El ataque de ransomware conocido como WannaCry golpeó por primera vez el viernes 12 de mayo de 2017. El lunes siguiente ya había alcanzado más de 200.000 ordenadores en 150 países. Y, aunque todavía no conocemos todos los detalles del impacto, está claro que algunas organizaciones se han visto mucho más afectadas que otras. Las noticias sobre este episodio refuerzan un punto de vista que PwC lleva mucho tiempo defendiendo: la protección efectiva contra los ciberataques no tiene tanto que ver con cuestiones tecnológicas concretas, sino con una gestión proactiva de los riesgos.
Como todos los ransomwares, WannaCry causa daños en las compañías de dos formas. En primer lugar, cobra a la organización por recuperar los documentos que el algoritmo ha cifrado. En segundo lugar, aunque el rescate sea pequeño – no es seguro que los futuros ransomers vayan a limitarse, como en el caso del WannaCry, a 3oo dólares en bitcoins – los costes de la recuperación pueden ser inmensos. Una investigación llevada a cabo por PwC reveló que la mayoría de los incidentes de ransomware suceden en horas de inactividad y en redes desconectadas hasta durante diez días. Además, los atacantes siguen conservando parte de los datos que han captado. Pueden venderlos o hacerlos públicos, incluso después de que la compañía afectada haya pagado el rescate.
En el futuro habrá más ataques, ya que las técnicas y las vulnerabilidades que se usaron para distribuir WannaCry han sido filtradas muy recientemente, en abril de 2017 (supuestamente desde la Agencia Nacional de Seguridad estadounidense (NSA) por un grupo anónimo llamado Shadow Brokers). Otros documentos similares (aparentemente originales de la Agencia Central de Inteligencia estadounidense, CIA) fueron publicados por WikiLeaks en marzo de 2017, y es probable que haya más fugas de información de este tipo, no solo en Estados Unidos y en Europa, sino en todos los países del mundo. Cada filtración dará más poder a actores independientes, proporcionándoles herramientas a las que hasta ahora solo tenían acceso los gobiernos. El secuestro, chantaje, vigilancia, desconexión y manipulación de datos hoy son más viables que hace tan solo unos meses.
¿Cómo podemos protegernos de ataques similares en el futuro? Recogemos cinco claves que distinguen a las compañías vulnerables de las más resistentes
En este momento, todas las compañías y organizaciones deben hacerse la misma pregunta, tanto si les afectó el WannaCry como si no: ¿Cómo podemos protegernos de ataques similares en el futuro? Estas cinco claves distinguen a las compañías vulnerables de las más resistentes:
- ‘Higiene’ digital. El WannaCry ha puesto de relieve la importancia de una gestión de IT vigilante: hay que mantenerse al día de los avances tecnológicos. Microsoft lanzó un parche de seguridad para solventar la vulnerabilidad de Windows que explota WannaCry en marzo de 2017. Las compañías que lo instalaron estuvieron protegidas, mientras que muchas de las más afectadas empleaban softwares anticuados en sus sistemas operativos. Una buena higiene digital también incluye prácticas de seguridad rigurosas. Por ejemplo, no limitarse sin más a hacer una copia de seguridad de los datos de la compañía, sino comprobarla regularmente. Además hay que garantizar su seguridad, separándola de otros sistemas o redes, o de lo contrario también se corromperá.
- La habilidad para detectar comportamientos intrusivos. El error humano sigue siendo la principal forma de acceder a información privada. A menudo, los empleados exponen datos a una ciberamenaza de manera involuntaria, a través de un mail fraudulento u otras técnicas, dando así acceso a los hackers a contraseñas y otras vías de entrada. Las empresas con prácticas eficaces en gestión de riesgos raramente filtran información delicada sin darse cuenta. Son especialmente cuidadosas y hacen que sea extremadamente difícil obtener los datos necesarios para tomar el control de un sistema. También trabajan en la detección, es decir, en aprender a reconocer el comportamiento de los intrusos y a aislarlos en tiempo real. Lo único que comparten abiertamente son los datos sobre los intrusos detectados. La colaboración entre profesionales de la seguridad de distintas compañías y organizaciones es una de las mejores defensas contra el cibercrimen.
- Un diseño cuidadoso de la infraestructura de IT. Todas las empresas tienen activos de información especialmente valiosos: propiedad intelectual crítica, datos relacionados con el consumidor, datos financieros y otros recursos con valor estratégico. Estos deben ser protegidos de forma diferente al resto. ¿Cómo? Diseñando los sistemas de IT en consonancia, y prestando especial atención a la cadena de suministro de información. ¿Qué vendedores, proveedores y socios tienen acceso a esos datos, y qué van a hacer para que estén a salvo? Una forma de hacerlo es replantear los controles de autenticación y de seguridad; por ejemplo, en determinados escenarios puede resultar necesario introducir una autenticación doble, en la cual la contraseña debe combinarse con datos biométricos, pruebas de identificación o algún otro factor de autenticación.
- Planificación anticipada y simulacros. Del mismo modo que se desarrollan planes para inundaciones, incendios y otras emergencias, hay que prepararse para los ciberataques con antelación. Los planes deberían concretar cómo se responderá en caso de ataque, y quién será responsable de cada práctica -por ejemplo, quién notificará a los clientes si la información de sus tarjetas de crédito es robada, ¿el director de riesgos, el responsable de seguridad de la información, otro responsable?-. Para prepararse ante los ataques de ransomware hay que establecer una matriz de decisión. ¿Quién recuperará la información de la copia de seguridad? ¿Quién se comunicará con los secuestradores? ¿En qué circunstancias extremas (por ejemplo, amenaza de muerte) se puede estar obligado a pagar el rescate? Pensar en todo esto con antelación y practicar la respuesta es vital para saber qué hacer cuando estalle una crisis.
- Adopción temprana de la tecnología de “la nube”. Los sistemas basados en la nube se actualizan fácilmente y de manera automática, acumulan datos en tiempo real sobre los ataques, e incorporan restricciones internas que separan los niveles de software y bloquean las intrusiones para que no alcancen su objetivo. Esto les proporciona una ventaja sobre los sistemas basados en los ordenadores de las instalaciones. También puede ser relativamente difícil para los intrusos aprovechar agujeros en la seguridad de una arquitectura basada en la nube. Por ejemplo, a finales de abril de 2017, Google bloqueó un ataque de spear phishing (un intento de utilizar el correo electrónico dirigido a un público concreto para que estos envíen información comprometida). Las características del Gmail, basadas en la nube, permitieron identificarlo rápidamente y aislar el malware.
Por supuesto, aunque se pongan en práctica estas cinco claves, no hay que conformarse, si no aspirar a más, hasta llegar a una gestión de la seguridad adecuada para el perfil de riesgo tecnológico de mi negocio. En cualquier caso, estas prácticas se convertirán en una costumbre: prevenir la intrusión, preparar la respuesta, aislar las copias de seguridad del resto de la red, responder rápida y efectivamente a las intrusiones, recuperarse con medidas establecidas con antelación y reforzar la resistencia. Cuando todas estas actividades se convierten en algo intrínseco a una compañía, la capacidad de gestionar los riesgos cibernéticos se convierte en un activo estratégico y una ventaja competitiva.