Como señalan muchos especialistas del sector, 2019 puede denominarse como el año del ransomware. Ha sido uno de los ciberataques que más quebraderos ha provocado en empresas e instituciones de todo el mundo, y todo apunta además a que lo seguirá siendo en 2020. Especialmente dañino ha sido en ciudades de todos los tamaños y de todo el mundo, que se han visto cómo los cibercriminales secuestraban sus sistemas con el ransomware.
Este software malicioso tiene la particularidad de que es capaz de cifrar los archivos de los equipos a los que accede, que solo pueden volver a ser abiertos mediante la clave de descifrado que únicamente puede proporcionar el ciberdelincuente que ha lanzado el ataque. Previo pago, o rescate económico. Además, otras variantes de este malware también puede bloquear los equipos, sin posibilidad de acceder al sistema directamente.
En cualquiera de los casos, ser víctima de este ciberataque supone un enorme problema, ya que ataca el talón de Aquiles de las empresas: los datos. En el caso de instituciones públicas como puede ser un ayuntamiento, el caos está asegurado. La imposibilidad de acceder a los datos de los ciudadanos ha dejado a decenas de administraciones locales al borde del colapso, en ocasiones paralizadas durante semanas.
En total, se estima que han podido ser 174 los municipios afectados por el ransomware en 2019 según apunta una investigación de Kaspersky. Eso sin contar con más de 3.000 organizaciones subsidiarias que también han sido blanco de estos ataques. Este dato supone un incremento del 60% respecto a la cifra registrada en 2018.
Hasta cinco millones de euros de rescate
Como se puede suponer, uno de los motivos por los que los cibercriminales han puesto a los ayuntamientos en el punto de mira es porque una «parada de negocio» no es una opción. Miles de trámites diarios bloqueados por un ciberataque es una pesadilla para cualquier municipio, por lo que la tentación de pagar para poder operar cuanto antes es muy alta.
Los investigadores de Kaspersky señalan que estos objetivos, a pesar de que tienen menos capacidad para pagar un gran rescate, «están más dispuestos a aceptar las peticiones de los ciberdelincuentes», ya que el bloqueo y la paralización de cualquier servicio municipal afecta «de manera directa al bienestar de los ciudadanos y su resultados no solo se miden en pérdidas económicas, sino también en significativas y delicadas consecuencias sociales».
Eso sí, el propio FBI lanzó una advertencia sobre este preocupante aumento de estos ciberataques y la recomendación de no ceder al pago bajo ninguna circunstancia.
Además, el rescate no suele ser precisamente pequeño. Algunas peticiones de los cibercriminales alcanzan incluso los cinco millones de dólares. En concreto, y a juzgar por la información pública disponible, las cantidades de los rescates variaron considerablemente, alcanzando los 5.300.000 dólares con una media de 1.032.460 dólares.
Muchas de las ciudades no cedieron al pago, pero otras sí sacaron la chequera. Algunas porque contaban con un ciberseguro que cubría este concepto, lo que algunos expertos en ciberseguridad están empezando a considerar un problema futuro.
Los costes reales no se conocen, pero los daños sufridos sin duda han sido enormes. No solamente a nivel económico.
Ransomware: estas son las técnicas más usadas para secuestrar tus datos
Baltimore: se abrió la veda
El ciberataque a la ciudad de Baltimore (EEUU) ha sido sin duda el más mediático, por ser uno de los primeros de estas características, en una ciudad de un tamaño más que considerable. Con una población de medio millón de habitantes, la ciudad estuvo asediada por el ransomware durante semanas.
El 7 de mayo de 2019 Baltimore anunció que el gobierno municipal había cerrado la mayoría de sus servidores debido a un ataque de ransomware. Los servicios esenciales, como la policía o los bomberos no se vieron afectados, pero sí los sistemas de correo utilizados por los empleados municipales, líneas telefónicas o el servicio de pago de facturas online.
Su alcalde asegura que no llegaron a pagar el rescate, pero el proceso no les salió barato: 18 millones de dólares tuvieron que invertir en investigar el ataque, tratar de descifrar los sistemas y volver a tomar el control de su propia infraestructura tecnológica..
El caso ha sido ta llamativo que además de los titulares en medios de todo el mundo cuenta incluso con su propia entrada en Wikipedia.
Principales ciudades afectadas por el ransomware
La ciudad de Baltimore no fue la primera. A principios de año, el ayuntamiento de la ciudad estadounidense Del Río perteneciente a Texas, fue atacado por el ransomware. Pero este tenía además una peculiaridad: la nota de rescate incluía un número de teléfono para pagar a los atacantes.
Estados Unidos sin duda ha sido el país más atacado por el ransomware, o por lo menos, el que más ha trascendido. Lake City, Riviera Beach, y Pensacola en Florida, Galt (California), Pascagoula (Mississippi) o la última en conocerse este año: Nueva Orleans han sido algunos de los municipios afectados.
Fuera de EEUU, otras ciudades han sido protagonistas muy a su pesar por este motivo, como Johannesburgo (Sudáfrica), Frankfurt (Alemania) y en España también contamos con diversos casos sonados, como el del ayuntamiento de Jerez de la Frontera (Cádiz) así como en ayuntamientos de Euskadi. En Zaragoza, el Instituto de Empleo sufrió un ransomware que bloqueó sus sistemas informáticos.
Ryuk, la variante de ransomware más dañina
No ha sido una única variante de ransomware la que ha sitiado estas ciudades, sino diferentes familias de este software malicioso. Pero ha habido algunas más predominantes. Los investigadores de Kaspersky han identificado las tres familias que más se han repetido: Ryuk, Purga y Stop.
El ransomware Ryuk apareció por primera vez hace más de un año, pero desde entonces ha permanecido muy activo en todo el mundo y ha amenazado a organizaciones del sector público y el privado. Los ataques de este ransomware en España durante han representado el 1,84% del total de los usuarios afectados en el mundo durante 2019. Según explican los especialistas, su modelo de distribución «clásico» consiste en encontrar una vulnerabilidad o puerta trasera en la que colarse en los sistemas, y a su vez, propagarse mediante un ataque de phishing con un archivo adjunto malicioso disfrazado de documento financiero.
En el caso de Purga, los ataques en España en 2019 han representado el 0,18% del total. Este software dañino se dio a conocer en el año 2016, pero ha sido este año cuando se han descubierto ciudades entre sus víctimas. El phishing también es su vector de ataque, además de ataques de fuerza bruta.
Por último, Stop, es el uno de los más novedosos, con un año de antigüedad. Este malware se esconde en instaladores de software y se ha hecho muy popular en los últimos meses. En España, los ataques producidos por Stop han supuesto el 0,65% del total de usuarios atacados por este malware en el mundo.
¿Se podría haber evitado?
Cada caso es totalmente distinto y hay muchos factores que influyen a la hora de sufrir un incidente de estas características, a lo que hay que añadir que estos ciberataques son cada vez más sofisticados.
En términos generales, los expertos en ciberseguridad recomiendan llevar a cabo una serie de precauciones y recomendaciones mínimas. Estas incluyen la instalación de las actualizaciones de seguridad en el momento en que aparezcan, proteger el acceso remoto a las redes corporativas mediante VPN, el uso de contraseñas seguras y por supuesto contar con copias de seguridad recientes.
En el caso de sufrir un ataque de ransomware, como hemos explicado, las autoridades y expertos desaconsejan el pago del rescate. «Hay que tener en cuenta que pagar a los extorsionadores es una solución a corto plazo que no hace más que estimular a los ciberdelincuentes y financiarlos para que vuelvan a actuar», advierte Fedor Sinitsyn, investigador de Seguridad de Kaspersky, añadiendo que una vez que la ciudad (o la empresa) ha sido atacada, toda la infraestructura se ve comprometida y necesita una investigación de incidentes y una auditoría exhaustiva, lo que «acaba resultando en costes adicionales al rescate».
El experto señala que sus investigaciones muestran que a veces las ciudades se inclinan por pagar el rescate porque cubren los riesgos tecnológicos con la ayuda de seguros y asignando presupuestos específicos para la respuesta a incidentes, lo que considera un error. «Lo mejor sería invertir en medidas proactivas, como soluciones de seguridad y copias de seguridad probadas, así como hacer regularmente auditorías de seguridad’’.