Una empresa de Rent a Car. Una Clínica de Cirugía Estética. Una Asesoría Fiscal y Laboral. Una cadena de Restaurantes. Un Centro Médico. Una cadena de Tiendas de Ropa. Una empresa de Reformas y Construcción… 

Estos son casos reales de empresas PYMES Canarias que se han puesto en contacto con nuestro despacho en los últimos cinco meses por haber sido afectados por el último “mal” aparecido que afecta a cualquier ordenador con conexión a Internet.

¿Qué ha pasado? Pero si hace un segundo todo iba bien y de repente han dejado de funcionar los ordenadores… ¿Cómo es que lo hemos perdido todo? Todos los documentos de mi empresa ¿cifrados? ¿Cómo ha ocurrido? ¿Es el fin, tengo que cerrar las puertas de mi negocio o hay alguna esperanza?

Son preguntas recurrentes en los clientes afectados. Ese mal del que hablamos es el denominado Ransomware.

Cuando oímos la palabra Ransomware en los medios de comunicación automa ticamente se nos viene a la cabeza que eso no nos va a pasar a nosotros.

  • Nosotros somos “una empresa pequeña eso sólo ataca a las grandes empresas ”.
  • ¿A quién le va a importar mis datos si soy un “currante ”  que trabaja de Sol a Sol?
  • No; no se van a molestar en atacarme a mí ; seguro que no les es rentable.

Recuerdo un cliente que me hizo esa pregunta/reflexión tan pronto se dio cuenta de que se había quedado sin información en su empresa porque estaba toda cifrada… No se podía creer que su ruina viniera de un aparente inofensivo archivo de Office que abrió un empleado suyo. Una milésima de segundo ma s tarde, el apocalipsis en su empresa y el principio de su pesadilla. Triste pero es la cruda realidad.

NoEl Ransomware no sólo  afecta a grandes empresas. EL Ransomware no sabe ni le importa el tamaño de su víctima. Sólo sabe que si tiene información digital es un posible objetivo. Lo que sí podemos afirmar es que su impacto en las PYMES es infinitamente mayor que en una Gran Empresa, pues carece (como normal general) de grandes partidas presupuestarias para protegerse contra las cyberamenazas, pero en cambio la criticidad de la información para poder continuar con su negocio es igual o mayor.

La importancia de la información no se mide en la cifra de negocios de la empresa sino por lo importante o crítica que es para poder desempeñar su actividad profesional (continuidad de negocio). Una reflexión: ¿Es ma s importante esa hoja de ca lculo con los cobros a clientes a realizar por parte de la empresa de reformas de su barrio o la de una empresa de Telefonía Móvil del Ibex-35? Para el dueño del negocio es igual de importante. Si no cobra se produce una quiebra. De ahí que el Ransomware no sepa de tamaños de empresas.

 En el año  2016 el 22% de la PYMES afectadas por Ransomware tuvieron que cesar su actividad pues el impacto tenía tal gravedad que era inviable la continuidad de negocio ( estudio realizado por Osterman Research y patrocinado por Malwarebytes).

¿Qué es el Ransomware?

El Ransomware (Ransom = Rescate, Ware= Software) es  un software malicioso que al infectar nuestro ordenador encripta (cifra) nuestros archivos  haciéndolos ilegibles (inutilizables) en unos casos o ataca al MBR  (registro de arranque maestro) y al MFT (tabla maestra de archivos) del disco duro (resumidamente “destroza” el arranque del disco duro imposibilitando el acceso a la información que almacena).

Como norma general el virus lanza entonces una ventana emergente en la que informa que hemos sido afectados por ellos y nos exige el pago de un rescate con un contador de tiempo que va decreciendo como medida de presión. El pago se hace generalmente en moneda virtual (bitcoins por ejemplo) para evitar el rastreo del pago. Al llegar a cero el contador, la clave de descifrado que estaba almacenada en los servidores remotos de los cibercriminales es destruida para imposibilitar el descifrado de la información.

Hoy por hoy es un negocio rentable… Muy rentable.

Hagamos, a grandes rasgos, un ana lisis del modelo de este nuevo negocio.

  1. Mano de obra: Coste bajo de la programación del Ransomware (en muchos casos no se desarrolla nada, simplemente se compra el código fuente del Ransomware en el mercado negro de la DeepWeb de la que ya hablaremos en artículos venideros).
  2. Canales de distribución: Coste de compra de direcciones de emails de empresas objetivos (también en disponible en la DeepWeb a precios muy asequibles).
  3. Estrategia de venta: Tiempo para pensar en cómo redactar un correo haciéndome pasar por algún organismo público, empresa privada para un usuario abra un fichero adjunto al correo…. 
  4. Facturación: Y listo!!!! A esperar a que recibas el correo electrónico, a que “piques” abriendo el fichero adjunto y… empezar a ganar $$$. Y todo desde el sofa de tu casa o tumbado en la arena de la playa… 

Es un negocio sin fronteras y con una cartera de potenciales clientes infinita.

Impacto del Ransomware WannaCry en Mayo de 2017

El FBI calcula que los cibercriminales han podido hacerse con hasta 1.000 millones de dólares a lo largo del 2016. Cifras que nos haría pensar en la posibilidad de embarcarnos en este negocio si obviamos ese pequeño gran detalle de que es un delito penal… Observemos el siguiente gra fico. Hasta el año 2015 la variedad de Ransomware existente era casi insignificante. En el 2016 y sobre todo en este 2017 las amenazas que sufren las empresas por nuevos Ransomware han crecido exponencialmente convirtiéndose en el principal tipo de ataques informa ticos que sufren las empresas.

Tras esta introducción al Ransomware y un primer ana lisis de este problema, continuaremos en el próximo artículo explicando cómo se realizan estos ataques informa ticos y cómo podemos evitarlos.

FUENTE: Escrito por Amador Pérez Trujillo el Martes, 07 Noviembre 2017.

INFORMÁTICA FORENSE COLOMBIA
error: Content is protected !!