Un ciberataque en mi negocio: un hacker me enseñó qué hacer (y qué no)

Puede que los grandes titulares y los casos más mediáticos son los que afectan a personajes famosos, que han visto cómo sus fotos más íntimas y personales han salido a la luz pública sin su permiso tras haber sufrido algún hackeo. Jennifer Lawrence, Kate Upton, Scarlett Johansson… Sin embargo, no son pocas las empresas que se han visto afectadas por casos similares.

En España, sin ir más lejos, El Corte Inglés vio cómo a principios de este año un grupo desvelaba sus gastos tras lograr acceder a sus base de datos.

¿Realmente es tan fácil?

Los expertos recomiendan denunciar, no tocar y guardar los archivos, no pagar y acudir a un experto en seguridad

Para demostrar lo fácil que resulta para los criminales acceder a los servidores de cualquier empresa –también de las pequeñas y medianas–, se han hecho diversas pruebas y estudios para tener evidencias sin necesidad de poner en riesgo a la propia empresa. En uno de ellos se creó una empresa ficticia, incluyendo su presencia en Internet –comprando una URL, configurando un servidor web y correos electrónicos para empleados– para ver cómo se convertía en un objetivo de los ciberdelincuentes. Además, se generaron perfiles personales de dos empleados en Xbox Live y Facebook.

En apenas 30 minutos, las cuentas personales de los empleados fueron bloqueadas y en una hora, el servidor estaba caído, la web fuera de uso y la tarjeta de crédito empresarial utilizada de manera fraudulenta.

Threatening

Ha habido empresas víctimas de un ataque que no han tenido reparos a la hora de contar sus experiencias, pese a que incluso cuando hacerlo ha acabado con su negocio. En muchos casos, como el de Distribute.IT al que hacíamos referencia, el punto de entrada principal del ataque fue un empleado vulnerable. El ciberdelincuente fue capaz de introducir el malware saltando incluso la clave de registro en el portátil del empleado. El malware construyó una base de datos con contraseña y utilizó una conexión VPN segura del ordenador portátil para acceder a la red.

Óscar de la Cruz Yagüe, Jefe del Grupo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil, reconocía el año pasado en un evento de seguridad que en los últimos años se ha incrementado la actividad relacionada con la seguridad informática de las empresas. «El nivel de actividad quizá no varíe, pero sí su complejidad, se está evolucionando».

Miedo a denunciar

Solemos tener una actitud reactiva: no nos planteamos qué hacer hasta que no sufrimos el problema

Aunque cuando sufrimos un robo o un ataque a nivel personal todo el mundo acude a los cuerpos de seguridad del Estado a interponer las correspondientes denuncias, cuando estos delitos se producen contra nuestra «identidad digital» el comportamiento suele ser, en muchas ocasiones, el no denunciar. Aunque es cierto que los temores a una pérdida de la reputación y el buen nombre están detrás de estos miedos, el responsable de la Guardia Civil considera que es vital reaccionar y reforzar la defensa y, al mismo tiempo, interponer la correspondiente denuncia. «Es el paso que nunca damos y para eso están la Guardia Civil, las fiscalías, etc. Hay que perder el miedo a que se sepa que hemos sido atacados. Sólo así lograremos avanzar más en seguridad conociendo como actúan lo ciberdelincuentes, y ponérselo más difícil a la hora de delinquir.»

Por eso, este experto recomienda encarecidamente avisar a las autoridades cuando hay incidentes graves. «Si podemos, atraparemos a los delincuentes. Pero, si no, podemos cambiar la ley para que la próxima vez sí seamos capaces de detener al delincuente», señalaba el jefe de la Guardia Civil.

Hand

De la misma opinión es Lorenzo Martínez, de Securizame. “Siempre hay que denunciar”, aunque las posibilidades de poder localizar al atacante puedan no ser certeras.

Durmiendo con tu enemigo

Aunque las empresas de juego online son uno de los casos que más ha visto este experto, Lorenzo Martínez asegura que los casos más difíciles –y que son más comunes de lo que se pueda pensar– son cuando el enemigo no está en países lejanos, sino que es un empleado. «Su conocimiento es mucho mayor e, incluso legalmente, son más difíciles de validar delante de un juez».

Los ataques vía ransomware están creciendo en popularidad

Además, este experto resalta que el problema a veces puede residir en un tercero. “El punto débil de mi empresa puede no estar en mí, sino en mi gestoría legal o contable, sobre todo si se ve atacada”. Algo que le pasó a El Corte Inglés en su mencionado incidente de seguridad.

E incluso en casos en los que tengamos un negocio sin presencia en Internet, “en cuanto nuestra dirección de correo electrónico esté en cualquier base de datos o agenda, todos podemos ser víctimas de un ataque”, explica Lorenzo Martínez.

Cuando nos dejan fuera de servicio

Muchos de los ataques que sufren las empresas son de Denegación de Servicio (DoS). “Debemos en esos casos hablar también con el ISP para que intente solucionar este problema, denunciar y, sobre todo, prevenir, especialmente si nuestro negocio depende de Internet”, explica Martínez. ¿Cómo? “Habría que tener varias localizaciones, tráfico limpios, caché en CDN diferentes, etc. También se pueden bloquear direcciones IP concretas…”.

Securizame Netmesis
Lorenzo Martínez, de Securizame, y Javier Horcajada, de Netmesis

Precisamente porque estas medidas no suelen estar al alcance de todos, Javier Horcajada, responsable técnico de Netmesis, recomienda siempre tener un plan director de seguridad y otro de contingencia en el que queden reflejados los pasos a seguir en caso de incidente.

Netmesis recomienda tener política de backups y realizar comprobaciones periódicas en los procesos de restauración

“El problema es que apenas hay concienciación de estos problemas de seguridad, especialmente entre las PYMES, que suelen ser reactivas y solo se preguntan qué hacer cuando el problema ya está”, sentencia Horcajada.

Equipo rojo y equipo azul

¿Cómo se preparan las grandes empresas para evitar estos ataques? Pues suelen contar con su propio CERT (Equipo de Respuesta ante Emergencias Informáticas) y dos equipos de trabajo: uno rojo (encargado de detectar posibles comportamientos anómalos y fallos de las máquinas y del software) y otro azul (que monitoriza, segura y arregla lo que el equipo rojo avisa).

Uno de los mayores peligros actuales, y que para Martínez sigue siendo un ataque de denegación de servicio, son los ransomware. “Si alguien cifra toda tu información y no tienes una copia de seguridad –o la tienes en unidades conectadas a la misma maquina-, es posible que el ransonware también acabe cifrando tu información y que estés fuera de servicio”.

Programming

Este tipo de malware fue el que, por ejemplo, impidió proseguir con la investigación de un caso judicial en el caso Matadero.

La recomendación de este experto de seguridad es guardar los ficheros que han sufrido este ataque. “Puede que ahora no tengas la llave para descifrar, pero dentro de unos meses sí”. Lo ideal es contar con una política de backups, y realizar procesos de restauración de forma periódica, para comprobar su integridad, según Netmesis.

¿Todo tiene un precio?

Cuando una empresa o persona es víctima de un cibersecuestro, los creadores del ransomware suelen pedir dinero a cambio de devolver los archivos. Sin embargo, los expertos en seguridad son partidarios de no pagar estos chantajes. «Tuve un caso hace un par de años en los que el cliente pagó, el ciberdelincuente envió un decrypter y pudo recuperar su información. Pero desde entonces no he vuelto a recomendar pagar por un incidente de este tipo. Si la evidencia está convenientemente preservada, intento primero recuperar la información cifrada con herramientas, así como mediante técnicas de recuperación de ficheros eliminados o mediante shadow copies», explica Martínez.

Para que estas herramientas funcionen, Martínez recomienda no tocar nada una vez que somos conscientes de que estamos siendo víctimas de un ataque.

En esos casos, los pasos a seguir son la denuncia, no tocar nada y llamar a un experto para intentar que te ayude. “Si hay un decrypter es mucho más fácil y se tarda relativamente poco”. También recomienda acudir a INCIBE, el CERT español, que tiene información y, quizá, una solución para nuestro problema.

Seguro de vida

Así pues, igual que en nuestra vida cotidiana contamos con diversos seguros para protegernos, con los datos de nuestra empresa, de nuestro negocio, debemos ser igual de vigilantes si queremos su supervivencia.

El primer paso sería realizar una consultoría sobre el estado de nuestra información. Además de este servicio, Netmesis nos puede orientar sobre cuáles son las medidas específicas que deberemos tomar en nuestro negocio, ya que, cuando hablamos de seguridad, las protecciones y soluciones suelen ser como un traje a medida.

Este análisis de la situación se elabora tanto desde el punto de vista interno (cuáles son los datos más sensibles, los puntos flacos de la estrategia…), como externo (comunicaciones con proveedores y clientes, almacenamiento de datos en terceros…). A partir de ahí, los expertos de Netmesis nos ayudarán a elaborar las políticas y procedimientos que mejoren la seguridad de nuestra información y, por tanto, nuestra propia supervivencia.

Incluso en el caso de que les contactemos cuando ya hemos sido víctimas de un ataque, su análisis forense y su experiencia en casos similares pueden ser nuestro colchón salvavidas para mantener el negocio a flote.

Fuente: Xataka


Publicado

en

por