La Verdad

img
Categoría: Ciberseguridad
¿Pagar o no pagar un ciber-rescate?

Una mañana, a primera hora, al conectar el ordenador, un inesperado e inquietante mensaje apareció en la pantalla: ¡Sus archivos han sido encriptados¡ 

En un lenguaje muy  preciso, hasta cortés, si no pareciera un sarcasmo, el hacker informa al usuario del equipo infectado que no puede acceder a sus ficheros de datos.

También le recomienda gentilmente no perder el tiempo intentando desencriptarlos. Una especie de bomba de relojería,  con semáforo incluido, se activa de forma automática, iniciando la cuenta atrás de unos plazos exiguos: tres días para evitar pagar el doble del rescate señalado inicialmente (suele ser 1 bitcoin) o de una semana para que se produzca la pérdida irremisible de los datos.

Como prueba de buena voluntad, y de su capacidad técnica real de solucionar el problema que él mismo ha creado, el ciberdelincuente tiene la deferencia de permitir al usuario que desencripte, gratis, algunos ficheros.

 

mensaje-encript

 

Normalmente la “infección” se produce cuando el usuario abre un correo con un documento word adjunto que hace referencia a una factura falsa, a un aviso simulado de un banco o a una pretendida oferta de trabajo.

Con independencia de los agujeros de seguridad que pueden detectar los hackers en el software de los proveedores de aplicaciones comerciales o de las políticas de seguridad de las empresas, la mayor vulnerabilidad de los sistemas suele radicar en nosotros mismos, los usuarios.

Por esa razón, el exceso de confianza de las personas es un elemento clave para que se produzcan las infecciones por virus informáticos.

Esta es la base de lo que se conoce como ingeniería social, cuyas técnicas de manipulación de usuarios para obtener información reservada, aparte de las puramente tecnológicas, aplican los ciberdelicuentes para conseguir sus propósitos criminales.

Qué duda cabe que la mayor responsabilidad por los daños causados a una empresa, que puede incluso llegar a su desaparición,  por la introducción de un malware es achacable a los malhechores que lo generan.

Pero las compañías e instituciones modernas deben articular políticas de seguridad, que incluyan recomendaciones y advertencias claras para sus empleados con respecto al buen uso  de las herramientas tecnológicas que ponen a su disposición y en las responsabilidades que pueden incurrir.

Y por supuesto, elaborar planes de contingencia por si, a pesar de todas las precauciones tomadas, se produce un ataque que paraliza los sistemas de información, que es tanto como decir que colapsa el funcionamiento de la empresa y pone en grave riesgo su supervivencia.

ccn-2-logo

En mayo pasado, el Centro Criptológico Nacional , daba cuenta del ataque masivo de ramsonware sufrido en nuestro país por varias organizaciones importantes, cuyos sistemas Windows y las redes asociadas quedaban  inutilizados.

El último año se han producido más de 4.000 ataques informáticos diarios en la Unión Europea, que acaba de lanzar un programa de medidas urgentes en materia de ciberseguridad.

Con más de 8.400 millones de dispositivos (“cosas”) conectados a Internet a finales de este año, el campo de actuación de los ciberdelincuentes se expande más todavía.

Una PYME, quizá por desconocimiento, o por considerar que estos ataques sólo van dirigidos a grandes empresas,   puede sentirse poco concernida por este tipo de amenazas.

Nada más lejos de la realidad. Aunque estos casos no se suelen difundir, porque puede afectar a la imagen de la empresa, el peligro es real y ubicuo.

En nuestro ámbito geográfico,  acabo de tener conocimiento de un ciberataque sufrido por una empresa de tamaño medio que se activó cuando un empleado, por curiosidad,  abrió indebidamente un correo con un fichero word adjunto.

A pesar de las recomendaciones del Instituto Nacional de Ciberseguridad de  denunciar el caso y de no pagar el rescate solicitado,  la empresa decidió desembolsar la cantidad demandada más los honorarios del experto que tuvo que contratar para que gestionara este enojoso trance.

Este experto, el hacker bueno, al que he tenido oportunidad de conocer, es un joven murciano de 20 años, que ya ha creado su propia empresa, al tiempo que sigue estudiando la carrera de Informática, con la máxima brillantez.

Realmente me dejó impresionado por su claridad de ideas, su talento y sus amplios conocimientos criptográficos, que sólo alcanzo a intuir.

Todas las gestiones telemáticas se realizaron a través de la red TOR, la deep web: los contactos con el secuestrador, la compra del bitcoin solicitado (unos 3400€ en ese momento) a un particular en Eslovenia, y la transferencia final, oraciones incluidas para que, una vez recibido el dinero, el ciberdelincuente cumpliera su palabra, liberando los ficheros encriptados, como finalmente hizo.

 

Las empresas, las instituciones, y los ciudadanos, todos debemos extremar las precauciones, ante esta pandemia de ramsonware que se vaticina, dados los pingües beneficios que proporciona a los ciberdelincuentes este  fraudulento modelo de negocio, 

 

 

Artículos relacionados:

Ver Post >
Sobre el autor Juan José Ríos
Si tuviera que definirme en pocas palabras diría que me considero catalizador, promotor de cambios. Dentro de un espíritu inquieto y de sana rebeldía, me gusta definir las actuaciones dentro de un marco que las dote de coherencia. Me importa mucho el entendimiento personal. Mi mundo, hasta los 26 años, se ceñía exclusivamente al ámbito educativo. Estudié Matemáticas y la salida inmediata era la enseñanza. Nunca pensé que podría dedicarme a algo diferente. Me tocó vivir la eclosión de los ordenadores personales de la década de los 80. Empezaron a dotarse los centros educativos de PC ́s. Fui uno de los profesores de Informática de este primera ola. En esta época, junto a un amigo, adquirí mi primer ordenador personal (carísimo) para uso empresarial. Empecé a conocer el mundo de la empresa. En la década de los 90, me cautivó el Informe Bangemann, como marco inspirador de la Sociedad de la Información. De la mano de Juan Bernal, Consejero de Economía y Hacienda, fui Director General de Informática de la Comunidad de Murcia. Fue una etapa apasionante y creativa donde abordamos proyectos como la Red Corporativa de Banda Ancha, la adaptación al euro y el año 2000, la implantación de SAP o la realización de uno de los primeros proyectos de ciudad digital de nuestro país (Ciezanet). Compaginé, durante muchos años, la docencia con el desempeño de puestos de responsabilidad en empresas regionales del sector TIC. En 2009, como profesor, puse en marcha un proyecto innovador cuyo objetivo fundamental era comprometer a los padres en la mejora del rendimiento educativo de sus hijos (proyecto COMPAH). Empecé a familiarizarme con el mundo 2.0 y a emplear estos recursos en mis clases. Como admirador de Morris Kline, soy un amante de las aplicaciones de las Matemáticas al mundo real como elemento motivador de su estudio por parte de los alumnos. Mi primer contacto con las metodologías de la innovación (Design Thinking) se produjo en 2010, de la mano de un consultor, Xavi Camps, que me hizo ver que la creatividad y la innovación son la base de la prosperidad de las organizaciones y que estos atributos se pueden entrenar y perfeccionar. Desde entonces, soy un apasionado de la innovación como concepto transversal. Creo profundamente en la innovación pública. Las instituciones no pueden seguir funcionando casi como en el siglo XIX. Deben transformarse, en el contexto del paradigma de Gobierno Abierto, para convertirse en organizaciones centradas en los ciudadanos, transparentes, sostenibles, eficientes, ligeras y facilitadoras de la actividad empresarial y de la creación de empleo de la mano de iniciativas como el Open Data. Como ciudadano me preocupa especialmente la sostenibilidad de la sanidad pública, y de las pensiones, ahora que voy viendo cada vez más de cerca la edad de la jubilación. No sé contar chistes pero me divierte el humor surrealista y los juegos de palabras, que a menudo sufren familiares y amigos. He trabajado como asesor de innovación en la CARM (2012-2016). Actualmente he vuelto a mis clases en el IES Alfonso X El Sabio y participo en un proyecto empresarial.

Últimos Comentarios

JuanjoRios 31-01-2017 | 18:26 en:
La 35ª prioridad
The Truth 18-01-2017 | 19:47 en:
La 35ª prioridad

Etiquetas

Otros Blogs de Autor