El correo electrónico es sin lugar a duda, el sistema de comunicación más usado por empresas y profesionales. Su origen es anterior a la creación de la propia internet, y no se prevé su desaparición a largo plazo.
Aunque en lo personal nos decantemos por otros medios para comunicarnos entre nosotros, todos tenemos una o varias cuentas de correo electrónico que usamos precisamente para interactuar con empresas o instituciones públicas, es decir, para lo importante; comunicaciones administrativas (multas, impuestos…), compras en línea, recepción de comunicaciones bancarias, suscripciones a asociaciones de diversa índole, suscripciones a blogs y en definitiva, todas nuestras aficiones, compras, transacciones, citas médicas e información que conforma nuestra radiografía vital. Todo esto se encuentra en nuestro correo electrónico.
Es por tanto lógico, que los creadores de código malicioso usen este sistema como el principal medio para difundir y explotar ciertos tipos de virus informáticos.
Principales ataques
Desde hace unos pocos años, el principal tipo de software malicioso distribuido por correo electrónico es el ransomware.
Este es un tipo de virus informático que se ocupa de secuestrar los archivos de un equipo o una red interna, cifrándolos con una clave desconocida para el dueño del sistema, con el fin de solicitar posteriormente una cantidad económica a cambio de esa clave de descifrado. Aunque este sistema ha evolucionado en otros mucho más sofisticados.
La víctima objetivo de estos creadores de software malicioso no son las personas, si no sus datos personales, a través de quien tiene información de estas personas guardada en sus equipos; empresas, instituciones, asociaciones, profesionales autónomos, banca, sector sanitario, sector educativo y en definitiva, el tejido económico y social, que es quien puede pagar un rescate (ransom en inglés).
La proliferación exponencial en los últimos años de este tipo de virus informático se debe principalmente a la explotación económica que supone ahora el software malicioso.
Antes de este sistema, los creadores de virus informáticos tenían motivaciones más románticas, pero no por eso menos dañinas. El objetivo del software malicioso se ceñía al vandalismo, la protesta social o la experimentación y el aprendizaje.
Las cifras
La explotación económica del código malicioso ha originado la aparición de estructuras delictivas similares a otras tradicionales dedicadas a delitos más relacionadas con el mundo real, que destinan muchos recursos económicos y humanos para desarrollar y perfeccionar los medios de creación y difusión de software malicioso, los ciberdelincuentes están realmente muy organizados.
No solo debemos estimar el pago del rescate como las únicas cifras a tener en cuenta. El coste para las organizaciones que sufren estos ataques es mucho mayor en tiempo, recursos y desprestigio.
Se estima que el coste medio de recuperación de un ataque de virus informático tipo ransomware era en 2020 de más de 750.000 USD.
Asimismo, algo que no se puede estimar de forma fácil, son los daños colaterales; cuando una organización se ve afectada se produce un efecto dominó con consecuencias en todos aquellos clientes profesionales que tienen contratados sus servicios.
Si, por ejemplo, se ven atacados los servidores que prestan servicio de alojamiento de datos, las empresas que tienen ahí su información no han sido atacadas directamente, pero se ven afectadas.
Cómo se producen los ataques de Ransomware
En términos generales, lo que el atacante busca es que el usuario acceda al software malicioso por sí mismo. Es mucho más sencillo engañar al usuario que programar un sofisticado sistema que acceda a su red o a su equipo.
No obstante, los atacantes también pueden aprovechar agujeros de seguridad en nuestro sistema operativo.
Cuanta más información nuestra tengan los atacantes,
más fácil les resulta engañarnos.
Este tipo de ataques combina varios de los conocidos. Por un lado, se desarrolla un software malicioso con diferentes efectos. Una vez creado comienza la distribución.
Es en esta fase cuando se utilizan técnicas de ingeniería social, y aquí es donde comienza la faceta más ingeniosa de las organizaciones que crean y distribuyen virus informáticos.
Incluso tenemos un género literario que lo describe, la Picaresca, pero sin la parte cómica de la novela.
Cuanta más información nuestra tengan los atacantes, más fácil les resulta engañarnos.
Generalmente suelen realizar un primer ataque a una organización o profesional que preste servicios, o venda productos a otras organizaciones. Se hacen con su libreta de direcciones de correo electrónico, o con cualquier otra información relevante sobre sus clientes.
Una vez hecho esto, envían correos electrónicos, o SMS a los destinatarios de estas agendas de contacto con, ahora sí, el propio código malicioso que infectará los equipos. La mayor parte de este proceso está automatizado, con lo que se envían millones de mensajes en poco tiempo.
Los envíos se realizan imitando la forma en que estas entidades se comunican con sus clientes, y cada vez son más similares a correos reales. Suelen enviar un archivo o un enlace que nos invitan a descargar, o a pulsar. Puede ser una factura, una oferta, un anuncio simulado, o lo que sea que piensen que nos puede engañar.
Esta es una forma muy somera de explicarlo, realmente los ataques son muy sofisticados y están en continua evolución. Las organizaciones responsables de los ataques con código malicioso disponen de grandes recursos para mejorar sus tácticas.
Cuáles son las consecuencias de un ataque por Ransomware
Lo habitual es que recibamos un mensaje que nos indique la obligación de pagar un rescate. Este rescate deberá pagarse en alguna de las criptomonedas en curso para evitar el rastreo del dinero. Nos enviarán instrucciones de cómo hacerlo y un plazo que suele ser bastante corto.
También suele ir acompañado de alguna amenaza de divulgar la información robada, esto es algo que nos puede suponer una sanción por parte de la Agencia Española de Protección de Datos. Además de lo que opinarán nuestros clientes de que su información se haya hecho pública.
También puede ocurrir que nuestra propia agenda de contactos haya sido robada y se esté usando para enviar correos con código malicioso suplantando nuestra identidad.
La regulación de Protección de Datos obliga a realizar un análisis de la violación de datos, y si esta es muy grave, a notificar la brecha de seguridad ante la Agencia Española de Protección de Datos. Todo esto en menos de 72 horas. A partir de ahí, también puede ser necesario notificar a cada uno de los afectados (clientes, proveedores, empleados, pacientes…), lo que ha ocurrido.
Pagar el rescate no asegura que recuperemos la información, tenemos que pensar que tratamos con delincuentes, no tienen motivos para cumplir su palabra, pero sí para pedir más dinero si ven que nos prestamos al juego.
El informe Sophos al que me he referido antes, estima que las entidades que han sufrido un ataque por código malicioso y han pagado, han sufrido pérdidas económicas más grandes que las que no han pagado.
Cómo evitar los ataques de Ransomware
No se pueden evitar. Podemos mitigar los efectos pero el ataque en sí, lo vamos a sufrir. La protección contra las consecuencias de un ataque por código malicioso pasa por la adopción de un conjunto de medidas.
Debemos tener un buen antivirus. Esto es crucial, lógico, todo el mundo lo entiende…, pero la mayoría de las PYMES y profesionales tienen instalados en sus equipos o un antivirus gratuito de dudosa efectividad, o nada.
Tenemos a nuestro alcance toda la información que necesitamos simplemente buscando en nuestro buscador favorito, y dedicando una o dos horas a informarnos, contratar e instalar un antivirus.
Se deben actualizar el software y los sistemas operativos de forma constante.
La gran mayoría de las actualizaciones de software y sistemas operativos son parches de seguridad para problemas que se han ido descubriendo a lo largo del tiempo. Los propios fabricantes, entidades sin ánimo de lucro, profesionales independientes y compañías de ciberseguridad y software antivirus están trabajando en mejorar los sistemas operativos y el software comercial que usamos a diario.
Tenemos que formar al personal de la organización y a nosotros mismos. Cualquier actividad dentro de una empresa o una oficina profesional requiere formación. Por ejemplo, todas las personas empleadas en una empresa reciben una formación en prevención de riesgos laborales.
Si estas personas manejan equipos informáticos, sean estos los que sean, es lógico pensar que deberían recibir una formación en prevención de riesgos informáticos. Conocer los riesgos impide que podamos ser engañados por técnicas de ingeniería social.
Debemos asegurar la información. Para esto debemos redactar y seguir políticas y procedimientos de copia de seguridad, cifrado de datos y perfiles de acceso a la información que sean rigurosos y conocidos por todo el personal. Estos procedimientos deben ajustarse a nuestra propia actividad para evitar ser demasiado estrictos, lo que tampoco es bueno.
Restringir los servicios usados a los mínimos necesarios. Debemos hacer un ejercicio de análisis y decidirnos por un proveedor único para cada servicio que necesitemos. Me encuentro en muchas ocasiones que, dentro de la misma empresa, un empleado usa Dropbox, otro Google Drive, otro nada, y el CEO usa el servidor propio de la empresa.
Esto es un despropósito y nos impide la correcta gestión de la información, copias de seguridad, autorizaciones y, sobre todo, conocer el alcance real del daño ante un hipotético ataque.
En definitiva, debemos usar el sentido común. Si recibimos un correo con una copia de una factura que no hemos solicitado, debemos desconfiar. El perjuicio de borrar el correo, y que este sea realmente una factura es menor que si es un virus informático. En todo caso debemos llamar al proveedor y asegurarnos.
Si el correo es falso es que este proveedor ha sido atacado y debe ser avisado, le han robado la base de datos y le están suplantando.
¿Quieres conocer como desarrollar una Auditoría de Ciberseguridad y Protección de Datos?
Descarga este completo eBook y conoce los detalles
Conclusión
La gran mayoría de los ataques por correo electrónico con código malicioso tienen como víctima principal las pequeñas empresas y organizaciones, y profesionales autónomos. Las organizaciones cibercriminales saben que son estos quienes pueden dedicar menos recursos a protegerse.
Aunque la realidad es que no se necesitan grandes recursos, sí que es necesario asesorarse y dejarse aconsejar por un profesional, que ajuste la protección que necesitamos a las necesidades reales de nuestra actividad.
En la mayoría de los casos, el análisis de riegos que hay que realizar durante la adecuación de cumplimiento a la legislación de protección de datos, es más que suficiente para protegerse de las consecuencias de un ataque por código malicioso.
Protege tu organización antes de ser víctima de un ciberdelito, solicita información