Preocupa a empresas rosarinas el aumento de ciberataques, aunque pocas lo denuncian

Ya se han dado casos de firmas a las que hackers han dejado inoperativas temporalmente. Expertos aseguran que el número irá en aumento. Qué se puede hacer para prevenirlo y cómo actúa la Justicia local.

     Comentarios
     Comentarios

El mes pasado, los empleados de una reconocida empresa nacional que tiene en Rosario una de sus principales sedes, estuvieron una semana sin poder ingresar a la plataforma online de trabajo. Esto impidió a la firma realizar cobros, sumar clientes, gestionar pedidos y básicamente prestar su servicio con normalidad. Había sufrido un ataque de hackers, que le pedían una millonaria suma para desbloquearle el sitio. Aunque finalmente pudo recuperar el control del mismo, se desconoce si accedió a pagar la extorsión, pero lo que sí se sabe es el importantísimo perjuicio económico que sufrió por haber quedado completamente inoperativa algunos días.

En el medio año que va desde agosto de 2020 hasta febrero de 2021, el riesgo a sufrir ataques de ciberdelincuentes escaló del quinto al primer lugar entre las preocupaciones de CEOs, de acuerdo a una encuesta de la consultora KPMG. Esto se explica porque la pandemia obligó a casi todas las empresas a digitalizar al menos una parte -sino por completo- su trabajo, pero pocas fueron las que adoptaron las medidas de seguridad necesarias, sobre todo en Argentina. Un informe de la firma de servicios IT Megatech coloca al país en el segundo lugar del ranking mundial de los más afectados por ataques de ransomware, un ciberdelito que consiste en el secuestro de datos por medio de un programa malicioso que cifra archivos, impidiendo que el usuario pueda tener acceso al contenido. A cambio se pide un rescate cuyo valor se suele duplicar cada 72 horas.

Fuente: KPMG

De acuerdo al citado informe, las compañías nacionales sufren en promedio 104 ataques por semana, y aunque son muy pocos los que logran su cometido, cuando esto ocurre, el impacto suele ser brutal. Es que las consecuencias no sólo son muy gravosas desde el aspecto económico, sino también reputacional y legal. ¿Cómo explicarle a un cliente que su información confidencial ahora está en menos de hackers? Para evitar su fuga masiva, y una avalancha de demandas, son muy pocas las que denuncian este tipo de hechos, y la enorme mayoría prefiere arreglárselas por su cuenta, incluso en algunos casos accediendo al pedido de los delincuentes, pese a que nadie garantiza que cumplan con lo pactado. Esto tiende a invisibilizar un problema que los propios empresarios rosarinos reconocen que están sufriendo, y que la Justicia local, pese a sus serias limitaciones estructurales, le está empezando a prestar cada vez más atención.

Peleando contra un enemigo invisible

“Al principio los ataques de hackers eran más al azar, y lo que buscaban sobre todo era demostrar las vulnerabilidades de los sistemas corporativos o generar un impacto social contra una empresa”, indicó Hernán Carnovale, socio de Forensic Services de KPMG. Pero en los últimos años el cambio fue radical: “Ahora la mayoría de estos grandes ataques están dirigidos, son planificados y lo que buscan es obtener dinero”, manifestó en su ponencia, en un webinar sobre el tema organizado por Idea Rosario. “Mientras los ciberdelincuentes están cada vez más armados para atacar, las empresas sólo configuran los dispositivos de acuerdo a una cuestión funcional pero no de seguridad. Pero además, en general no cuentan con recursos de protección ni con personal capacitado en la materia”, complementó Pablo Paccapelo, director de Forensic Services de KPMG.

Preocuaciones de los CEOs 2020 vs 2021 (Fuente: KPMG)

La diferencia de preparación entre ambos bandos se acrecentó durante la pandemia, cuando las compañías se volvieron mucho más dependientes de la tecnología para sus operaciones diarias, exprimiendo el uso de herramientas como la nube, que de no contar con adecuadas medidas de seguridad, se convierte en una puerta abierta a la información corporativa para el ingreso de hackers de todo el mundo. Además, el home office llevó a que muchos empleados debieran ingresar a plataformas de trabajo desde sus computadoras personales, y en general no hubo demasiados controles sobre si las mismas contaban con antivirus y antimalware actualizados, por ejemplo.

Del otro lado vieron la oportunidad, y se conoció que algunos de los grupos de ciberdelincuentes más grandes del mundo como Twisted Spider, Viking Spider, Wizard Spider y LockbitGang unieron fuerzas para provocar ataques conjuntos. Entre fines de 2020 y comienzos de 2021 se produjeron golpes virtuales a bancos de Estados Unidos, Corea del Norte e Israel, también a American Express y PayPal. “Estos casos se conocieron porque se trata de compañías que operan en la Bolsa y deben dar cuenta de sus resultados económicos, pero en realidad hay muchísimos más que no son reportados”, afirmó Paccapelo.

Vulnerabilidad de las organicaiones (Fuente: KPMG)

Qué ocurre en Rosario

Que estos episodios se hayan producido en empresas multinacionales no quiere decir que una pyme local esté exenta de sufrirlos. Edgardo Moschitta, titular de la Federación Gremial del Comercio y la Industria de Rosario (Fecoi), confirmó que ya ha habido víctimas locales. “Conocemos algunas empresas de acá que sido atacadas por hackers, y si bien todavía son casos aislados y no muy difundidos porque las firmas optan por la confidencialidad, sabemos que existen y que provocan un daño importante que va más allá de lo económico”, dijo a Ecos365.

El dirigente destacó que se trata de un delito relativamente nuevo, sobre el que todavía hay mucho desconocimiento. “Nosotros hace un tiempo empezamos a brindar capacitaciones al respecto, para que los empresarios estén al tanto de esta amenaza y sepan qué soluciones implementar”, planteó y agregó que así como para los locales físicos ya es imprescindible contar con rejas, alarma y cámara de vigilancia, para la tienda online cada vez es más urgente contar con mecanismos de seguridad.

Impacto de los ciberataques (Fuente: KPMG)

Hay dos particularidades importantes de los ciberataques: por un lado, que no tienen territorialidad y puede ser cometidos por delincuentes de todo el mundo. Los encargados de investigaciones de casos rosarinos se han topado con serias dificultades a la hora de ubicar a los servidores de donde partió el ataque, precisamente porque el ladrón se encarga de borrar sus huellas, pero se ha descubierto en muchos casos que vienen del exterior. También es difícil capturarlos si la víctima accede al chantaje, porque los pagos se exigen muchas veces en criptomonedas. La otra característica es que antes las estafas tenían una víctima a la vez, mientras que ahora con la virtualidad los objetivos se multiplican: por caso, se pueden mandar 10 mil mails a la vez, y con que 100 hagan click, el botín crece exponencialmente.

“Hemos tenido algunos casos de ransomware, pero sabemos que se los denuncia poco”, admitió Matías Ocariz, fiscal de la Unidad de Ciberdelitos de Rosario. “Nosotros animamos a la gente primero a extremar las medidas de seguridad informática. Hay muchos profesionales que hacen hacking ético para detectar vulnerabilidades de los sistemas y evitar robos. También se debe trabajar con backups diarios para reponer la información rápidamente si se produce un ataque. Y si este ocurre, pedimos que lo denuncien para investigarlo”, detalló a Ecos365.

Administración de riesgos (Fuente: KPMG)

Es tal el grado de incidencia que algunas aseguradoras empezaron a ofrecer pólizas específicas que cubren los gastos en la recuperación de la información digital y restauración de datos; los costos por la interrupción de la actividad empresarial; la extorsión cibernética o pérdida de dinero del asegurado con motivo de una transferencia electrónica no autorizada y transacciones bancarias fraudulentas; e incluso la responsabilidad por violación de información confidencial o datos personales. Respecto a los valores, varían desde los u$s15.000 hasta más de u$s150.000, dependiendo la empresa, su tipo de negocio y los potenciales focos de amenaza.

Los diferentes tipos de ataques y cómo estar preparados

Es que no todos los ataques son iguales, ya que algunos son más improvisados y fáciles de resolver o prevenir. Son los que tienen que ver con el robo de claves de acceso a través de algún software específico o de correos fraudulentos. También están los que aprovechan las denominadas “puertas traseras” de algún programa para ingresar y después son más duros de erradicar. Por último están los persistentes y avanzados, que combinan varias técnicas, roban mucha información que a veces suele ser exhibida en la dark web y hasta vendida al mejor postor. Estos últimos apuntan a un objetivo específico y llevan una larga planificación, en la que se estudian todas las posibles respuestas de la víctima para anticiparse a sus movimientos y seguir causando estragos.

Paccapelo reveló que le ha tocado participar de un caso de estos en la Universidad de Dublin, junto a un equipo de expertos de todo el mudo. “Nos llevó una semana contener el ataque y tres meses recomponer toda la información”, reveló y añadió que tanto en este, como en la mayoría, a los especialistas se los llama recién cuando estalló el incidente, y muy pocas veces se los contacta para prevenirlo. Actuar antes implicaría hacer un análisis de seguridad para ver el marco normativo, los procedimientos, la capacidad de los equipos y sus procesos de seguridad, y definir un plan con tareas priorizadas con “quick wins”, ítems de poca inversión y esfuerzo pero que incrementan mucho la ciberseguridad, para luego dejar al mediano y largo plazo una serie de puntos que ya requieren de una inversión mayor, pero que permiten reforzar todavía más el cerco.

Algunos tips si se sufre un ciberataque

1- Mantener la calma y comenzar a ejecutar un plan de respuesta a incidentes. Si no se cuenta con uno, solicitar ayuda a su proveedor de seguridad o buscar el asesoramiento de expertos.

2- Aislar los sistemas y detener la propagación: para eso hay que identificar el alcance del ataque y aplicar bloqueos a nivel de red como el aislamiento del tráfico en el conmutador o en el borde del firewall o la interrupción temporal a la conexión a Internet.

3- Identificar la variante de ransomware, lo que puede dar pistas sobre la ubicación de la amenaza y cómo se está propagando. Dependiendo de esta, algunas herramientas de descifrado pueden estar disponibles para recuperar los archivos.

4- Identificar el acceso inicial, lo que permitirá cerrar el agujero en su seguridad. Esto suele requerir del asesoramiento de expertos.

5- Identificar todos los sistemas y cuentas infectadas para evitar que se sigan ejecutando tareas.

6- Localizar las copias de seguridad y determinar su integridad, ya que un ataque de ransomware intentará borrar las mismas. Por eso se recomienda guardarlas en discos externos.

7- Sanear los sistemas o crear nuevas construcciones: eso dependerá de la virulencia del ataque y de la confianza que se tenga al viejo sistema. A veces es más seguro, fácil y rápido empezar de cero que hacer una migración. Una vez hecho esto, se deben instalar todos los controles se seguridad.

8- Informar del incidente
9- No se recomienda pagar el rescate porque no hay garantías de que se vaya a recuperar la información ni de que no se vuelva a sufrir otro incidente por parte de los mismos delincuentes.

10- Realizar una revisión posterior al sistema para corroborar que se haya recuperado todo y de que ya no hay vulnerabilidades. Mantener todos los sistemas de seguridad siempre actualizados, y en lo posible, contar con un equipo de expertos en seguridad informática propio o externo pero con contacto permanente, para prevenir otros hechos.

Comentarios