La próxima evolución de ataques: en busca de los beneficios económicos

“Todos tus ficheros han sido cifrados debido a un problema de seguridad en tu PC. Si quieres restaurarlos, escríbenos un correo en menos de 24 horas y, tras abonar 4 bitcoins, te enviaremos la clave para descifrarlos”.

¿Te resulta familiar? Estos ejemplos de escenarios de ataque pueden parecer a priori inverosímiles, pero la realidad es que muchas compañías ya han sido víctimas de este particular tipo de cibercrimen. Cada día son más las ciberamenazas que aparecen e impactan en las organizaciones independientemente de su sector de actividad, tamaño o nivel de preparación para enfrentarse a ellas. La extorsión digital es una de estas amenazas y, de forma similar a un chantaje, suele apoyarse en el uso de la violencia o la intimidación (aplicada a través de medios informáticos) para que la víctima realice un acto en perjuicio propio o ajeno. A diferencia de una extorsión en la vida real, en la ciberextorsión no hay contacto entre el infractor y la víctima más allá de las redes.

La extorsión digital comenzó a principios de siglo con ataques de denegación de servicio, los famosos DoS, pero desde entonces han evolucionado notablemente. En 2017, la ciberextorsión fue el modus operandi más importante y exitoso de los cibercriminales, y este dato puede corroborarse con ejemplos sonados de ransomware como el estallido de Wannacry, EREBUS o PETYA. Es normal porque se trata de una técnica barata, “sencilla” de acometer, y en muchas ocasiones la víctima termina pagando. Aunque lo más sonado hoy en día sea el ransomware, donde hemos presenciado hasta 300 nuevas familias en el último año, predecimos que no será la única técnica empleada para la ciberextorsión.

Otro tipo de ataque, cada vez más frecuente y peligroso, son las campañas de desinformación con objetivos desestabilizadores contra compañías o incluso celebridades. Son las llamadas fake news de las que incluso los gobiernos comienzan a preocuparse:

“Se necesitan 20 años para construir una reputación y cinco minutos para arruinarla. Si usted piensa acerca de eso, va a hacer cosas de manera diferente” (Warren Buffett)

Si la opinión del cliente y su imagen de marca  son claves para el éxito de cualquier empresa, los atacantes pueden recurrir a generar “ruido” para dañar la reputación de una compañía en cuestión de minutos y a golpe de clic, y parar solo cuando la víctima pague el rescate solicitado. Llegado ese momento el daño está hecho y recuperar la imagen y la confianza de clientes y consumidores puede llevar incluso años.

Los cibercriminales han hecho un movimiento definitivo hacia la extorsión de las organizaciones, rediseñando y dirigiendo sus ataques hacia un mayor retorno económico. Varios estudios señalan que, con la entrada en vigor de la GDPR, los criminales comenzarán a chantajear a las compañías calculando inicialmente la posible sanción por incumplimiento de la normativa europea de privacidad, para posteriormente demandar un rescate por un importe ligeramente inferior a dicha sanción.

Aun así, pagar el rescate solicitado por un atacante no es garantía de éxito. Nadie te garantiza que no vaya a solicitar más dinero, o que irremediablemente se vaya a filtrar la información a la que se ha accedido de forma ilícita

En Octubre de 2016, Uber sufrió y ocultó un ciberataque que expuso los datos de 57 millones de usuarios y conductores, pagando 100.000 dólares estadounidenses a los ciberdelincuentes para que eliminaran la información. Un año más tarde la compañía decidió hacer público el incidente…Demasiado tarde.

A pesar del pesimismo que rodea escenarios como los descritos con anterioridad, siempre existen medidas que permiten reducir la probabilidad o el impacto del ataque. El estudio y preparación de posibles escenarios de extorsión con los correspondientes ejercicios de toma de decisiones, medidas técnicas de seguridad (copias de seguridad, protección de redes, infraestructuras y aplicaciones, etc.), o formación en la materia, son solo algunos ejemplos. Desde luego, no existe una fórmula mágica contra los ciberataques, sino una batería de medidas de prevención, detección y respuesta que, en conjunto, hacen a las compañías estar más y mejor preparadas.

Llegados a este punto, no debemos olvidarnos que en ocasiones la estrategia de gestión del “ciber-riesgo” de las compañías puede basarse parcialmente en la transferencia del mismo, ya que nadie puede garantizar al 100% la seguridad, y en este sentido destaca la proliferación de los seguros ante riesgos cibernéticos o ciberseguros. Estos productos, ya maduros, parten de la asunción que la ciberseguridad no es solo una cuestión tecnológica, de modo que contemplan las coberturas tradicionales que se esperan de un producto asegurador e incluyen servicios de respuesta a incidentes, no sólo en aspectos técnicos sino que legales y en reputación una serie de condiciones y coberturas adicionales que, aparte de la primera respuesta tecnológica en caso de siniestro, contemplan adicionalmente aspectos legales, operativos o incluso reputacionales.

Teniendo en cuenta que la tipología de ciberataques es extraordinariamente variada (y consecuentemente el impacto también), y que apenas existen datos estadísticos de siniestros tecnológicos, el desafío para estas entidades aseguradoras radica en evaluar la exposición al riesgo y el potencial daño que un siniestro puede ocasionar en sus clientes, así como en definir en términos económicos dicha exposición.

De hecho en incidentes cibernéticos, la reputación es más importante de lo que pensamos. Como curiosidad, y sobre todo a nivel individual, siempre está la opción de que la víctima haga que el material que posee el extorsionador (fotos, vídeos, etc.) pierda valor. En este sentido, la cantante australiana Sia ha tenido la mejor solución para afrontar una extorsión frente a la potencial venta de sus desnudos sin su consentimiento: cuando se enteró de que alguien quería lucrarse con ellos, rastreó la foto y decidió publicarla en su cuenta de Twitter. Original, pero no siempre es tan “sencillo”.

En Hiscox contamos con un seguro cibernético para empresas, ¿quieres ampliar la información?

Ampliar información