Hace varios siglos, piratas y corsarios invadían las aguas de medio mundo. De todos es sabido cómo se ganaban la vida: pillaje, secuestro y saqueo eran las bases de su existencia, y aún ahora en algunas costas del planeta se siguen sufriendo su extensa sombra. Hoy día, en pleno siglo XXI, ha aparecido un nuevo tipo de pirata con la llegada de la globalización y la hiperconectividad. Este bucanero digital no nos acecha desde un barco, no lleva un parche en el ojo ni —seguramente— tenga de mascota un loro, pero el patrón de ataque permanece inalterado. Llega por sorpresa, elimina nuestras defensas, amenaza, saquea lo que puede y nos deja con un enorme sentimiento de frustración y los bolsillos bastante más vacíos. Pero donde los piratas de antaño alcanzaban a robar el botín de un único barco, su análogo actual se hace con el equivalente a toda la Compañía de las Indias Orientales.
El pirata actual no roba un barco. El pirata actual secuestra la información de toda una empresa y la inhabilita hasta que se cumplen sus exigencias. Está mucho mejor organizado, sabe dónde tiene que atacar y la mejor manera de hacerlo, y no pocas empresas han tenido que echar la persiana por culpa de esta nueva plaga. El nuevo pirata no tiene pata de palo ni sable, sino ratón y teclado, y su arma preferida se llama ransomware.
¿Qué es el ransomware?
El ransomware es básicamente el secuestro de la información digital de una compañía, que queda cifrada y completamente inaccesible a los integrantes de la misma hasta que se paga un rescate —ransom en inglés— por su recuperación. Este rapto de la información es particularmente oneroso para la compañía, y no sólo por el monto del rescate: cada día que la compañía no puede operar, cada día que la compañía tiene cortado virtualmente el acceso a todo resquicio de información digital fundamental para la empresa es un día de pérdida de ingresos, de generación de incidencias y problemas que habrá que solucionar una vez se vuelva a tener acceso a la información —si es que se recupera— y lo peor, un día de goteo incesante de usuarios que se marchan de la plataforma indignados por la imposibilidad de operar con ella. O lo que es peor, ya que los secuestradores tienen acceso a datos sensibles de clientes los pueden usar contra ellos, empleando por ejemplo tácticas de phishing, amenazas de exposición de ciertos datos de manera pública, etc. Y estos usuarios es muy probable que no vuelvan jamás, habiendo destruido por completo la experiencia digital de calidad que esperan de nosotros.
¿Por qué es mucho más peligroso que cualquier otro ataque?
A diferencia de los virus y troyanos «normales», que no son ataques dirigidos y no suelen comprometer demasiado la actividad de la empresa, y de los ataques DDoS cuyo alcance es muy limitado y son sencillos de evitar, los ataques de ransomware pueden literalmente matar una empresa pequeña o mediana, y afectar enormemente los resultados de empresas mayores, instituciones gubernamentales y administraciones. En España los casos de Adif, Mapfre e incluso el hospital de Torrejón de Ardoz —poco después de comenzar la pandemia, para más inri— son de sobras conocidos. ¿Por qué este tipo de ataques son tan complicados de evitar? Sencillamente, porque suelen hacer uso de vulnerabilidades en los eslabones más débiles de la cadena. Un único correo con un enlace o adjunto malicioso abierto por un empleado de nuestra compañía puede infectar toda nuestra intranet, bloqueando el acceso de todos nuestros trabajadores a sus herramientas y datos y, por ende, impidiendo cualquier forma de interacción usuario-máquina, entrando esencialmente la empresa en parada total de actividad. Un ordenador infectado puede «contaminar» toda la red a la que tiene acceso en cuestión de segundos, haciendo por ejemplo uso de puertos que suelen estar abiertos por defecto en nuestros sistemas operativos.
Por supuesto existen formas de paliar e incluso evitar estos ataques y que veremos posteriormente, pero nuestra primera herramienta debe ser siempre concienciar y educar a nuestros trabajadores acerca de la importancia de estar siempre alerta contra cualquier elemento ajeno o sospechoso, sea cual sea la fuente de la que proceda. No en vano la mayor tasa de ataques efectivos se debe a una explotación de conceptos básicos de ingeniería social. El eslabón más débil no suelen ser nuestras máquinas, sino nosotros mismos. Pero para todo hay solución.
Sabiendo el desastre que puede generar cada minuto en el que el ransomware permanece en activo no es de extrañar que las empresas paguen para eliminarlo cuanto antes. Y no son rescates baratos, precisamente. Los secuestradores saben perfectamente lo que vale esta información —no sólo habrán estudiando concienzudamente la empresa a la que atacar previamente, sino que además tienen acceso a todos sus datos financieros— y la venden muy cara. Además, por lo general la petición de rescate viene con la nota añadida de que lo hagan en las siguientes equis horas, so pena de doblar o triplicar la cuantía del rescate. Y las empresas pagan, ¡claro que pagan! Lo malo es que muchas veces aunque paguen —y al más puro estilo de los secuestradores «analógicos»— no liberarán la información y pedirán más dinero por hacerlo. Y lo peor, nuevamente al estilo de los raptores de carne y hueso, es que muchas veces aun pagando todo lo que exigen, los secuestradores huyen con el botín sin liberar la información para no dejar datos que les pueda incriminar ante un tribunal —los pagos suelen exigirse además en criptomonedas, para eliminar cualquier posible rastreo bancario—, dejando a la empresa desangrándose poco a poco mientras intenta, por lo general sin éxito, recuperar la información de la que depende para subsistir.
¿Cómo protegernos de este tipo de ataques?
Habida cuenta de que hay un límite en cuanto a lo que se puede enseñar al elemento humano —el eslabón más débil de la cadena, como hemos comentado— para evitar este tipo de ataques, la manera más efectiva a la hora de eludirlos consiste en un enfoque proactivo, previendo sus efectos más nocivos. Puede que no podamos evitar el ataque, pero si protegemos los servicios críticos, los entornos informáticos y los user endpoints la infección completa será inviable. Al fin y al cabo, si no existe una manera de transmitir el virus que ha infectado el portátil de un empleado al resto de elementos de la red el ataque quedará frustrado, al mismo tiempo que —con el software adecuado— pueden saltar las pertinentes alarmas por infracción de políticas, alertando de la existencia de este elemento ajeno que nos está atacando. Entra aquí también el concepto fundamental de «confianza cero» para restringir al mínimo necesario los accesos a redes, sistemas, cuentas o datos. Mediante una arquitectura de segmentación de confianza cero se eliminan del 90 al 99% de las rutas de conexión, y sabiendo que la mayor parte de los programas de ransomware hacen uso de las llamadas rutas de menor resistencia (como el protocolo de escritorio remoto o el de Server Message Block, que están activados por defecto), con la aplicación de estas sencillas reglas podemos librarnos efectivamente de la mayor parte de los ataques.
La forma más rápida de reducir el riesgo de propagación de los ataques de ransomware antes de que se produzca una infección es eliminar las rutas que utilizan para propagarse. A partir de ahí, se pueden implementar controles adicionales para garantizar que otros tipos de ataques también fallen. Para implementar esta confianza cero deberemos ir aplicando cuatro políticas fundamentales de manera progresiva: aislar los servicios principales, separar entornos, cercar nuestros activos de mayor valor y controlar los accesos de los usuarios. Veamos en detalle cada uno de estos puntos para poder comprender en qué medida pueden ayudarnos a alcanzar la deseada «confianza cero».
Aislar los servicios centrales y de administración, excepto para un reducido número de administradores que deberán tener acceso para poder realizar las rutinas de mantenimiento, es esencial a la hora de mitigar posibles infecciones. Estos trabajadores especializados han de tener acceso al «core» de nuestros servicios, pero también tienen una alta concienciación acerca de los efectos de elementos externos o conexiones no seguras, por lo que no debería haber problema alguno con ellos. Donde sí puede haber problemas es si se permite el acceso indiscriminado a cualquier usuario, aunque no sea de manera directa —por ejemplo, dejando abiertos puertos de acceso que no tendrían por qué usar, permitiendo el acceso a redes sociales, o mediante servicios Windows y Linux con vulnerabilidades no «parcheadas»—. La mayor parte de usuarios ni domina ni tiene constancia de la existencia de estos elementos, por lo que son una excelente puerta de entrada a la infección de todo el sistema a través de un único punto débil. Aislar los servicios principales a todo el mundo excepto a los que realmente los han de utilizar es un primer paso fundamental en la lucha contra este tipo de ataques.
Separar entornos y cercar nuestros activos de mayor valor son dos caras de la misma moneda. Cuanta mayor segmentación haya entre los diferentes entornos que tengamos en nuestra red, menos será la probabilidad de que se extienda el contagio en caso de que uno de ellos se infecte. Al fin y al cabo, si cuatro personas viven aisladas en cuatro casas diferentes y comunicándose entre ellas de manera segura —por ejemplo, por teléfono— la infección se vuelve imposible. Aun así, poner un cerco a nuestros activos más vitales —mediante el uso de firewalls tanto digitales como físicos, colocación de honeypots, etc.— es algo fundamental a la hora de mitigar los posibles efectos de un ataque. De poco sirve que «únicamente» se haya infectado un servidor de los veinte que tenemos, si justo en ese servidor tenemos toda la información de nuestros clientes y tanto la copia maestra como el único backup disponible de las cuentas de la compañía. En caso de infección de este único nodo, el desastre está asegurado.
Por último, el control de los accesos de los usuarios se torna como el último, pero vital, elemento a aplicar. Limitando lo que los usuarios pueden ver y hacer limitará también a lo que puede tener acceso el posible virus. Un usuario con accesos de lectura y escritura a bases de datos de producción de manera constante, los necesite o no, permitirá a un troyano con sus mismos privilegios tener acceso total a estas mismas bases de datos. Si se deben solicitar accesos cada vez que se realice una modificación en producción (y mejor si los accesos se han de pedir de manera diferenciada por familias de tablas, por ejemplo de personas, contabilidad, impuestos, etc.) dispondremos de mucho mayor tiempo para descubrir la infección antes de que pueda hacer verdadero daño.
Una vez implementadas estas cuatro políticas, el siguiente paso a realizar será siempre aplicar la automatización y escalado en la implantación de nuestro protocolo de confianza cero. Después de todo, si los piratas y secuestradores nunca duermen, inventando continuamente nuevos patrones de ataque, nosotros debemos actuar en consecuencia estando siempre al día de las nuevas vulnerabilidades y maneras de defendernos. Sólo mediante la proactividad y el uso de patrones de mejora continua podremos estar seguros de que nuestros datos —y, por ende, nuestra compañía— se encuentre completamente protegida ante este tipo de ataques.
