberdelincuentes». De manera que es importante «hacer copias de seguridad y tenerlas separadas de los dispositivos para que no sean visibles directamente, y así no se puedan cifrar por extraños».

José de la Cruz, de Trend Micro, es contundente en su respuesta: «Las copias de seguridad son el último recurso, pero también las que pueden salvar un negocio de desaparecer. Es cierto que los atacantes siempre intentan cifrar las copias de seguridad, pero, si la política de almacenamiento de las mismas (manteniendo una copia en una ubicación alternativa no conectada permanentemente con la red de producción) es la correcta, pueden resultar cruciales».

 

Si un gigante cae ante un ataque así, ¿qué posibilidades de protección tiene una pyme?

A usted, a nosotros, a cualquier empresa que no sea un gigante, le sorprenderá que estas grandes compañías, que invierten mucho en seguridad informática, sucumban ante los ciberdelincuentes. Ahora estamos hablando de la cadena detallista MediaMarkt, que opera en varios países y factura más de 1.000 millones de euros incluso en un año de cierre temporal de tiendas por las medidas contra la pandemia de Covid-19. Pero en los últimos años se han producido noticias similares con grandes corporaciones e instituciones de todo el mundo.

No es extraño que a veces las pymes piensan que, si estas grandes empresas no pueden, una de pequeño tamaño y con menos recursos difícilmente va a poder protegerse. ¿Qué medidas de precaución-prevención puede adoptar una pyme?

«Lo primero —dice Guillermo Fernández, de WatchGuard— es ponerse en manos de profesionales, pues la seguridad cada vez es más compleja, hay más productos y los entornos de trabajo son más variados (hay gente trabajando de forma presencial, otros en remoto, hay servicios o informaciones que están dentro de la empresa y otros sistemas alojados en la nube, etc.) Para una pyme es muy complicado estar al día en seguridad y debe apoyarse en partners que les ayuden a gestionar estos servicios (como los MSP o MSSP, proveedores de servicios de seguridad gestionada) que permiten el acceso y la administración de herramientas por un coste comedido y así se cubren las necesidades de las pymes».

Para Sergio Pedroche, de Qualys, «es importante entender que no existe una fórmula mágica que nos mantenga libres de sufrir un ataque de ransomware, si bien las compañías pueden elevar mucho sus barreras de protección siguiendo una serie de medidas proactivas, entre las que se incluirían una ciberseguridad sólida y saneada, parches actualizados para las vulnerabilidades de ransomware conocidas, cambios de configuración y ajuste de políticas de seguridad. También existen servicios de evaluación y reparación de riesgos de ransomware como el que ha empezado a ofrecer Qualys de forma gratuita por un periodo de 60 días y que proporciona a las empresas visibilidad acerca de su exposición al ransomware, automatización inmediata de los cambios de configuración y parches necesarios para reducir el riesgo y combatirlo de forma proactiva».

José de la Cruz, de Trend Micro, indica que, para prevenir, en primer lugar deben aplicarse medidas cuyo coste es mínimo, tales como:

—Concienciación a usuarios.

—Evaluación de usuarios frente a ataques.

—Hardening de redes, sistemas y aplicaciones.

—Actualización de sistemas operativos y aplicaciones.

«Adicionalmente pueden aplicar medidas de seguridad acordes al dimensionamiento de su negocio. Estas deben proteger todos los posibles vectores de ataque de la compañía (correo, endpoint, cloud, red, etc). Por último, es importante mencionar que la seguridad debe ser implementada en la fase de diseño de un servicio, lo cual también contendría el coste».

Jordi Serra, de la Universitat Oberta de Catalunya, afirma que las pymes «se pueden proteger igual o mejor» que las grandes empresas: «es un tema de minimizar los riesgos, tanto para las grandes como para las pequeñas. Simplemente para empezar podemos hacerle una auditoría de riesgos, ver que es más prioritario para la empresa, la parte de negocio, e ir asegurando cada parte. Hay muchas soluciones que dependen completamente del núcleo de negocio. Hay empresas que tratan datos, otras, servicios, productos... cada empresa deberá asegurar su infraestructura de manera diferente. Pueden ser trabajando en la nube, aplicando políticas de seguridad, etc.»

Añade que, «no obstante, siempre es bueno tener claro dos cosas: pensar en que mañana nos podemos encontrar con los ordenadores cifrados, y tener un protocolo claro y probado para recuperar los ordenadores y los datos lo más rápido posible y cerrar la puerta de entrada. Esto pasará por copias de seguridad seguras, guardar configuraciones, etc.»

© - TEXTIL EXPRES - 2021