El abaratamiento de los virus informáticos, que se pueden comprar desde 40 dólares en la internet oscuro, y el teletrabajo han hecho proliferar los ataques informáticos, que últimamente han sacudido los servidores de la Generalitat, de la Universitat Autònoma de Barcelona, de la cervecera Damm o de la empresa municipal B:SM, entre otros.
"Cada vez son más los atacantes que consiguen lanzar ataques 'ransomware', ataques informáticos que cifran archivos e inutilizan los servidores de empresas e instituciones, a un coste bajo y comprados como servicio", según ha explicado a Efe el director de la Unidad Tecnológica IT&OT Security del centro tecnológico de Catalunya Eurecat, Juan Caubet.
Según este especialista, que es doctor en Seguridad Informática por la UPC, los costes para ejecutar un ataque de 'ransomware' son bajos porque los atacantes sólo necesitan un ordenador y el virus, que ahora incluso se puede comprar como servicio.
"Antes, los ciberatacantes necesitaban unos conocimientos avanzados para poder desarrollar por su propia cuenta un virus malicioso que funcionara y se saltara las medidas de seguridad. Ahora los pueden comprar en 'Ransomware como servicio' (RaaS, en sus siglas en inglés), un servicio de la 'dark web' que ofrece software desarrollado por grupos criminales", según Caubet.
En la "dark web" se ofrece software malicioso a cambio de pagar una cuota mensual baja en comparación con las cantidades que se piden en los rescates, resalta el experto.
Infiltración en los servidores
El doctor en Seguridad Informática por la Universitat Politècnica de Catalunya (UPC) dice que, en la mayoría de ocasiones, "la famosa puerta de entrada" con la que los ciberatacantes consiguen introducirse en los servidores de las empresas se conoce como "phishing" o pesca informática.
"La pesca informática es el conjunto de correos electrónicos o mensajes que contienen un enlace de descarga de un ejecutable, que los atacantes envían para engañar a las víctimas, obtener algún tipo de credencial del sistema o instalar un 'malware' en los ordenadores", según Caubet.
Meses sin levantar sospechas
El director de la Unidad Tecnológica de IT & OT de Eurecat ha subrayado que, una vez dentro, el intruso puede pasarse días, semanas o incluso meses dentro de la red, sin levantar sospechas, hasta dar con los usuarios y servidores que le permitan acceder a las funciones de administrador.
"En muchos casos, el ordenador desde el cual accede el atacante no es el objetivo. Suelen estar un tiempo dentro de los servidores aprendiendo su estructura interna y planificando sus movimientos hasta que consiguen encontrar al usuario con el que empezar a hacer daño", indica el experto.
Cuando el ciberataque ya ha empezado, a los atacantes, además de cifrar la información, previamente la descargan para pedir una indemnización con criptomonedas porque suelen ser métodos más difíciles de rastrear.
"Los pagos con criptomonedas se pueden llegar a rastrear, pero el problema es que los atacantes toman muchas medidas. Mueven el dinero muy rápido, lo convierten en otras criptomonedas, distribuyen los pagos en diferentes cuentas bancarias y minimizan los tiempos de uso de estas para que las autoridades no los localicen", añade Caubet. No obstante, Caubet recalca que pagar no tendría que ser una opción para las víctimas porque no garantiza el retorno a la normalidad.
"El 8% de las empresas que pagan consiguen recuperar toda su información. ¿No obstante, cuando pagas el rescate, quién te asegura que no te puedan pedir más? Si una entidad está dispuesta a pagar, es probable que vuelva a ser víctima nuevamente de un ataque en un futuro", enfatiza.
"Pagar el rescate alimenta el negocio"
El experto en ciberseguridad recuerda que la acción de pagar alimenta el negocio de la ciberdelicuencia porque, aparte de hacer daños, causar miedo o caos en la población, el factor económico juega un papel importante en cada ataque.
El "miedo" de los atacados
El doctor en Seguridad Informática relata que, aunque las empresas tratan de ocultar información sobre el ataque por miedo de dañar su imagen pública, perder reputación o confianza de los usuarios, están obligadas a notificar el caso a la policía en un tiempo prudencial.
"Está una parte de responsabilidad de las víctimas en el ciberataque, no obstante, la ley de protección de datos ampara las entidades que han tomado medidas de seguridad adecuadas, a pesar de sufrir un ataque informático que les ha hecho perder información de clientes, usuarios o trabajadores", declara Caubet.
"El grado de impunidad que tienen los atacantes es muy grande. La sensación es que nunca les pasa nada. Cuesta atribuir el ataque y recaudar pruebas para que sean válidas a nivel jurídico", añade.
Sobre la impunidad de los delincuentes, el director de la Unidad Tecnológica IT&OT Security d'Eurecat ha resaltado que, entre el 20 y el 30% de los ataques informáticos que se denuncian ante las autoridades, sólo del 1% se consigue atrapar a los autores.
Caubet recomienda hacer copias de seguridad periódicas, tener una red protegida y monitorizada que permita saber qué pasa en cada momento, detectar cualquier sospecha, tener los antivirus actualizados e invertir en formación de los trabajadores para prevenir ataques 'phishing'.