Todo encargado de TI está medianamente preparado para el desastre. Entre tanto software malicioso, malware y amenazas informáticas, tratamos de estar preparados para lo peor. Sin embargo, hay una ansiedad mucho más grande –y que ha ido creciendo en los últimos años– y es ser vulnerado por un desastre de marca mayor: un ataque de ransomware.

Debido a varios casos recientes en Chile y Argentina –en especial el ocurrido a Banco Estado- el miedo está más vivo que nunca. Y no es menor: historias como las del ransomare Wannacry en Telefónica nos hacen pensar en el desastre. ¿Habré parchado todos mis equipos Windows con la última actualización? ¿Existirá un zero-day del que no me he informado? ¿Hicimos copias de seguridad de todos los archivos importantes?

Lo cierto es que deberíamos estar en alerta permanente. Según los datos del informe DBIR de Verizon, el ransomware es un peligro que aumenta cada año, y está entre las tres amenazas informáticas más grandes en el mundo entero. En Latinoamérica no estamos ajenos a esa tendencia, y es muy probable que debamos pensar en cómo cuidarnos de este tipo de software malicioso, y por qué es importante.

Qué es el Ransomware

El ransomware es un grave tipo de malware que puede afectar a diversos equipos informáticos. En síntesis, un ataque de ransomware encripta los archivos de tu equipo de manera maliciosa, con el objetivo de solicitar un rescate por ellos. Usualmente, esa extorsión se paga con criptomonedas, tales como el Bitcoin, Monero o Ethereum.

Como bien sabemos, la encriptación es un proceso en el cual los archivos son protegidos con una clave de cifrado para evitar su acceso a través de ciberataques. Es decir, usada de buena manera, la encriptación es un proceso positivo de seguridad informática.

Sin embargo, este tipo de cifrado malicioso es equivalente a que un ladrón te deje afuera de tu propia casa, cambie la cerradura y te pida rescate por la llave. 

Con la vulnerabilidad correcta, el ransomware es capaz de llegar a nuestros equipos usando una multitud de formas. Adjunto en un correo electrónico, unido a un documento de Microsoft Word o Excel, en esas fotos de las vacaciones que abriste en el equipo de la oficina o incluso en ese juego que te prohibieron descargar. Como casi todo tipo de malware, sólo es necesario un agujero en la pared que nuestro TI no haya parchado, y el potencial para el daño ya será enorme.

A aquello debemos agregar que el ransomware es más complejo que sólo encriptación. Por ejemplo, muchos ataques de este estilo utilizan técnicas afines a troyanos u otro tipo de malware. Un ejemplo son las técnicas de persistencia, como búsqueda de puertos abiertos en la red privada o replicación a través de correos electrónicos, para infectar otras máquinas en la organización. En la misma línea, utilizan técnicas de ofuscación para no ser detectados al principio, y desencadenar un ataque masivo con graves consecuencias.

Tipos de Ransomware comunes

Si bien la mayoría de los ataques tienen en común las condiciones anteriormente descritas, existen muchos métodos comunes o familias de ransomware. Estos ataques, similares a las cepas de enfermedades virales, comparten métodos de entrada, creadores o víctimas comunes. Entre los más destacados están:

Bad Rabbit

Conocido en Europa del Este y en Rusia, este ransomware se hace pasar por una actualización falsa de Flash que proviene de un sitio malicioso. Luego de su instalación, procede a encriptar el equipo y solicitar 0,5 BTC para el desbloqueo.

Cerber

Los reyes del RaaS o “ransomware como servicio”, una de las nuevas variantes de ransomware. Cerber ofrece afiliarse a su plataforma e implementar su malware donde tú quieras, quedándose con el 40% del rescate. Utiliza un poderoso cifrado RSA, por lo que si eres víctima, prepárate para pagar el rescate.

CryptoLocker

Considerado por muchos como el padre y modelo de todo el ransomware actual. CryptoLocker comenzó a propagarse a través de una poderosa botnet durante el año 2013, y si bien dicha botnet fue desactivada –y sus autores tras las rejas– CryptoLocker ha inspirado a muchísimos clones, como TorrentLocker.

Petya – NotPetya – GoldenEye

La familia de ransomware Petya tiene una larga historia. No solo su encriptación es poderosa, sino que tienen un componente extra: impidiendo el arranque de Windows. Petya y sus parientes cercanos, NotPetya y GoldenEye, se almacenan en el MBR o registro de arranque maestro del disco duro, encriptando la tabla maestra de archivos (MFT). Esto les da una ventaja: sin modo seguro ni pudiendo iniciar el sistema operativo, el usuario pierde el control total de la máquina.

El caso de NotPetya es especial. En el año 2017, un año después del descubrimiento del Petya original, un grupo aparentemente apoyado por la GRU realizó un ciberataque mundial masivo usando dicho ransomware. El país más afectado fue Ucrania, ya que NotPetya había sido modificado no para solicitar rescate, sino para volverse irreversible. Hasta el día de hoy, NotPetya es considerado el ransomware más destructivo del mundo.

Como trivia, tanto “Petya” como “GoldenEye” son referencias a James Bond.

Jigsaw

Hablando de cultura popular, Jigsaw es un tipo especial de ransomware. Aparte de la referencia literal a las películas de “Saw: El Juego del Miedo” (al usar al muñeco Billy como imagen), Jigsaw va borrando progresivamente tus archivos a medida que pasa el tiempo. Si la victima, no ha pagado el rescate antes de las 72 horas de comenzada la infección del ransomware, se borran todos sus archivos.

Sodinokibi – Revil

Otro ransomware como servicio (Raas) relativamente reciente y denominado “el principe coronado del ransomware” por expertos en seguridad. Se aprovecha de dos vulnerabilidades en equipos Windows, entrando a las máquinas a través de archivos descargados por scripts Javascript maliciosos.

Se cree que Sodinokibi es el causante de la interrupción de servicio en Banco Estado en Chile y en el servicio aduanero de Argentina.

Spider

Un tipo de ransomware muy extendido en Europa. Se propaga a través de correos electrónicos basura, escondido en documentos de Microsoft Word, que contienen software malicioso dentro de los macros. En cuanto dichos macros del documento se ejecutan, el ransomware se instala.

Caso de estudio: Wannacry, Telefónica en 2017

No, ahora estaba comiendo y trabajando en remoto (que estoy de vacaciones) }:)

— Chema Alonso (@chemaalonso) May 12, 2017

Un caso altamente mediático fue el ocurrido a Telefónica España el año 2017. El día 12 de mayo de ese año, y mientras Chema Alonso –white-hat hacker, ex-jefe de seguridad y actual CDCO de Telefónica– se encontraba de vacaciones, ocurrió lo peor. Las máquinas de gran parte de la empresa sucumbieron, una por una, a una pantalla roja y gris solicitando rescate. El “secuestro virtual” de Telefónica, con un claro culpable: Wannacry.

Este malware, que se presume habría nacido de las mentes del Grupo Lazarus (Lazarus Group) en Corea del Norte, se aprovechó de un exploit o vulnerabilidad llamada EternalBlue. Dicha vulnerabilidad afectaba al protocolo SMB (Server Message Block) en equipos Windows, y había sido descubierta por la NSA, nunca reportada, y luego nuevamente descubierta por Microsoft dos meses antes del ataque.

Asimismo, Wannacry contenía una herramienta de backdoor llamada DoublePulsar, la que le daba la posibilidad de instalarse y luego replicarse en otros equipos en la red igual de vulnerables. Es así como al encender dichas máquinas Wannacry podía instalarse sin problemas, solicitando cifras cercanas a los 200 BTC, lo que equivale actualmente a más de dos millones de dólares.

Wannacry golpeó a todo el mundo en una escala sin precedentes. Según cifras de Europol, más de doscientas mil máquinas fueron afectadas en más de 150 países. Sin embargo, el golpe a Telefónica causó un impacto profundo al otro lado del Atlántico, ya que la empresa española tiene una serie de subsidiarias en Latinoamérica, las que también vieron interrumpidos sus servicios durante días. El caso puso la palabra “ransomware” en el acervo de ciberseguridad latinoamericano, y con justa razón.

Las consecuencias de un ataque de Ransomware

Un ataque de Ransomware trae consigo una multitud de problemas, muchos de ellos compartidos con el resto de las vulnerabilidades conocidas. Sin embargo, la magnitud y gravedad de los ataques es especialmente dañina para ciertos sectores de nuestras organizaciones.

1. Interrumpe la continuidad del negocio. Un ataque de ransomware inutiliza de manera inmediata a un número determinado de equipos. Asimismo, al tratar de contener el accionar de los ciberdelincuentes la respuesta lógica es apagar el resto de los equipos, lo que debilita aún más la continuidad de trabajo y negocio de cualquier organización.
2. Puede significar una pérdida económica importante. En gran parte de los casos, las empresas que se ven envueltas en ataques de ransomware suelen ceder ante la presión y pagar los rescates solicitados por los criminales. Al mismo tiempo, el proceso de recuperación puede ser complicado, y la reparación y/o contratación de especialistas es costosa.
3. Archivos clave del negocio pueden perderse. De no lograr recuperar satisfactoriamente los archivos cifrados, o al sufrir el ataque de un ransomware peligroso e irreversible, es posible perder dichos archivos sin solución.
4. Disminuye la confianza en la organización. Ser vulnerado suele ser indicativo de una falla en los procesos de seguridad, por lo que todo ataque informático trae como consecuencia desconfianza a nivel externo e interno. Esto se hace extensivo a los usuarios de nuestras plataformas, potenciales clientes que ven con malos ojos una intrusión, e incluso a nuestros propios empleados.
5. Puede ser la puerta de entrada para otro tipo de ataques. Cuando los cibercriminales encuentran una puerta abierta, el ransomware no es lo único que implementan. De hecho, muchas herramientas de este estilo son complejas y pueden abrir el camino a ataques de fuerza bruta con datos obtenidos de phishing, el compromiso de otros equipos en la red o más malware.

Cómo prevenir un ataque de Ransomware

Con pasos estrictos pero sencillos, es posible mitigar en gran parte el riesgo de un ataque de ransomware en nuestra organización.

Mantener los equipos y sistemas operativos actualizados

El consejo más importante de todos. Las actualizaciones periódicas son imprescindibles en un mundo tecnológico cada vez más veloz. Asimismo, estar atento a los parches de software o a las vulnerabilidades críticas en aplicaciones de infraestructura permite tener la vara alta en caso de intrusión.

Filtrar, analizar o prohibir los archivos adjuntos

El correo electrónico es un vector de ataque importante. Debido a aquello, se hace cada vez más preciso educar sobre lo peligroso de abrir archivos de orígenes desconocidos, pues pueden contener malware.

También es una obligación instalar sistemas de filtrado o de análisis de archivos adjuntos, complementarios a las soluciones antimalware que ya puedas tener instalada.

Crear y mantener sistemas de persistencia o copias de seguridad

Si tus archivos están seguros en un lugar no infectado por el ransomware, los cibercriminales pierden toda ventaja sobre ti. Sólo asegúrate de no dejar vulnerables dichas copias de seguridad.

No pagar el rescate al ser atacado

El objetivo principal detrás de los ataques de ransomware es monetario. Al pagar, le entregas ventaja al hacker y lo instas a delinquir nuevamente, sin contar con la dificultad de conseguir criptomonedas para financiar el rescate. Además, existen muchas herramientas –basadas en ransomware exitoso– que ayudan en el proceso de descrifrado de manera totalmente gratuita.

Si por otro lado el ataque es muy complejo, es una mejor idea asesorarse por una empresa de respuesta en tiempo real a ataques de ransomware. Estas empresas son capaces de negociar y pagar directamente a los atacantes, mientras buscan una solución que no impacte en la continuidad del negocio.

En julio de este año y en una decisión tan polémica como sorpresiva, la Corte de Justicia de la Unión Europea invalidó un acuerdo clave con Estados Unidos, llamado Escudo de Privacidad, o en adelante “Privacy Shield”. Dicho acuerdo le permitía a los miembros de la Unión Europea, entre otras cosas, la transferencia protegida y regulada de datos personales de usuarios a miles de empresas estadounidenses.

Esta decisión generó una serie de incertezas respecto al tratamiento –y más precisamente, al flujo– de los datos entre Europa y América protegidos por Privacy Shield, de manera muy particular para las empresas que tratan con información de usuarios en la Unión Europea. Asimismo, la protección que dichos usuarios ya gozan gracias al RGPD pone presión sobre los legisladores estadounidenses para adecuarse a dichas normas. Esto con el objetivo de asegurar la protección de la privacidad en los casos que la ahora impugnada norma convenía.

Para analizar el panorama, y visualizar con claridad la disputa, se hace necesario remontarnos a la legislación que vino a regular con guante de hierro a las organizaciones americanas con usuarios en la Unión Europea.

RGPD y la Unión Europea

Desde el 25 de mayo del 2018 comenzó a regir el regir el Reglamento General de Protección de Datos de la Unión Europea. Si bien a ojos del consumidor el cambio pudo ser imperceptible, el modo en que se diseña la web y se tratan los datos personales de los usuarios cambió para siempre.

En resumen, el RGPD vino a sobrescribir la legislación sobre datos personales en todos los estados miembros de la Unión Europea con el estándar de privacidad más alto que ha existido hasta ahora. Se consagraron y profundizaron una serie de derechos a favor de los usuarios tales como los de acceso, rectificación y eliminación de los datos personales de cualquier registro donde se encuentren. Además, el RGPD profundiza de modo muy relevante la transparencia e información con la que se debe informar al usuario que datos están siendo recolectados, como, para que y donde están siendo enviados.

Sumado al estándar de transparencia y derechos que establece el RGPD, quizás el aspecto más novedoso y relevante sea que la obligatoriedad de sus normas se extiende no solo a los estados miembros de la Unión Europea, sino además a todos quienes reciben datos personales de organismos o empresas que estén dentro de la Unión Europea. Así, estas transferencias internacionales deben ser autorizadas mediantes las denominadas “decisiones de adecuación” de la Comisión Europea. Esta decisión no busca declarar que la legislación del país destinatario sea igual al reglamento europeo, sino que es en términos prácticos sustancialmente equivalente, de modo que se cumpla con los requisitos básicos esenciales.

Revisa cómo Prey cambió sus políticas de privacidad debido al GDPR aquí.

El marco del “Escudo de Privacidad” entre la Unión Europea y Estados Unidos

En el caso de los Estados Unidos, la decisión de adecuación vigente era el “Escudo de Privacidad” o Privacy Shield, que el año 2016 vino a reemplazar el tratado anterior vigente denominado Safe Harbor, o “Puerto Seguro”. Mediante el Privacy Shield, las empresas que tratasen datos recibidos de la Unión Europea podían pasar por un proceso de certificación ante arbitradores autorizados por la Federal Trade Comission (FTC), que operaba como un órgano fiscalizador encargado de supervigilar que estas empresas efectivamente tratasen dichos datos personales del modo expuesto. En caso de que no cumpliesen o se presentase algún problema, el afectado podía recurrir a alguno de los organismos arbitradores autorizados para resolver la controversia y conseguir, eventualmente, la imposición de multas por parte de la FTC a aquellas empresas que incumplieran la normativa.

Las innovaciones del Privacy Shield respecto de Safe Harbor venían a ampliar los derechos y garantías de los usuarios en el tratamiento de sus datos de modo más acorde con los nuevos derechos garantizados por el RGPD. Además, se creaba la figura de un “Ombudsperson” o “Defensor del Pueblo” al que las autoridades de protección pueden realizar peticiones a nombre de ciudadanos europeos respecto de la vigilancia que pudiera realizar Estados Unidos con motivos de inteligencia. Sumado a esto, los miembros del Privacy Shield debían asegurar que los contratos que celebraran con terceros cumplieran con los mismos principios y protecciones que estos ofrecían a sus usuarios. Esto con el objetivo de igualar la protección o garantía “refleja” o espejo que exige el RGPD respecto de las transferencias a terceros.

En principio, estas decisiones de adecuación son la mejor garantía para la realización de transferencias internacionales a Estados Unidos fuera de la Unión Europea. Con todo, es tan solo una presunción, pues estas decisiones bien pueden ser impugnadas ante el Tribunal de Justicia Europeo (TJUE), en caso de que se constatase que dicho estado no está garantizando un nivel de seguridad suficiente.

La Protección de la Privacidad contra el Gobierno de Estados Unidos

En principio, estas decisiones de adecuación buscan dar seguridad a las empresas e instituciones de la Unión Europea de que pueden transferir datos con tranquilidad a terceros de otros Estados fuera de esta. Así, por ejemplo, una empresa de Francia puede alojar tranquilamente los datos de sus usuarios en un servidor de Estados Unidos, ya que puede garantizar que esta empresa otorga a sus usuarios garantías equivalentes a las que tienen dentro de la Unión Europea.

Pero estas decisiones de adecuación no sólo dicen relación con los privados, sino también contra los actos de los propios Estados, ya que puede ser el propio Estado quien decida realizar vigilancia de las comunicaciones electrónicas para fines de inteligencia o seguridad nacional. 

En estos casos, se requiere como garantía que este tratamiento por parte del Estado cuente con una base legal clara y precisa (cuando y como interferirá), que se realice de forma proporcionada (que sea necesaria y buscando un objetivo legítimo), que dicho tratamiento esté sujeto a una supervisión independiente y, por último, que los afectados con dicho tratamiento tengan acceso a acciones efectivas para hacer valer sus derechos.

El Quiebre: Schrems II y la protección de datos

Como dijimos, estas decisiones de adecuación pueden ser impugnadas. Aquello fue precisamente lo que ocurrió en el denominado caso “Schrems II”, donde por medio de una impugnación que el activista de privacidad Max Schrems levanto respecto al tratamiento de datos personales que realiza Facebook Irlanda –respecto a la transferencia que esta realiza hacia su símil en Estados Unidos– se revocó la decisión de adecuación relativa a Privacy Shield, determinando que éste no otorga garantías adecuadas.

¿Que llevó a esta determinación? Principalmente, la decisión de la Corte dice relación con el artículo 702 de la ley FISA (Foreign Intelligence Surveillance Act). Este artículo permite programas de vigilancia tales como PRSIM o UPSTREAM, mediante los cuales el gobierno de Estados Unidos puede requerir información de los usuarios de redes sociales como Facebook, sean estos ciudadanos estadounidenses o europeos.

Si bien estos programas no son contrarios al RGPD, el mecanismo de protección de los sujetos pasivos ante dichos requerimientos de datos fue encontrado insuficiente. El análisis realizado por la Corte determinó que no se garantiza un nivel de protección sustancialmente equivalente al que ellos tendrían dentro de la Unión Europea, puesto que dichos programas carecen de la proporcionalidad necesaria al no definir el alcance ni la limitación en el ejercicio de tales actividades de inteligencia. 

Además, no todos los actos de inteligencia que permiten recolectar datos personales de la Unión Europea pueden ser objeto de recursos judiciales por parte de los afectados. Sumado a esto, muchas de estas impugnaciones solo se presentarían ante el Ombudsperson –contemplado en el Escudo de Privacidad– el que como autoridad administrativa, no otorga las mismas garantías ni tiene las mismas facultades que un tribunal.

Las Consecuencias: Actualizando El Estándar De Protección De Datos En Estados Unidos

En el largo plazo, la decisión necesariamente deberá provocar que Estados Unidos actualice a los tiempos actuales su régimen de protección de datos personales. Lo contrario implicaría poner más trabas al lucrativo negocio de los datos personales en internet. Según cifras de la FTC, la decisión de la corte pone en riesgo operaciones por hasta 7 trillones de dólares, un duro golpe a las economías tecnológicas de todo el mundo.

En lo inmediato, dado que de ahora en adelante el Escudo de Privacidad fue invalidado como garantía suficiente, se hace necesario que quienes realicen transferencias de datos personales a terceros ubicados en los Estados Unidos analicen el fundamento y condiciones de dichas transferencias, el tipo de datos que se envia y la existencia o no de medidas complementarias de protección, tales como la anonimización o seudonimización de los mismos. Si de este análisis se concluye que no existen garantías adecuadas, igual se podrá continuar con las transferencias, pero se deberá notificar esta decisión a la autoridad de control correspondiente.

Si bien a primera instancia pareciera conveniente optar derechamente por Normas Corporativas Vinculantes, Acuerdos de Protección de Datos o el uso de Cláusulas Contractuales Tipo, debe tenerse presente que estos instrumentos, si bien formalmente mantienen su valor, al no haber sido declarados inválidos por la sentencia, no resultan totalmente suficientes. Esto ocurre debido a que la legislación estadounidense igualmente tendrá primacía sobre estos. En líneas generales, estos instrumentos servirán en la medida que, en base al análisis antes referido, pueda concluirse que existen garantías adecuadas para la protección de los datos personales enviados.

Finalmente, se debe tener presente que el artículo 49 del Reglamento General de Protección de Datos deja abierta ciertas excepciones para mantener las transferencias de datos. Dentro de las hipótesis de transferencias entre privados, esto ocurrirá cuando se cuente con el consentimiento del titular, si este ha sido informado de los posibles riesgos de dichas transferencias o en aquellos casos en que la transferencia sea necesaria para la ejecución de un contrato entre el titular de los datos o en su interés.  Particularmente, cuando dichas transferencias sean ocasionales, limitadas a un grupo de interesados y se hayan analizado todas las circunstancias concurrentes de dicha transferencia y los intereses del titular, de modo que permitan concluir que existen garantías apropiadas de protección de dichos datos personales.