Virus, troyanos, malware, actor de amenazas, incidente cibernético, brecha, filtración de datos, nombres todos ligados a la Seguridad de la Información, la Ciberseguridad y el escenario actual donde convivimos en dos realidades, una física y otra digital; insisto, ambas reales.
Recientemente, una alerta en foros de seguridad puso sobre aviso a la comunidad de que un vector de ataque del tipo ransomware (secuestro de datos) había atacado al IPS en Paraguay y puesto una fecha en cuenta regresiva para exponer esa información.
El secuestro de datos no tiene mitigación. La industria habla de “mitigación” y “resiliencia” como términos honestos si se entienden correctamente: no significan prevenir el ransomware, sino reducir el daño, comprendiendo que hoy ya no basta con una copia de seguridad.
No se puede garantizar cero pérdidas, pero sí es posible hacer que los datos robados sean inútiles o de bajo valor para los atacantes. Eso es lo máximo que la defensa puede ofrecer hoy, teniendo bien claro que cada empresa, cada ministerio, incluso cada persona, debe tener elaborado y probado un “Plan de Continuidad del Negocio”, es decir, de qué manera seguir funcionando cuando perdemos el control de nuestra información.
Me llamó la atención el tipo de ransomware que supuestamente atacó al IPS (ciberincidente relacionado con el ransomware Kairos), porque implica una evolución en el concepto tradicional del ataque. Para que se entienda, pasamos de esto:
1. Acceso inicial
2. Permanencia silenciosa
3. Movimiento lateral y reconocimiento
4. Exfiltración de datos
5. Cifrado
6. Extorsión
A esto:
La amenaza no es la inactividad del sistema, sino el daño a la reputación y la exposición de datos públicos. El ransomware se vuelve un servicio que se contrata.
No se utiliza ningún tipo de cifrado, los sistemas no se bloquean y las operaciones no se interrumpen deliberadamente.
En lugar de ello, el atacante prepara y exfiltra datos seleccionados mediante una herramienta legítima de transferencia de archivos, los datos atacados son específicos: archivos PDF, documentos de Word y otros formatos comunes de documentos comerciales, en lugar de una extracción completa de todos los datos disponibles.
Esto se conoce como modelo de extorsión única, donde la ventaja reside exclusivamente en los datos robados. La doble extorsión neutraliza de forma efectiva una de las principales defensas contra el ransomware tradicional: los backups. Incluso si una organización puede restaurar sus sistemas desde copias de seguridad, sigue expuesta al riesgo de que sus datos sensibles sean publicados en la dark web o vendidos al mejor postor. El chantaje de divulgación se vuelve tan formidable, si no más, que el cifrado mismo.
La doble extorsión se ha extendido también hacia la triple extorsión, que añade ataques DDoS contra la víctima, y hasta la cuádruple extorsión, donde los atacantes presionan directamente a ejecutivos, clientes u otros interesados, con llamadas telefónicas amenazantes.
El ransomware moderno no es un problema técnico. Es un problema económico y criminal estructural. Mientras exista un mercado de datos robados, mientras las criptomonedas garanticen el anonimato del pago, mientras la piratería sea un puente para acceder a los equipos y mientras el RaaS permita que cualquier persona con USD 200 acceda a herramientas de ataque profesionales, ningún control técnico aislado constituye una mitigación real.
En palabras de Bruce Schneier: “Los amateurs hackean sistemas, los profesionales hackean personas”.
Miguel Ángel Gaspar
+595 981 573157
X: @MigueGaspar