La noticia del derribo de Emotet dio la vuelta al mundo a principios de año. Pero en lugar de alivio, ahora se está extendiendo la preocupación de que el malware sólo marca el comienzo de una nueva serie de ataques conocidos como Ransomware as a Service (RaaS).
Emotet ha infectado numerosas redes de particulares, empresas, autoridades e instituciones desde su aparición inicial en 2014. Sólo en Alemania, por ejemplo, se vieron afectados el hospital de Fürstenfeld (Baviera), el Tribunal de Apelación de Berlín, la Universidad de Gießen y la ciudad de Fráncfort del Meno. En principio, podemos suponer que el número de casos no denunciados de organizaciones que han sido víctimas de un ciberataque -ya sea por Emotet u otro malware- es mucho mayor de lo que sugieren las estadísticas publicadas. Por miedo al daño a la reputación, muchas empresas son reacias a informar de un ataque.
¿Tienen que prepararse ahora las empresas para la era RaaS?
Según expertos en seguridad como la Oficina Federal de Policía Criminal, Emotet fue el malware más peligroso registrado en todo el mundo hasta la fecha. Esto se debe, por un lado, a que Emotet pudo operar de forma encubierta durante un largo periodo de tiempo con la ayuda de sofisticadas técnicas de evasión, y por otro lado -y aquí es donde se vuelve especialmente precario- al hecho de que los accesos corporativos secuestrados fueron vendidos a terceros en la Darknet como Ransomware as a Service. Este método de ciberdelincuencia también se denomina "malware como servicio" o "ciberdelincuencia como servicio". Pero, independientemente de la terminología, Emotet representa el nacimiento de un nuevo modelo de servicio del que las empresas deberían armarse para defenderse. RaaS actúa como una especie de puerta de entrada a los sistemas informáticos y puede ser adquirida por cualquiera que esté dispuesto a pagar el precio. Así, incluso los delincuentes "amateurs" sin conocimientos profundos de programación tienen la oportunidad de iniciar campañas de chantaje. Para quienes están detrás, este negocio no sólo es lucrativo, sino que al mismo tiempo asumen un menor riesgo porque el propio chantaje proviene de otros delincuentes.
Los servicios cibernéticos conquistan la darknet
La darknet es una especie de salvaje oeste no regulado de Internet y un mercado para el intercambio de bienes y servicios ilegales. Con la ayuda de las tecnologías de anonimización y las monedas digitales, el comercio puede realizarse aquí a escala mundial y las autoridades policiales a menudo sólo pueden seguir esta actividad de forma limitada. El comercio de RaaS tampoco parece haber llegado a su fin con el desmantelamiento de Emotet. Todo lo contrario: los informáticos ya han identificado los primeros modelos de reciclaje de la infraestructura de Emotet. Por ejemplo, el malware DarkSide y TrickBot ya han aparecido en el radar. Al igual que Emotet, ambas amenazas funcionan según el principio RaaS. En estos casos, las personas que están detrás de las amenazas llegan no sólo a cifrar los archivos de los sistemas infectados, sino que también amenazan a las víctimas con revelar secretos de la empresa si no pagan. Esta forma de chantaje no es básicamente un fenómeno nuevo, pero los expertos temen que estos casos se produzcan con más frecuencia en el futuro, entre otras cosas por las nuevas posibilidades que ofrece el RaaS.
Las amenazas à la Emotet, DarkSide o TrickBot pueden detenerse, en el mejor de los casos, con delicadeza y paciencia, pero como ocurre con cualquier otro desarrollo tecnológico, los actores hostiles se basan en los códigos y métodos ya existentes. Esto significa que en el futuro seguirán apareciendo nuevos métodos de ataque con formas cada vez más profesionales. El ransomware también se volverá más complejo y más difícil de detectar.
El ransomware: una amenaza creciente para las empresas de todos los tamaños
Las empresas no deben subestimar el riesgo de que algún día sean víctimas de un ataque de ransomware del calibre del propio Emotet. Según un estudio realizado por el proveedor de seguridad Sophos, el 47%, es decir, casi la mitad de las pequeñas empresas encuestadas (100-1000 empleados), se vieron afectadas por un incidente de ransomware el año pasado. En el caso de las empresas más grandes (1001-5000 empleados), fue incluso un poco más de la mitad, el 54%. Un tercio de las empresas afectadas necesitó una semana o más para restaurar sus datos secuestrados. Los costes asociados a esta interrupción de la actividad pueden ser inmensos.
¿Qué pueden hacer las empresas para protegerse?
Para prevenir los ataques de ransomware, hay una serie de formas que los profesionales de TI de las empresas deberían tener en cuenta, como
- hacer una copia de seguridad de los datos críticos con una copia de seguridad segura en la nube o una solución offline,
- mejorar la formación en ciberseguridad de los empleados,
- actualizar los sistemas operativos y las aplicaciones con regularidad,
- instalar los últimos parches de seguridad y
- utilizar protocolos encriptados como SSL siempre que sea posible.
- instalar los últimos parches de seguridad y
Además, las empresas deben estar preparadas para el hecho de que un ciberataque puede ocurrir cualquier día y a cualquier hora. Por lo tanto, tiene sentido complementar el equipo de seguridad interno con la Detección y Respuesta Gestionada (MDR). Con MDR, la red de la empresa es supervisada las 24 horas del día por expertos externos que pueden identificar y limitar inmediatamente los posibles daños. Este sistema de alerta temprana, activo las veinticuatro horas del día, también es importante desde el punto de vista de que las encriptaciones y los bloqueos del sistema son extremadamente difíciles de deshacer una vez que se han activado.
Debemos asumir que nuevas amenazas seguirán esperándonos en el futuro, especialmente porque modelos como RaaS están en circulación. Porque a los profesionales de la ciberdelincuencia se suman ahora los pequeños delincuentes digitales en la escena de la extorsión. La automatización y el aprendizaje automático también están creando constantemente nuevas y mejores variantes de métodos de ataque como el phishing o la ingeniería social. En consecuencia, es imperativo que las empresas garanticen sistemas y procesos de seguridad eficaces, y es indispensable echar un vistazo a las soluciones de seguridad modernas, como el MDR.
Acerca del autor: Moritz Mann es director de estrategia de Open Systems. Estudió en la Universidad Estatal Cooperativa de Baden-Wuerttemberg (DHBW), así como en Londres, y es licenciado en Informática Empresarial y Administración de Empresas.