A principios de este año, el equipo de administración del Hospital Presbiteriano de Hollywood (EEUU) descubrió de repente que había perdido el acceso a sus ordenadores. Los médicos no podían consultar ni los historiales médicos ni los informes de sus pacientes. Un software malicioso había encriptado los datos de sus sistemas. Con los datos secuestrados, el personal tuvo que trasladar personas enfermas a otros centros. Después de dos semanas anotando todo en papel, el hospital pagó un rescate de 17.000 dólares (unos 15.185 euros) en bitcoines para recuperar el acceso a sus sistemas informáticos. El ransomware -así se llama el tipo de ataque sufrido- no sólo costó dinero; puso vidas en peligro.

Si alguien me hubiera dicho unos años atrás que los ejecutivos utilizarían monedas digitales para pagar a distribuidores de malware, no le hubiera creído. Sin embargo, es exactamente lo que ha pasado. Los individuos, negocios e instituciones han caído presa de este creciente tipo de ciberataque. Los ejecutivos se han convertido en rehenes de estos secuestradores de datos.

El ransomware –una mezcla de las palabras ransom (rescate) y software– es un tipo de virus informático que impide a los usuarios acceder a sus sistemas hasta que paguen una suma de dinero. Aprovechándose del error humano, los cibercriminales engañan a los usuarios para que activen este software malicioso. Oculto dentro de un correo electrónico como enlaces HTML o documentos adjuntos, el ransomware encripta los datos con una llave privada que poseen los atacantes. Los usuarios pierden el acceso a sus máquinas y se les exige un rescate para recuperarlas. Después, y a fin de evitar a las autoridades, los atacantes utilizan métodos de pago anónimos como Bitcoin.

Los distribuidores de ransomware, los criminales que supervisan este tipo de ataques, han elaborado una estrategia de precios que funciona. La exigencia media para consumidores y pequeños negocios suele oscilar entre 300 y 500 dólares (entre unos 267 y 447 euros). Es una suma que muchos pueden asumir cuando frente a la posibilidad de perder todos sus valiosos activos digitales.

Por supuesto, existen situaciones más costosas y peligrosas, como la experiencia del Hospital Presbiteriano de Hollywood. El FBI calcula que el coste del ransomware podría alcanzar los 1.000 millones de dólares (unos 900 millones de euros) en 2016 en Estados Unidos, gracias al número cada vez mayor de casos. La agencia estadounidense calcula que se producen más de 4.000 casos de ransomware al día, cuatro veces la cifra del año pasado.

Mi empresa, Carbonite, ha observado un incremento importante también. Nuestro equipo de atención al cliente ha implementado un nuevo sistema para rastrear y responder a los incidentes. Almacenamos los datos de los clientes en la nube. Cuando son víctimas de un ataque ransomware, muchos contactan con nosotros para que les ayudemos a restaurar una copia de seguridad de sus datos secuestrados. Nuestro equipo observó el mayor incremento de llamadas de ayuda con ransomware en marzo, probablemente como consecuencia de la nueva cepa de ransomware Locky.

No es sólo el aumento tan rápido del ransomware lo que resulta tan alarmante, también el cómo se utiliza. Una nueva encuesta global encontró que casi la mitad de las organizaciones de Estados Unidos reportaron ataques de ransomware el año pasado. De ellos, el 43% estaban dirigidos a los mánagers de nivel medio y el 25% a ejecutivos de primer nivel; los porcentajes son más bajos en otros países. Las dos industrias atacadas con mayor frecuencia a nivel global son los servicios financieros y los cuidados médicos.

Dado que el ransomware resulta tan ubicuo y sus daños pueden ser tan costosos, siempre me sorprende cuando hablo con ejecutivos que no lo tienen en su radar. Muchas veces, han delegado su prevención al departamento de tecnología (IT por sus siglas en inglés). Sin embargo, yo siempre animo a los ejecutivos que me piden consejo a que conviertan la prevención en una pieza central de su estrategia de ciberseguridad, que la revisen al menos una vez al año con toda su junta directiva y que involucren a toda la compañía para formarse y prevenir futuros ataques.

Nuestra empresa proporciona a los trabajadores de toda la compañía herramientas interactivas en línea para identificar programas malignos sospechosos. Armamos a nuestros empleados con los recursos que necesitan para ser conscientes de la seguridad. Les hacemos responsables de proteger su datos. Es una decisión que incluye a todos los empleados, incluidos el equipo directivo y yo mismo como CEO.

¿Por qué están aumentando los ataques de ransomware?

Una razón por la que los ataques de ransomware se están propagando es que los correos electrónicos fraudulentos con vínculos o documentos adjuntos para engañar a los usuarios desprevenidos se han vuelto mucho más sofisticados. Estos correos electrónicos de phishing, -de whaling (caza de ballenas) si se dirigen a los directores ejecutivos-, ya no los envían supuestos potentados de tierras lejanas que buscan legarle una parte de su riqueza ancestral...siempre que les proporcione información sensible.

En la actualidad, los ataques llegan en correos electrónicos bien redactados y sin errores; muchas veces camuflados como documentos oficiales con sus logos y firmas de empresa. Algunos tienen el aspecto de las típica correspondencia comercial o de recordatorios legítimos para actualizar aplicaciones. Un abogado recibió incluso un pulido correo electrónico con un prometedor currículum vitae adjunto.

Aún peor, en algunos casos infectar un ordenador no requiere la interacción del usuario. El ransomware puede propagarse gracias a lagunas en los sistemas de seguridad, a aplicaciones desfasadas o desactualizadas. Parece que salga un nuevo tipo de ransomware cada semana, y el número de maneras en las que ataca y secuestra los sistemas sigue creciendo.

Otro factor que explica la rapidez de su propagación es la expansión del bitcóin. La facilidad para cobrar anónimamente los pagos en remoto ha engordado las filas de los cibercriminales. Hoy no se necesitan grandes conocimientos sobre ransomware para utilizar un kit de hazlo-tú-mismo, solo hay que comprometerse a compartir parte de las ganancias con las grandes mafias.

Las autoridades por su parte están respondiendo al creciente cibercrimen. En Estados Unidos, el FBI se toma el ransomware muy en serio. La agencia ha publicado directrices de prevención dirigidas a los CEO y a los CISO (directores de seguridad informática, por sus siglas en inglés). También desaconseja a las víctimas pagar el rescate para no incentivar nuevos ataques.  

Asimismo, algunas de las técnicas defensivas contra el ransomware están mejorando. Dentro de los laboratorios, hay investigadores que han desarrollado software capaz de detectar algunas de las variantes de ransomware. Empresas de seguridad informática como Kaspersky Lab también han lanzado herramientas de desencriptación para ayudar a las víctimas a desbloquear sus datos después de un ataque. En Carbonite, hemos lanzado FightRansomware, una página web para informar a pequeños negocios sobre cómo funciona el ransomware y los métodos más eficaces para proteger sus datos.

Los cibercriminales han averiguado cómo sembrar el caos incluso en empresas que toman las precauciones adecuadas. Las herramientas de detección y desencriptación tampoco funcionan siempre. Aun así, hay algunas cosas que se pueden hacer.

Educación y responsabilidad

Tanto si somos pequeños empresarios, consejeros informáticos o miembros del equipo directivo, todos somos vulnerables. Eso nos hace responsables de impartir una formación adecuada acerca del ransomware y su prevención a todos los empleados de todos los niveles; nos obliga a contar con un plan de acción que deberá ejecutarse sin confusión ante un ataque de nuestros sistemas.

La educación es clave para garantizar que nuestros empleados y sistemas no se conviertan en víctimas. Proteja el perímetro de su empresa con cortafuegos y una seguridad de red sólida. Emplee software antivirus y asegúrese de que se actualiza con regularidad. Por desgracia, el error humano representa la mayor parte de las distribuciones de ransomware, así que tome precauciones adicionales. Una manera de inhabilitar un ataque de ransomware es contar con un duplicado de sus datos. Un ataque de este tipo es ineficaz si es capaz de restaurar rápidamente sus sistemas y datos a un momento anterior de la infección.

Si es víctima de un ataque -así se lo digo a mis compañeros-, no se sienta avergonzado. En lugar de ello, asegúrese de estar preparado. En cuanto sepa de un ataque en su ordenador, servidor o red, inhabilite inmediatamente toda actividad compartida de archivos y alerte a los contactos apropiados dentro de su empresa. Emplee su software antivirus para determinar dónde se produjo la infección. Si no puede hacerlo, examine las propiedades del archivo infectado para identificar el último usuario u ordenador en guardar cambios; le indicará el origen de la infección. Entonces, evalúe el alcance de la infección y los daños. Elimine el virus al borrar todos los archivos infectados. Con suerte, tendrá un servicio de copia de seguridad con el que podrá recuperar las versiones limpias de los archivos afectados.

Se está propagando el ransomware, es cierto. Pero también la concienciación sobre él. Aunque los cibercriminales cuentan con herramientas más sofisticadas que nunca, casi todos tenemos acceso a tecnología y copias de seguridad que pueden permitir a las empresas seguir trabajado. Sí, todos somos vulnerables, pero podemos tomar medidas responsables para que los ataques de ransomware sean cada vez más inusuales e ineficaces.