El ransomware es una amenaza para los gobiernos, cuyos departamentos de TIC, sobre todo los municipales, por lo general carecen de presupuesto y personal suficientes para proteger adecuadamente los sistemas, los programas y los datos que almacenan. Las consecuencias de ello las sufrió en marzo del año pasado el gobierno de la ciudad de Atlanta, Estados Unidos, cuando sus computadoras fueron objeto de un secuestro virtual que puso en jaque a las autoridades locales. El malware empleado fue una variante del virus SamSam, que un año antes había sido utilizado para atacar varios hospitales estadounidenses.
El malware afectó las redes de 5 de los 13 departamentos de la ciudad, lo que resultó en que los ciudadanos no pudieron realizar pagos de servicios y multas, la policía perdió acceso a algunas de sus bases de datos sobre investigaciones criminales, obligó a apagar la red WiFi del aeropuerto y forzó a los empleados públicos a realizar a mano muchas de las tareas que normalmente efectúan en computadoras.
Para liberar los sistemas los hackers no pedían una cantidad exorbitante como rescate, sino tan sólo 52,000 dólares (en bitcoins), pues juzgaron que era más probable que las autoridades decidieran pagar una cantidad pequeña antes que asumir el impacto de mantener suspendidos los servicios, sobre todo los de seguridad pública. Al cabo, Atlanta terminó por gastar 2.6 millones de dólares para recuperarse de los efectos del ataque, lo cual les tomó varias semanas.
Ransomware: amenaza al alza
Los secuestros virtuales de los sistemas de cómputo o ransomware están lejos de desaparecer. De acuerdo con un reporte publicado por el grupo de análisis Cyber Risk Management Project (CyRiM), liderado por la Universidad Tecnológica Nanyang de Singapur e integrado por profesionales de la industria de las TIC y la academia, si este año ocurriese un ataque a escala global —algo que consideran cada vez más posible— podría tener un impacto económico mundial de entre 85,000 y 193,000 millones de dólares.
La proyección se basa en el estudio de múltiples factores que toman en cuenta las tendencias y efectos de este tipo de ataques en todo el mundo en los últimos años, así como las medidas que se han adoptado para contrarrestarlos.
En los ataques de ransomware los sistemas de una entidad o una persona son infectados con malware que, en términos generales, encripta la información para impedir que sus propietarios accedan a ella y amenaza con borrarla en un plazo determinado a menos que se pague por su liberación. Las variantes más agresivas de ransomware pueden inclusive encriptar respaldos en la nube; para lograrlo, aprovechan las conexiones establecidas durante las sincronizaciones en tiempo real de algunos sistemas.
Con frecuencia, se demanda que el rescate sea liquidado en monedas virtuales como el bitcoin, lo cual dificulta seguir el rastro de los delincuentes. Una vez hecho el pago, los criminales entregan una llave de software para desencriptar la información, pero no siempre: a veces se pierden los datos aun cuando se haya realizado el pago.
Usuarios, principal puerta de entrada
El ataque de ransomware más difundido en prensa ocurrió en 2017 cuando el malware WannaCry infectó cientos de miles de computadoras en más de 150 países y tuvo impacto económico calculado en 4,000 millones de dólares. Otro conocido ataque ocurrió ese mismo año con el script Petya, que afectó sobre todo a Ucrania pero también se extendió otros países de Europa y Australia.
La ciudad de Atlanta es la mayor, pero no la única que ha sufrido este tipo de ataques. En febrero del año pasado el condado de Bingham, en Idaho, Estados Unidos, ya había sufrido el secuestro virtual de sus servidores. Las autoridades se rehusaron a pagar el rescate solicitado (una cantidad en bitcoins que fluctuaba entre 25,000 y 30,000 dólares) y optaron por restaurar la información desde sus respaldos (aunque uno de ellos resultó afectado, tenían otros más).
De acuerdo con el Centro para la Seguridad de Internet (CIS), la manera más común en que se propaga el ransomware es a través de acciones directas de los usuarios, como abrir ligas en mensajes de phishing enviados por correo electrónico o visitar sitios web infectados o maliciosos.
Los scripts más sofisticados toman ventaja de las fallas de seguridad en los propios navegadores u otras aplicaciones conectadas a la Internet y pueden instalarse en los dispositivos sin que sea necesaria ninguna interacción con el usuario.
Ransomware: cómo defenderse
Si bien no existe ninguna herramienta que asegure al 100% la invulnerabilidad a los ataques de ransomware, se pueden tomar precauciones. El FBI recomienda las siguientes:
- Asegurarse de que el personal está consciente de los riesgos del ransomware y de su papel en la protección de los datos de la dependencia.
- Actualizar con regularidad los sistemas operativos programas y firmware de todos los dispositivos digitales.
- Asegurarse de que los programas antivirus y antimalware se actualizan automáticamente y ejecutan escaneos en los sistemas de la dependencia en lapsos regulares.
- Controlar las credenciales de seguridad para que los usuarios sólo tengan aquellas estrictamente necesarias para sus labores.
- Configurar con cuidado los controles de acceso a los datos que los usuarios pueden modificar.
- Deshabilitar las macros en todos los documentos transmitidos por correo electrónico.
- Respaldar con regularidad la información y asegurarse que al menos uno de los respaldos no se guarda en la nube ni está en equipos conectados a Internet.
Adicionalmente, los gobiernos deben segmentar sus redes, de tal manera que puedan atajar los virus para frenar su propagación antes de que se afecten todos sus sistemas.