El CSIC est¨¢ desconectado: radiograf¨ªa de un ¡®ransomware¡¯, el ciberataque que todos temen

Las alarmas saltaron esta semana. Dos investigadores del Consejo Superior de Investigaciones Cient¨ªficas (CSIC) se quejaron en las redes sociales de que llevaban d¨ªas sin acceso a internet. Uno de ellos pidi¨® en una carta a la directora de EL PA?S publicada este martes el restablecimiento inmediato de los sistemas para que los proyectos en curso no se retrasaran. Ese mismo d¨ªa, el Ministerio de Ciencia e Innovaci¨®n difundi¨® un comunicado en el que reconoc¨ªa que el organismo sufri¨® ...

Las alarmas saltaron esta semana. Dos investigadores del Consejo Superior de Investigaciones Cient¨ªficas (CSIC) se quejaron en las redes sociales de que llevaban d¨ªas sin acceso a internet. Uno de ellos pidi¨® en una carta a la directora de EL PA?S publicada este martes el restablecimiento inmediato de los sistemas para que los proyectos en curso no se retrasaran. Ese mismo d¨ªa, el Ministerio de Ciencia e Innovaci¨®n difundi¨® un comunicado en el que reconoc¨ªa que el organismo sufri¨® un ciberataque del tipo ransomware el 16 y 17 de julio, similar al que ha afectado este mes tambi¨¦n a la red de institutos de investigaci¨®n Max Planck o a la NASA. El Centro Criptol¨®gico Nacional (CCN), el organismo del CNI encargado de velar por la ciberseguridad de las instituciones p¨²blicas, activ¨® el 18 de julio, seg¨²n asegura el Ministerio, un protocolo que implicaba desconectar todos los sistemas del CSIC para evitar la propagaci¨®n del software malicioso.

¡°Hasta la fecha, no se ha detectado p¨¦rdida de informaci¨®n sensible o confidencial¡±, dijo tambi¨¦n Ciencia. Y se?al¨® que la investigaci¨®n sit¨²a el origen del ciberataque en Rusia, algo que diversas fuentes consultadas por este peri¨®dico consideran prematuro aventurar. Porque una de las caracter¨ªsticas b¨¢sicas de los ataques cibern¨¦ticos, lo que los hace tan atractivos para los delincuentes, es la facilidad de enmascarar su origen. La ministra de Defensa, Margarita Robles, insisti¨® el mi¨¦rcoles en que la amenaza era atribuible a los rusos.

El ransomware es desde hace unos a?os el recurso preferido de los ciberdelincuentes. Se trata de un tipo de ciberataque que encripta los datos de un sistema para luego solicitar un rescate a cambio de liberarlos. La recomendaci¨®n de las autoridades es no pagar, pero muchos lo hacen. Quienes ceden al chantaje suelen tratar de que no trascienda, pero a¨²n as¨ª ha habido casos sonados. Entre los m¨¢s recientes est¨¢ el del Colonial Pipeline, uno de los mayores oleoductos de EE UU. Tras sufrir un ransomware que paraliz¨® sus actividades, las autoridades decidieron pagar los cinco millones de d¨®lares que se le exig¨ªan para liberar sus sistemas y poder restablecer el servicio.

La investigaci¨®n sobre lo que ha sucedido en el CSIC sigue en curso, y por tanto impera el hermetismo sobre las particularidades del caso. Sin embargo, la situaci¨®n que atraviesa el organismo le es familiar a decenas de empresas espa?olas. El ransomware vive un momento ¨¢lgido, impulsado m¨¢s si cabe por la invasi¨®n de Rusia a Ucrania. Seg¨²n datos de Check Point, en el segundo trimestre de 2022 los ciberataques globales aumentaron un 32% en comparaci¨®n con el mismo periodo de 2021. La media de ataques semanales por organizaci¨®n en todo el mundo alcanz¨® las 1.200 amenazas, un pico hist¨®rico. El CSIC dice recibir unos 260.000 intentos de intrusi¨®n diarios.

?C¨®mo opera exactamente este tipo de virus inform¨¢tico? ?Qu¨¦ se puede hacer para contrarrestarlo? ?Hay alternativa al pago del rescate? EL PA?S reconstruye con ayuda de expertos en ciberseguridad qu¨¦ se encuentran quienes caen presa de un ransomware.

1. Infecci¨®n: todo funciona aparentemente bien

La primera fase del proceso pasa totalmente inadvertida para la v¨ªctima. El ciberdelincuente busca la forma de acceder al sistema que quiere atacar. La v¨ªa de entrada m¨¢s frecuente es el phishing, o las t¨¦cnicas de enga?o mediante las cuales se consigue que la v¨ªctima comparta contrase?as u otros tipos de informaci¨®n confidencial de utilidad. Por ejemplo, haci¨¦ndose pasar por un banco o proveedor y solicitando credenciales. Otras maneras de colocar el software malicioso en el ordenador objetivo es disfrazarlo de otro programa para que el propio usuario lo descargue (una actualizaci¨®n falsa) o explotar vulnerabilidades del sistema operativo de la v¨ªctima.

¡°He trabajado durante muchos a?os con la Administraci¨®n y te sorprender¨ªas de ver lo com¨²n que es a¨²n hoy encontrarte con Windows 2000 o Windows XP¡±, explica un analista que prefiere mantenerse en el anonimato. Estos sistemas operativos, para los que Microsoft ya no publica actualizaciones, fueron la puerta de entrada del ransomware WannaCry, uno de los m¨¢s devastadores de la historia, que en 2017 infect¨® a centenares de miles de equipos de 150 pa¨ªses.

Una vez el ciberdelincuente consigue entrar en un equipo de la organizaci¨®n a la que ataca, tiene dos objetivos principales. Primero, conseguir permisos de administrador para lograr el control de todo el sistema. Segundo, extender el malware, o software malicioso, lo m¨¢ximo posible para llegar a cuantos m¨¢s dispositivos mejor. Cuando asuma el control de varios o todos los equipos, puede cifrarlos y pedir el rescate. O ir un paso m¨¢s all¨¢ y extraer primero datos de inter¨¦s para luego amenazar a la v¨ªctima con su publicaci¨®n (esta modalidad se conoce como ransomware de doble extorsi¨®n).

Sorprendentemente, no hace falta mucha gente para orquestar ataques de este tipo. ¡°Es mucho m¨¢s sencillo de lo que parece. A menudo solo hay una persona detr¨¢s de un ciberataque potente. Incluso se venden en la dark web [redes y tecnolog¨ªas que tratan de preservar el anonimato de sus usuarios] aplicaciones para desarrollar ransomware a precios bastante asequibles¡±, apunta Marco Lozano, responsable de Ciberseguridad para Empresas del Instituto Nacional de Ciberseguridad (Incibe). Dependiente del Ministerio de Asuntos Econ¨®micos y Transformaci¨®n Digital, el Incibe es el organismo que presta apoyo a las empresas privadas y los particulares que sufren ciberataques (las entidades p¨²blicas son competencia del CCN).

Al ejecutar el ransomware, se empiezan a encriptar los ficheros. ¡°Cuanto m¨¢s sofisticados son los atacantes, m¨¢s da?o tratan de hacer. Normalmente van a tratar de encriptar los archivos compartidos internamente en la red de la organizaci¨®n, no solo el hardware del ordenador infectado¡±, ilustra Gergely Revay, ingeniero de sistemas de la divisi¨®n de investigaci¨®n e inteligencia de amenazas de Fortinet, una desarrolladora estadounidense de software de ciberseguridad. ¡°Tambi¨¦n buscan las copias de seguridad, que es la mejor protecci¨®n contra un ransomware, para encriptarlas y anularlas¡±, a?ade.

2. Detecci¨®n: no puedo abrir el archivo

Nada saben las v¨ªctimas de lo que se cuece en sus ordenadores. Hasta que un buen d¨ªa ven que no pueden abrir un archivo. Esa es la forma m¨¢s com¨²n de darse cuenta de que algo falla. Es habitual que aparezca una nota de secuestro en la que se expongan las instrucciones para pagar el rescate. ¡°Normalmente son archivos de texto que se abren autom¨¢ticamente si intentas acceder a cualquier carpeta de la m¨¢quina. Otros cibercriminales apuestan por cambiar el fondo de pantalla para que sea todav¨ªa m¨¢s evidente¡±, detalla Revay.

Hay m¨¢s signos que pueden hacer saltar las alarmas. Por ejemplo, que se deshabiliten herramientas de seguridad o copias de seguridad. Tambi¨¦n es sospechoso que aparezcan cuentas de administrador que no exist¨ªan. ¡°En ocasiones pasan varios meses hasta que el ciberataque da se?ales de su presencia¡±, indica Eusebio Nieva, director t¨¦cnico de Check Point Software para Espa?a y Portugal. No es lo mismo atacar una compa?¨ªa de 400 empleados que otra de 400.000. Cuanto m¨¢s sofisticado sea el ataque y mayor la presa, m¨¢s tiempo pueden demorarse los preparativos, en tanto que los equipos de ciberseguridad de sus v¨ªctimas ser¨¢n tambi¨¦n mayores.

En la nota de secuestro los atacantes suelen aportar alguna forma de contactar con ellos. ¡°Puede ser una direcci¨®n en TOR [un sistema de comunicaciones enrutadas que protege la identidad de los usuarios] o en la dark web, de manera que puedas escribir directamente en un chat para negociar el precio, que es m¨¢s bajo cuanto antes se paga. A medida que pasan los d¨ªas, se incrementa. Si pagas, con suerte se te liberar¨¢ el sistema¡±, incide Revay.

3. Reacci¨®n: ?pago o no pago?

La recomendaci¨®n de autoridades y expertos es no pagar. Entre otras cosas, porque no hay garant¨ªa alguna de que tras hacerlo se vaya a recibir efectivamente la clave del cifrado para recuperar los sistemas (no hay que olvidar que se est¨¢ tratando con criminales). Pero muchos acaban haci¨¦ndolo. ¡°Yo he ayudado a varias empresas a gestionar el abono del rescate¡±, cuenta Deepak Daswani, hacker y consultor de ciberseguridad. ¡°Suelen pedirlo en bitcoins. La cantidad var¨ªa en funci¨®n del tama?o de la empresa. Si te piden 5.000 euros igual prefieres pagar para olvidarte del asunto. Es cierto que ahora hay m¨¢s conocimiento de las criptomonedas, pero el ransomware lleva activo desde 2013 y entonces casi nadie sab¨ªa c¨®mo operar con ellas¡±, se?ala.

?Qu¨¦ pueden hacer quienes deciden no ceder al chantaje? ¡°Hay dos tipos de empresas: las que tienen planes de contingencia, alguna pol¨ªtica de seguridad que les permita restaurar la actividad frente a posibles incidentes, y las que no tienen plan B. Las segundas son las que m¨¢s nos preocupan¡±, subraya Lozano, del Incibe.

Los planes de respuesta tienen su propio manual. El CCN est¨¢ siguiendo el suyo para resolver la incidencia del CSIC. La teor¨ªa marca una serie de etapas en la actuaci¨®n: contenci¨®n, identificaci¨®n, mitigaci¨®n del incidente, recuperaci¨®n y an¨¢lisis postincidente. Parte del trabajo puede realizarse de forma remota, pero lo normal es que los t¨¦cnicos acudan a revisar los equipos atacados y se coordinen con el personal de la compa?¨ªa u organizaci¨®n atacada.

¡°Todo depender¨¢ de en qu¨¦ punto del proceso hayas descubierto el ataque¡±, resume Revay, de Fortinet. ¡°Si se ha hecho de forma temprana, sin que se haya producido todav¨ªa destrucci¨®n ni extracci¨®n de datos, lo primero es tratar de identificar al paciente cero, qu¨¦ m¨¢quina fue infectada en primer lugar y cu¨¢les les han seguido. Y luego analizar qu¨¦ parte del sistema est¨¢ comprometido¡±, explica. Este parece ser el estadio en el que se encuentra el CSIC.

¡°En caso de que tus datos hayan empezado a ser encriptados, la situaci¨®n es distinta: tu jugada es tratar de restablecer los sistemas lo antes posible. Por eso es crucial tener copias de seguridad y saber protegerlas. Paralelamente hay que investigar c¨®mo han logrado meterse en los sistemas y restablecer el control, que no tengan poderes de administrador¡±, contin¨²a Revay.

Tener copias de seguridad h¨ªbridas, que alojan la informaci¨®n en servidores externos y en memorias extra¨ªbles desconectadas, es a d¨ªa de hoy la mejor garant¨ªa para soportar un ataque de ransomware. Tambi¨¦n hay herramientas avanzadas capaces de inferir comportamientos an¨®malos del sistema operativo, como el que surge cuando se inicia un proceso de cifrado. Ayudan a ganar tiempo y adelantarse al cibercriminal.

4. Desenlace: recuperar los sistemas o empezar de cero

Pero hay ataques tan sofisticados que no tienen soluci¨®n. ¡°Hay ocasiones en las que hay que montar una red nueva. Cuando los ciberdelincuentes se han metido tanto en la red que es imposible restablecerla y es mejor empezar de cero¡±, reconoce un experto en ciberseguridad que no quiere dar su nombre. Un reciente informe de Google destaca que hay empresas que se ven abocadas a cerrar al no recuperarse de un ciberataque que les haga perder sus bases de datos claves.

Si, por el contrario, se consigue controlar la situaci¨®n, toca depurar m¨¢quina tras m¨¢quina y, una vez no quede rastro del malware, el sistema puede volver al funcionamiento habitual. Empieza entonces la fase de an¨¢lisis de lo ocurrido, cuyo objetivo es tomar medidas para que no vuelva a suceder. Tambi¨¦n se trata de conocer la autor¨ªa del ataque. ¡°En funci¨®n del tipo de ransomware, del dise?o de las campa?as y de las herramientas que se utilizan, podemos tener una idea preliminar del origen geogr¨¢fico del ataque, pero determinar con precisi¨®n si hay una organizaci¨®n detr¨¢s o un individuo concreto es una misi¨®n que en muchas ocasiones es imposible¡±, puntualiza Nieva, de Check Point.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.