El CSIC está desconectado: radiografía de un ‘ransomware’, el ciberataque que todos temen

Las alarmas saltaron esta semana. Dos investigadores del Consejo Superior de Investigaciones Científicas (CSIC) se quejaron en las redes sociales de que llevaban días sin acceso a internet. Uno de ellos pidió en una carta a la directora de EL PAÍS publicada este martes el restablecimiento inmediato de los sistemas para que los proyectos en curso no se retrasaran. Ese mismo día, el Ministerio de Ciencia e Innovación difundió un comunicado en el que reconocía que el organismo sufrió un ciberataque del tipo ransomware el 16 y 17 de julio, similar al que ha afectado este mes también a la red de institutos de investigación Max Planck o a la NASA. El Centro Criptológico Nacional (CCN), el organismo del CNI encargado de velar por la ciberseguridad de las instituciones públicas, activó el 18 de julio, según asegura el Ministerio, un protocolo que implicaba desconectar todos los sistemas del CSIC para evitar la propagación del software malicioso.

“Hasta la fecha, no se ha detectado pérdida de información sensible o confidencial”, dijo también Ciencia. Y señaló que la investigación sitúa el origen del ciberataque en Rusia, algo que diversas fuentes consultadas por este periódico consideran prematuro aventurar. Porque una de las características básicas de los ataques cibernéticos, lo que los hace tan atractivos para los delincuentes, es la facilidad de enmascarar su origen. La ministra de Defensa, Margarita Robles, insistió el miércoles en que la amenaza era atribuible a los rusos.

El ransomware es desde hace unos años el recurso preferido de los ciberdelincuentes. Se trata de un tipo de ciberataque que encripta los datos de un sistema para luego solicitar un rescate a cambio de liberarlos. La recomendación de las autoridades es no pagar, pero muchos lo hacen. Quienes ceden al chantaje suelen tratar de que no trascienda, pero aún así ha habido casos sonados. Entre los más recientes está el del Colonial Pipeline, uno de los mayores oleoductos de EE UU. Tras sufrir un ransomware que paralizó sus actividades, las autoridades decidieron pagar los cinco millones de dólares que se le exigían para liberar sus sistemas y poder restablecer el servicio.

La investigación sobre lo que ha sucedido en el CSIC sigue en curso, y por tanto impera el hermetismo sobre las particularidades del caso. Sin embargo, la situación que atraviesa el organismo le es familiar a decenas de empresas españolas. El ransomware vive un momento álgido, impulsado más si cabe por la invasión de Rusia a Ucrania. Según datos de Check Point, en el segundo trimestre de 2022 los ciberataques globales aumentaron un 32% en comparación con el mismo periodo de 2021. La media de ataques semanales por organización en todo el mundo alcanzó las 1.200 amenazas, un pico histórico. El CSIC dice recibir unos 260.000 intentos de intrusión diarios.

¿Cómo opera exactamente este tipo de virus informático? ¿Qué se puede hacer para contrarrestarlo? ¿Hay alternativa al pago del rescate? EL PAÍS reconstruye con ayuda de expertos en ciberseguridad qué se encuentran quienes caen presa de un ransomware.

1. Infección: todo funciona aparentemente bien

La primera fase del proceso pasa totalmente inadvertida para la víctima. El ciberdelincuente busca la forma de acceder al sistema que quiere atacar. La vía de entrada más frecuente es el phishing, o las técnicas de engaño mediante las cuales se consigue que la víctima comparta contraseñas u otros tipos de información confidencial de utilidad. Por ejemplo, haciéndose pasar por un banco o proveedor y solicitando credenciales. Otras maneras de colocar el software malicioso en el ordenador objetivo es disfrazarlo de otro programa para que el propio usuario lo descargue (una actualización falsa) o explotar vulnerabilidades del sistema operativo de la víctima.

“He trabajado durante muchos años con la Administración y te sorprenderías de ver lo común que es aún hoy encontrarte con Windows 2000 o Windows XP”, explica un analista que prefiere mantenerse en el anonimato. Estos sistemas operativos, para los que Microsoft ya no publica actualizaciones, fueron la puerta de entrada del ransomware WannaCry, uno de los más devastadores de la historia, que en 2017 infectó a centenares de miles de equipos de 150 países.

Una vez el ciberdelincuente consigue entrar en un equipo de la organización a la que ataca, tiene dos objetivos principales. Primero, conseguir permisos de administrador para lograr el control de todo el sistema. Segundo, extender el malware, o software malicioso, lo máximo posible para llegar a cuantos más dispositivos mejor. Cuando asuma el control de varios o todos los equipos, puede cifrarlos y pedir el rescate. O ir un paso más allá y extraer primero datos de interés para luego amenazar a la víctima con su publicación (esta modalidad se conoce como ransomware de doble extorsión).

Sorprendentemente, no hace falta mucha gente para orquestar ataques de este tipo. “Es mucho más sencillo de lo que parece. A menudo solo hay una persona detrás de un ciberataque potente. Incluso se venden en la dark web [redes y tecnologías que tratan de preservar el anonimato de sus usuarios] aplicaciones para desarrollar ransomware a precios bastante asequibles”, apunta Marco Lozano, responsable de Ciberseguridad para Empresas del Instituto Nacional de Ciberseguridad (Incibe). Dependiente del Ministerio de Asuntos Económicos y Transformación Digital, el Incibe es el organismo que presta apoyo a las empresas privadas y los particulares que sufren ciberataques (las entidades públicas son competencia del CCN).

Al ejecutar el ransomware, se empiezan a encriptar los ficheros. “Cuanto más sofisticados son los atacantes, más daño tratan de hacer. Normalmente van a tratar de encriptar los archivos compartidos internamente en la red de la organización, no solo el hardware del ordenador infectado”, ilustra Gergely Revay, ingeniero de sistemas de la división de investigación e inteligencia de amenazas de Fortinet, una desarrolladora estadounidense de software de ciberseguridad. “También buscan las copias de seguridad, que es la mejor protección contra un ransomware, para encriptarlas y anularlas”, añade.

2. Detección: no puedo abrir el archivo

Nada saben las víctimas de lo que se cuece en sus ordenadores. Hasta que un buen día ven que no pueden abrir un archivo. Esa es la forma más común de darse cuenta de que algo falla. Es habitual que aparezca una nota de secuestro en la que se expongan las instrucciones para pagar el rescate. “Normalmente son archivos de texto que se abren automáticamente si intentas acceder a cualquier carpeta de la máquina. Otros cibercriminales apuestan por cambiar el fondo de pantalla para que sea todavía más evidente”, detalla Revay.

Hay más signos que pueden hacer saltar las alarmas. Por ejemplo, que se deshabiliten herramientas de seguridad o copias de seguridad. También es sospechoso que aparezcan cuentas de administrador que no existían. “En ocasiones pasan varios meses hasta que el ciberataque da señales de su presencia”, indica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. No es lo mismo atacar una compañía de 400 empleados que otra de 400.000. Cuanto más sofisticado sea el ataque y mayor la presa, más tiempo pueden demorarse los preparativos, en tanto que los equipos de ciberseguridad de sus víctimas serán también mayores.

En la nota de secuestro los atacantes suelen aportar alguna forma de contactar con ellos. “Puede ser una dirección en TOR [un sistema de comunicaciones enrutadas que protege la identidad de los usuarios] o en la dark web, de manera que puedas escribir directamente en un chat para negociar el precio, que es más bajo cuanto antes se paga. A medida que pasan los días, se incrementa. Si pagas, con suerte se te liberará el sistema”, incide Revay.

3. Reacción: ¿pago o no pago?

La recomendación de autoridades y expertos es no pagar. Entre otras cosas, porque no hay garantía alguna de que tras hacerlo se vaya a recibir efectivamente la clave del cifrado para recuperar los sistemas (no hay que olvidar que se está tratando con criminales). Pero muchos acaban haciéndolo. “Yo he ayudado a varias empresas a gestionar el abono del rescate”, cuenta Deepak Daswani, hacker y consultor de ciberseguridad. “Suelen pedirlo en bitcoins. La cantidad varía en función del tamaño de la empresa. Si te piden 5.000 euros igual prefieres pagar para olvidarte del asunto. Es cierto que ahora hay más conocimiento de las criptomonedas, pero el ransomware lleva activo desde 2013 y entonces casi nadie sabía cómo operar con ellas”, señala.

¿Qué pueden hacer quienes deciden no ceder al chantaje? “Hay dos tipos de empresas: las que tienen planes de contingencia, alguna política de seguridad que les permita restaurar la actividad frente a posibles incidentes, y las que no tienen plan B. Las segundas son las que más nos preocupan”, subraya Lozano, del Incibe.

Los planes de respuesta tienen su propio manual. El CCN está siguiendo el suyo para resolver la incidencia del CSIC. La teoría marca una serie de etapas en la actuación: contención, identificación, mitigación del incidente, recuperación y análisis postincidente. Parte del trabajo puede realizarse de forma remota, pero lo normal es que los técnicos acudan a revisar los equipos atacados y se coordinen con el personal de la compañía u organización atacada.

“Todo dependerá de en qué punto del proceso hayas descubierto el ataque”, resume Revay, de Fortinet. “Si se ha hecho de forma temprana, sin que se haya producido todavía destrucción ni extracción de datos, lo primero es tratar de identificar al paciente cero, qué máquina fue infectada en primer lugar y cuáles les han seguido. Y luego analizar qué parte del sistema está comprometido”, explica. Este parece ser el estadio en el que se encuentra el CSIC.

“En caso de que tus datos hayan empezado a ser encriptados, la situación es distinta: tu jugada es tratar de restablecer los sistemas lo antes posible. Por eso es crucial tener copias de seguridad y saber protegerlas. Paralelamente hay que investigar cómo han logrado meterse en los sistemas y restablecer el control, que no tengan poderes de administrador”, continúa Revay.

Tener copias de seguridad híbridas, que alojan la información en servidores externos y en memorias extraíbles desconectadas, es a día de hoy la mejor garantía para soportar un ataque de ransomware. También hay herramientas avanzadas capaces de inferir comportamientos anómalos del sistema operativo, como el que surge cuando se inicia un proceso de cifrado. Ayudan a ganar tiempo y adelantarse al cibercriminal.

4. Desenlace: recuperar los sistemas o empezar de cero

Pero hay ataques tan sofisticados que no tienen solución. “Hay ocasiones en las que hay que montar una red nueva. Cuando los ciberdelincuentes se han metido tanto en la red que es imposible restablecerla y es mejor empezar de cero”, reconoce un experto en ciberseguridad que no quiere dar su nombre. Un reciente informe de Google destaca que hay empresas que se ven abocadas a cerrar al no recuperarse de un ciberataque que les haga perder sus bases de datos claves.

Si, por el contrario, se consigue controlar la situación, toca depurar máquina tras máquina y, una vez no quede rastro del malware, el sistema puede volver al funcionamiento habitual. Empieza entonces la fase de análisis de lo ocurrido, cuyo objetivo es tomar medidas para que no vuelva a suceder. También se trata de conocer la autoría del ataque. “En función del tipo de ransomware, del diseño de las campañas y de las herramientas que se utilizan, podemos tener una idea preliminar del origen geográfico del ataque, pero determinar con precisión si hay una organización detrás o un individuo concreto es una misión que en muchas ocasiones es imposible”, puntualiza Nieva, de Check Point.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.