“¿Cómo te sentirías si el ransomware derribara los oleoductos que salen de tus campos petrolíferos?”, le preguntó el presidente de Estados Unidos Joe Biden a su par ruso Vladimir Putin, antes de exigirle medidas firmes para frenar los secuestros de datos en Estados Unidos, ya que se habían multiplicado en 2021 y habían logrado vulnerar la seguridad de la Casa Blanca y amenazar la seguridad nacional. Los ciberataques formaron parte de la cumbre entre ambos presidentes. Unas semanas después, desapareció sin dejar rastro el grupo cibercriminal REvil, el mismo que en 2019 había atacado a Telecom Argentina y había secuestrado los datos de 18.000 computadoras de la empresa argentina.
Desde ese año hasta 2021, en Argentina el ransomware, como se conoce al secuestro de datos, no paró de crecer: se detectaron 104 ataques semanales en el primer semestre de este año y un crecimiento mundial del 57%. La amenaza para el país es creciente. De acuerdo a referentes del Banco Galicia y la Dirección Nacional de Ciberseguridad, todavía no existe una estrategia conjunta entre el sector privado y público; se preparan por separado y exigen más del otro lado.
El ransomware es una práctica cada vez más expandida en el mundo, que consiste en ingresar mediante un malware (software malicioso) a la base de datos de una empresa, encriptar la información y exigir un rescate. Esta forma de ciberataque está en un continuo crecimiento que se aceleró aún más por la pandemia y la digitalización, según datos de la agencia de ciberseguridad Check Point Research.
“Recibimos muchos ataques, permanente y diariamente”, dijo a Punto Convergente Pedro Adamovic, gerente de ciberseguridad (CISO) en el Banco Galicia. El experto explicó que los bancos son uno de los sectores más apuntados por los cibercriminales, por lo que deben estar en capacitación constante y actualizar permanentemente sus softwares para prevenir que les suceda a ellos. “Uno puede mitigar el riesgo, pero no evitarlos al 100%”, confesó.
A la hora de pensar en estrategias en defensa, lamentó que “las empresas trabajan independiente y aisladamente porque no existe una estrategia nacional”. “Creo que en Argentina particularmente lo urgente tapa lo importante, y por eso hace años que no se avanza en temas de tener una estrategia nacional de ciberseguridad”, agregó.
Una práctica que crece
Adamovic explicó que el ransomware “seguirá creciendo hasta que se pueda controlar mejor”, pero que “la velocidad y complejidad de los ataques es enorme y, si a esto le sumamos la inversión que tiene la ciberdelincuencia versus la inversión que tiene cualquier otra empresa del mundo, estamos en una fuerte desventaja”.
A nuevas seguridades, nuevas estrategias: el ransomware mutó en una doble extorsión —donde se amenaza a la empresa con filtrar los datos si no se paga, es decir, se exige un pago y se amenaza con una filtración— y luego a una triple extorsión —además de la retención de datos y amenazar a las compañías, se amenaza a sus clientes más pequeños con su porción de la información—.
Alejandro Botter, gerente de ingeniería para Sudamérica en Check Point, explicó que el ransomware seguirá creciendo porque la superficie de ataque se va ampliando —ahora hasta las heladeras tienen Internet y pueden ser hackeadas— y porque cada vez hay más motivos para los atacantes: sea por dinero o porque un Estado quiere atacar al otro.
“Un ciberataque puede parar una Nación, como pasó hace varios años atrás con Ucrania, en donde frenaron la electricidad. Eso tiene mucho más impacto que mandar tropas de un país al otro”, reseñó.
Recientemente fue REvil, de raíces rusas, que atacó con ransomware a Colonial Pipeline, una empresa proveedora de combustible, y frenó la provisión de nafta en toda la Costa Este de Estados Unidos. Poco después, JBS, el mayor productor de carne del mundo, también debió parar su producción por un ataque de este tipo.
“El ransomware puede convertirse en un problema de seguridad nacional si ataca a la infraestructura crítica de información, es decir, aquellos sistemas informáticos que manejan servicios esenciales para el ciudadano”, explicó Gustavo Sain, director nacional de Ciberseguridad de la Secretaría de Innovación Pública.
¿La Argentina puede ser atacada?
Ya lo hicieron. El año pasado ciberdelincuentes atacaron las bases de datos de Migraciones, y robaron información privada del organismo que luego se filtró en la dark web. Sain recordó que al Equipo de Respuesta ante Emergencias Informáticas nacional (CERT, por su sigla en inglés) llegaron muchos intentos de ciberataques, pero pocos exitosos.
El funcionario aseguró que “hay una preocupación fehaciente” del Gobierno por la ciberseguridad nacional, aunque admitió que existe un problema de escasez de recursos humanos en el sector público porque las diferencias en los salarios, sobre todo con la suba del dólar, son enormes.
A diferencia de Adamovic, Sain cree que es el sector privado el que necesita más inversión, ya que en el ámbito público “existe una estrategia que se está actualizando y en breve va a ser pública”.
“La Dirección Nacional de Ciberseguridad es más parecida a una agencia, si se quiere, en el tema de elevar los estándares de seguridad de la información de los organismos y verificar su cumplimiento. Después las políticas de seguridad de información de cada uno de ellos, es responsabilidad de las propias organizaciones”, subrayó.
“Todas las empresas y todos los estados tienen el desafío de tener una ciberseguridad a la altura de lo que te está pidiendo”, opinó Botter. Para el ejecutivo de Check Point, es necesario adoptar tecnologías de prevención y no de detección: “muchas veces si el malware está dentro de la compañía ya es muy difícil pararlo”. En este sentido, destacó que la posición del CISO en Argentina pasó a estar dentro de la mesa directiva de las empresas, por lo que la preocupación por mejorar la ciberseguridad queda demostrada.
Eso mismo opina Adamovic, que destacó que en el Banco Galicia hay un “monitoreo constante” sumado a una concientización permanente sobre la importancia que todos los roles de la compañía tienen en proteger la ciberseguridad de la empresa y la información de sus clientes. Sin embargo, lo más importante es backupear: “Tener un backup y una estrategia de recuperación de esos backups es lo único que te puede salvar de un ransomware al 100%”.
Ransomware: el crimen perfecto
Casos hay de sobra: a Colonial Pipeline y JBS se suman muchos más. En agosto atacaron a Kaseya, una proveedora de servicios, y 1.500 empresas se vieron afectadas. En el mismo mes la vacunación se frenó en Lazio, porque la empresa encargada de asignar turnos fue hackeada. En mayo atacaron a AXA, un gigante de los seguros, y días después al Sistema Nacional de Salud irlandés, que frenó las páginas por varios días.
Un año atrás, ciberdelincuentes lograron entrar en Solarwinds, una empresa de software, e infectaron a 18.000 compañías, entre las que estaban las más altas agencias de Gobierno de Estados Unidos. En 2015, un ataque a Ucrania dejó a 230.000 personas sin luz.
Si esos son algunos, ¿por qué no se sabe de todos? “Hay un tema de reputación de empresas o entes gubernamentales. Hay una parte de confianza con el público que consume el servicio o el banco”, graficó Botter. Check Point detecta los ciberataques en vivo a partir de su herramienta de Threat Intelligence, y ya alertó por más de 180 millones en 2020.
Muchos salen de Rusia o China, pero los ciberdelincuentes están en todo el mundo, y solo necesitan una computadora. ¿Es posible detenerlos? “Van dejando rastros, como migajas de pan. Para determinar quién fue se hace ingeniería inversa a todos los malware que fueron utilizados, y se buscan patrones”, explicó Botter.
“La próxima etapa de todo esto es empezar a afectar las seguridades nacionales y que pase a ser un problema político internacional”, alertó Adamovic. Se calcula que el ransomware mueve entre 2 y 3 billones de dólares al año, con grupos que ofrecen ransomware as a service: los contratan para infiltrar bases de datos, casi como un sicario de la información. El pago es en criptomonedas: anónimo e irrastreable.
“El atacante hace un número: ¿cuánto esfuerzo yo tengo que hacer para atacar esta empresa? ¿Cuánto dinero me sale el ataque a esta empresa y cuántas ganancias yo tengo si la ataco?”, ejemplificó Botter. Pareciera que ni los Gobiernos, ni las grandes empresas, ni las pymes están preparadas. Y sin concientización, las personas tampoco.