Secuestran los archivos de tu ciudad: ¿pagas rescate a los cibercriminales o pierdes los datos y mucho más dinero?

La Conferencia de Alcaldes de EEUU, formada por unos 1.400 mayors de ciudades de más de 30.000 habitantes, se ha plantado ante la plaga de ciberataques que sufren sus instituciones. En una resolución conjunta, han decidido no pagar rescates a los ciberdelincuentes que secuestran sus archivos informáticos con el objetivo de paralizar la actividad gubernamental y que ya han sufrido 22 ciudades y administraciones regionales importantes este 2019.

No pagar es la recomendación de las fuerzas policiales y los expertos en ciberseguridad ante los ataques de ransomware (del inglés ransom, rescate), aunque no es la opción fácil. Los 622.000 habitantes de Baltimore aún sufren las consecuencias de la infección que el 7 de mayo inutilizó un gran número de sus sistemas informáticos al perder el acceso a los archivos contenidos en sus servidores y discos duros, cifrados por el criptogusano RobbinHood.

Los ataques de ransomware son difíciles de neutralizar por fuerza bruta, buscando brechas en el código del virus y forzándolas para liberar los archivos. A menudo, las dos únicas soluciones disponibles son pagar o formatear. El reseteo completo de los sistemas libera el ordenador a cambio de perder todos los archivos, por lo que las pérdidas también pueden ser millonarias. Si no había copia de seguridad reciente, se pierde todo.

El ataque contra Baltimore afectó al servicio de agua, hospitales, cajeros automáticos, aeropuertos, fábricas. Prácticamente todos los correos electrónicos de los trabajadores dejaron de funcionar. Para desbloquearlos, los atacantes pedían 3 bitcoins (unos 30.000 dólares) por ordenador o 13 (130.000 dólares) por el sistema entero. Por recomendación del FBI, el alcalde de Baltimore no pagó. Se calcula que la infección, de la que la ciudad no se ha recuperado totalmente tres meses después, va a suponer una factura total para los contribuyentes de unos 18 millones de dólares.

Atlanta, San Diego o poblaciones de Texas también han sido víctimas del ransomware este 2019. Van 170 infecciones desde 2003, cuando se produjo la primera ofensiva de este tipo. “Pagar a los atacantes de ransomware incentiva que continúen los ataques contra otros sistemas informáticos gubernamentales, ya que sus perpetradores obtienen un beneficio económico”, justifica la Conferencia de Alcaldes de EEUU en su declaración: “Permaneceremos unidos contra el pago de rescates en caso de una brecha de seguridad informática”.

“Esperemos que lo mantengan”, pide en conversación con eldiario.es Eusebio Nieva, de la firma de ciberseguridad Check Point. Recuerda que, además de evitar nutrir a la industria de los ciberataques, resistirse a desembolsar un rescate evita que la ciudad corra el riesgo de ser estafada por partida doble: no hay nada que asegure que los ciberdelincuentes van a cumplir con su parte del trato en vez de quedarse con el dinero sin revelar la contraseña que desencripta los archivos o pedir una suma aún más alta por ella.

Porque además, cabe la posibilidad de que una vez que se sufra la infección sea imposible recuperar los archivos nunca más. “En algunas ocasiones hemos visto que no se podía recuperar los archivos porque los ciberdelincuentes habían cometido errores de programación que lo hacían imposible”, revela Nieva. “Hay que tener en cuenta que ellos no tienen espacio para probarlo muchas veces y lo que les mueve es obtener dinero fácil y rápido, no dar un buen servicio”.

España no se libra

“España tampoco se ha librado de esta tendencia criminal”, revela a eldiario.es Alberto Redondo, comandante de la Unidad de Delitos Tecnológicos de la Guardia Civil. Madrid en marzo de 2017, Colmenar Viejo en verano de 2017 o Huelva en diciembre de 2018 han sufrido intentos de cibersecuestro con diferentes grados de gravedad.

El Puerto de Barcelona también fue víctima del ransomware el pasado mes de septiembre. Según las autoridades portuarias, el ataque provocó “ciertos retrasos” en la entrega y distribución de mercancías. Tan solo dos días antes, el Puerto avisaba en las redes sociales de que “nadie está a salvo de un ciberataque; ni siquiera los puertos” y que el de Barcelona contaba con “un plan de contingencia” ante esta amenaza. Si se hubiera paralizado por completo, las pérdidas habrían llegado a varios millones de euros en unos días.

Las pérdidas de una factoría noruega, una de las principales productoras de aluminio del mundo que fue atacada en marzo, duplicaron las de Baltimore y llegaron a los 40 millones de euros en una semana. “Esta claro que nos encontramos ante un riesgo, ya no emergente, sino consolidado. Aunque la protección absoluta no existe ante estas amenazas, sí que la implementación de soluciones de contención y mitigación complican el negocio de los cibercriminales”, continúa el comandante Redondo.

“Desde la Guardia Civil se están dedicando esfuerzos a la concienciación de todos los usuarios, tanto a particulares, como al sector privado y administración pública, sobre higiene digital y un uso seguro de las nuevas tecnologías. Aquí se hace especial referencia a los riesgos ransomware avisando, no solo de los principales vectores de infección, sino también de consejos sobre un uso responsable de los sistemas”, abunda.

Los cibersecuestros van a continuar

Pese a que la resolución de los alcaldes de EEUU es la primera decisión consensuada por un grupo de instituciones independientes contra una plaga de ataques informáticos, desde ElevenPaths, el departamento de ciberseguridad de Telefónica dirigido por el hacker Chema Alonso, ven difícil que suponga un punto de inflexión. Es “poco probable” que los intentos de secuestro por parte de ciberdelincuentes disminuyan, opinan. “Por una sencilla razón: los ataques no les resultan excesivamente caros”.

“Disponen de una industria engrasada donde romper la seguridad supone un coste asumible, incluso si la víctima no paga el rescate. Sin embargo, por otro lado, por muy convencida que se encuentre la víctima de su negativa a pagar, el daño en sus sistemas permanecerá y realmente se encontrará con unas pérdidas millonarias mientras que el atacante solo habrá perdido algo de tiempo”, abundan.

En resumen: pese a tener a las fuerzas de seguridad de su lado, los ayuntamientos no se encuentran en una situación de fuerza en el ciberespacio. Ellos pierden millones y los delincuentes que intentan secuestrar sus archivos, prácticamente nada. Aunque todos los expertos consultados por eldiario.es hablan de que la resolución es un paso en la buena dirección, advierten de que es solo uno y no demasiado grande. Ciberprotegerse no solo requiere conocer las buenas prácticas, sino invertir tiempo y dinero en llevarlas a cabo.

“Todo esto no servirá de nada si no existen políticas de concienciación entre los usuarios de los sistemas, impulsando la prevención y educación sobre las príncipes técnicas de ingeniería social que se emplean para la infección y trasmisión de este tipo de malware”, apoya el comandante Redondo desde la Unidad de Delitos Tecnológicos de la Guardia Civil.

Cómo funciona un criptogusano y por qué es una amenaza tan grande para las ciudades

Aunque el sector también puede ser objetivo del ransomware, las ciudades e instituciones públicas se están mostrando un objetivo más jugoso debido a varias vulnerabilidades. Por un lado, porque su capacidad de intentar ocultar el ciberataque es mucho menor y los ciudadanos afectados por él son potencialmente muchos más, lo que aumenta la presión social para pagar y recuperar los servicios. Un gran número de ataques a corporaciones privadas no salen a la luz pública, que prefieren pagar y evitar dar una mala imagen, explican los expertos consultados.

Las ciudades también pueden resultar más fáciles de infectar por el tamaño y los innumerables niveles de administración interconectados así como por su mayor nivel de transparencia, que facilita la ingeniería social a la que hacía referencia el comandante Redondo. Los virus de ransomware suelen ocultarse en archivos o enlaces que el atacante hace llegar al paciente cero. Personalizando al máximo ese contacto mejora el porcentaje de éxito. “Si sabes que un funcionario se dedica, por ejemplo, a revisar desahucios, y le envías un archivo con información de un supuesto desahucio, es más fácil que lo abra”, detalla Eusebio Nieva, de Check Point.

El factor humano es el elemento débil de la cadena. Ese primer contagio es el más difícil de parar. Eso sí: “No tiras toda una ciudad porque infectes un PC. Tiras una ciudad porque infectas un PC y ese a su vez infecta todos los que tiene a su alrededor, con lo cual puedes provocar incluso que los servidores dejen de funcionar y de tener los datos accesibles. Ahí es cuando tienes un problema gordo”, avisa el experto. Es así como funciona un criptogusano, que puede pasar meses oculto en las redes de una organización sin afectar al rendimiento de los ordenadores hasta que llega a su objetivo y desata su efecto nocivo.

Para parar la infección posterior muchas veces basta con algunas medidas de seguridad básica, como segmentar las redes (que todo no esté conectado con todo) o tener instalados los últimos parches de seguridad, continúa Nieva. También ayuda no tener un sistema operativo que quedó obsoleto en 2014, como el que instalado en los ordenadores de los escaños del Congreso de los Diputados español.

eldiario.es también se ha puesto en contacto con la Federación Española de Municipios y Provincias para preguntar si se ha tomado una posición conjunta sobre ciberseguridad en las poblaciones españolas a raíz de la plaga de ataques contra ciudades estadounidenses. La respuesta ha sido negativa.