THE OBJECTIVE
Tecnología

El ejército de ciberdelincuentes que amordaza hospitales

Un hospital de Los Ángeles ha estado durante doce días sin funcionar debido a un ataque informático. La táctica empleada en este caso es bien conocida en el mundo de la ciberdelincuencia, pero tal vez ignorada por los inexpertos en asuntos informáticos. Quédense con el término: ransomware.

El ejército de ciberdelincuentes que amordaza hospitales

Los profesionales de un hospital de Los Ángeles han estado trabajando durante doce días como si se hubiesen retrotraído 50 años. Debido a un ataque informático su sistema fue literalmente secuestrado: no podían acceder a los informes médicos, a los resultados de los rayos X, los registros de pacientes se hacían con boli y papel, los médicos tenían que comunicarse por fax. Incluso, algunos enfermos tuvieron que ser transferidos a otros hospitales. Finalmente, el Presbyteran Medical Center de Hollywood se vio obligado a pagar al cracker o grupo de piratas informáticos que tomaron el control del sistema con 40 bitcoins, equivalentes a 17.000 dólares en moneda virtual, para levantar el bloqueo del que había sido víctima.

Lejos de quedarse en lo anecdótico, el pago del rescate alentó a otros ciberdelincuentes a lanzar múltiples ataques a otros centros hospitalarios. Como fue el caso del Whanganui District Health Board de Nueva Zelanda, que fue infectado por un virus conocido como ‘Locky’. Los investigadores del caso apuntaron como responsables al mayor grupo de cibercrimen de Rusia.

La táctica empleada en estos casos es bien conocida en el mundo de la ciberdelincuencia, pero tal vez ignorada por los inexpertos en asuntos informáticos. Quédense con el término: ransomware.

¿Qué es? “Se trata de un programa que si es ejecutado en un sistema, puede llegar a cifrar la información del ordenador, y lo más importante, de otros ordenadores en la misma red interna, por ejemplo. Bien propagándose infectando a otros sistemas, o bien porque busque más archivos que cifrar en redes y unidades compartidas. Los archivos que cifra son los considerados importantes para el usuario: documentos, hojas de cálculo, fotografías, bases de datos… el sistema sigue perfectamente activo y funcional, pero la información útil en él, no”, explica a The Objective Sergio de los Santos, director de laboratorio de la empresa de seguridad digital Eleven Paths.

Y como en todo secuestro la carta de libertad pasa por un rescate. “El malware deja un mensaje para que se le pague una cantidad a cambio”, apunta De los Santos.

Allen Stefanek, CEO y presidente del Presbyteran Medical Center de Hollywood, aseguró a la NBC que el ataque cibernético en su hospital fue «aleatorio» y no malicioso. Es decir, que el ataque no fue preparado ni destinado concretamente a esa institución, sino que lo más probable es que alguien hiciese clic en el enlace de un correo electrónico o un anuncio pop-up e introdujo el virus en toda la red hospitalaria. «Un usuario lanza un programa involuntariamente o voluntariamente porque piensa que no es dañino. Ante esta situación, no hay ni defensa ni sistema sofisticando que lo detenga. Es como meter al ladrón en la caja fuerte y darle las llaves para que cierre al salir», ejemplifica el Head of Labs de Eleven Paths.

Si hay algo que caracteriza a los ataques rasonmware es que el virus es inoculado en el dispositivo por la propia víctima, ya que debe ejecutarse manualmente. Es decir, el aliado imprescindible en este tipo de ataques es la ignorancia del usuario y la falta de sistemas de seguridad para bloquearlos. La táctica se ha extendido popularmente en los últimos años, ya que los crackers se aprovechan del aumento de los dispositivos conectados en red, aparatos y servidores. El ransomware aumentó un 165% en el primer semestre de 2015, de acuerdo con el último informe de amenazas mundiales de McAfee Labs.

Del ransomware al cripto-ransomware

Desde hace más de una década, los ciberdelincuentes han estado desarrollando softwares maliciosos para extorsionar a personas y organizaciones. Los primeros ataques de ransomware aparecían con una imagen con un supuesto mensaje del FBI que bloqueaba el escritorio de la computadora, y para ser desbloqueado se tenía que pagar una suma de dinero. Actualmente, la sofisticación caracteriza el modus operandi de la ciberdelincuencia. Ya no es solo una imagen en la pantalla, ahora los ciberataques cifran el dispositivo hasta que se paga un rescate, lo que se conoce como cripto-ransomware.

El mercado de la ciberdelincuencia es tan o más prolífico como cualquier otro. Hay programas dirigidos a la high class del hacking y otros más ‘low cost’ para aquellos piratas informáticos iniciáticos y menos ambiciosos. Cryptowall es el ransomware más peligroso de la red. Este tipo de software informático infecta a los usuarios a través de diferentes técnicas, la mayoría de ellas de forma manual, para secuestrar, o cifrar, todos los datos que hay en el disco duro. Una vez finaliza su trabajo, la herramienta genera una clave, la envía a un servidor remoto, la destruye y pide al usuario un pago para poder recuperar la clave generada, necesaria para descifrar y recuperar todos los datos secuestrados.

Según el FBI, entre abril y junio de 2015 se emitieron casi 1.000 denuncias relacionadas con la última versión de este malware, el Cryptowall 4.0, dejando pérdidas digitales superiores a los 18 millones de dólares. La mayoría de las víctimas debían realizar un pago de 1,83 Bitcoin (alrededor de 600 euros) para poder recuperar la clave privada necesaria para descifrar los archivos secuestrados.  Aunque el precio puede variar dependiendo de a quién se dirija el ataque, llegando a superar incluso los 10.000 dólares. “El ataque contra los usuarios ha resultado rentable, por tanto los atacantes han dado un paso más allá: si los usuarios le dan importancia a sus datos y pagan, ¿cuánto no pagará una institución o un hospital? Si alguno paga, como ha ocurrido, se provoca un efecto llamada para que otros creadores de malware intenten infectar un hospital, como ha sido el caso. Si a un atacante le reclaman unos pocos cientos de dólares, a un hospital le podrán reclamar varios miles”, aseguran a este medio desde Eleven Paths.

Este sofisticado software está al alcance de unos pocos clics y algo de dinero. El creador de los ransomware Cryptolocker y Cryptowall los puso a la venta mediante un anuncio en la web Pastebin. La modalidad más básica cuesta 400 dólares y la más sofisticada se puede comprar por 3.000 dólares, pagados íntegramente en Bitcoin. Pero también podemos encontrar otros kit ransomware totalmente gratis. Es el caso de Tox, un kit para crear virus bloqueadores de sistemas. Los desarrolladores de este paquete generador de aplicaciones se quedan con el 30 % del beneficio en campañas exitosas y el 70% acaba en el bolsillo de los afiliados. Todo un negocio.

toxscreenshot
Captura de pantalla de la interfaz de la web de Tox.

El pago del rescate provoca un efecto llamada

Los ciberdelincuentes han aprendido que cuanto más alto apunten más suculento será el rescate si el secuestro informático sale a la perfección. Es un secuestro limpio, sin sangre, sin dolor -físico- y las posibilidades de ser cazado son muy improbables. “El pago del rescate es el fin último. En el ransomware tradicional, los datos no salen del ordenador en ningún momento. Pero esto no significa que el ataque se termine. Una vez con el dinero en la mano y viendo que la víctima accede a la extorsión y al chantaje, y si todavía pueden conseguir infectarlos otra vez ¿por qué no intentar un segundo chantaje? ¿qué tienen que perder los atacantes? Nada. En el peor de los casos, dejan de pagarles”, sostiene Sergio de los Santos.

Los ciberataques a hospitales son frecuentes, pero no siempre tiene la repercusión mediática que ha acaparado el hospital de Hollywood, bien porque no han durado tanto tiempo o porque no han accedido al chantaje. El año pasado trascendieron públicamente ataques por cripto-rasomware contra el Parlamento del Reino Unido y la Cámara baja del Parlamento alemán.

Hasta la Policía ha llegado a ser víctima de estos ataques. La delincuencia a distancia se permite estas burlas. En abril de 2015,  varios departamentos de policía en Massachusetts, Tennessee y New Hampshire fueron atacados por ransomware. Los tres pagaron entre 500 y 750 dólares para recuperar sus datos.

La empresa privada es otra de sus víctimas predilectas. En 2015 se duplicó el volumen de ataques de ransomware a empresas, según Kaspersky Lab. Este crecimiento responde a que cuando la víctima es una institución o una empresa privada los rescates recibidos pueden ser mucho mayores que los que pueda asumir un individuo. Además, las probabilidades de éxito crecen, puesto que a una corporación o institución a la que le sustraen su información simplemente no puede funcionar.

España no es ajena a los ataques informáticos. Se sitúa en sexta posición en el ranking europeo de ataques ransomware y en novena posición a nivel mundial, según el último informe de Symantec. El transporte, las comunicaciones, la electricidad, el gas y los servicios sanitarios son los sectores de la industria que experimentan mayor número de ataques de malware y phishing.

A nivel individual, los ataques ransonware se camuflan en el correo personal o en enlaces de páginas de dudosa legalidad. El año pasado se extendió un enlace malicioso incluido en un correo electrónico que mostraba una página web falsa de Correos desde donde había que descargar un documento para poder recoger un paquete que se encuentra retenido en la oficina. Al acceder a esta web se pedía al usuario introducir un captcha -un test para diferenciar ordenadores de humanos- para finalmente descargar un archivo .zip con el malware en su interior.

ransomware_email
Captura de pantalla del ataque rasonware camuflado en un correo electrónico

Una vez infectado, ¿no hay cura?

“Una vez infectado, habitualmente no es posible repeler el ataque. Llevan ya años de experiencia y, aunque al principio cometían más errores, ahora utilizan criptografía estándar que no puede romperse con los medios conocidos en un tiempo razonable (si lo fuese, todas nuestras comunicaciones serían inseguras). Por tanto, hay muchas posibilidades de que una vez infectado, pierdas la información porque nadie te garantiza que pagando recuperes los datos (aunque suele ser así) ni que pagando y recuperándolo, no vuelvan a atacarte otra vez”, explica el experto en ciberseguridad de Eleven Paths.

“Para repeler el ataque antes de ser infectado, las medidas de seguridad que hay que tomar son las de siempre: seguridad en profundidad, evitar la ejecución de software no deseado, y la gestión correcta de vulnerabilidades”, advierte De los Santos. “No hay fórmulas mágicas ni atajos. Es necesario una dedicación y conocimientos mínimos. Sin ellos, pasa lo que está ocurriendo: infecciones de este tipo que le son rentables a los atacantes y que por tanto, tienen un efecto llamada con la creación de más malware”, sentencia.

Conclusión, en cuestiones informáticas se pone en valor esa manida expresión que dice “más vale prevenir que curar”.

Publicidad
MyTO

Crea tu cuenta en The Objective

Mostrar contraseña
Mostrar contraseña

Recupera tu contraseña

Ingresa el correo electrónico con el que te registraste en The Objective

L M M J V S D