Ataque a una megacorporación, robo de datos, negociación por un rescate millonario y filtración masiva de datos de los usuarios.
Lejos de ser la trama de una serie del estilo de Mr. Robot o Black Mirror, este breve guión forma parte de la vida real y relata lo sucedido con Cencosud, en una de sus semanas más fatídicas.
El grupo que tiene bajo su paraguas a Jumbo, Easy, Disco, Vea y Blainstein sufrió hace algunas semanas un masivo ataque de ramsonware por parte de un grupo de cibercriminales.
Este modus operandi consiste en el "secuestro" y pedido de rescate por información sensible para la empresa: en este caso, más de 38 GB de datos de sus clientes en la Argentina, Chile, Paraguay y Colombia.
El rescate solicitado por los ciberdelincuentes inicialmente era de un pago de u$s70 millones, que luego se redujo a u$s4 millones. Pero la empresa decidió no pagar.
El ataque había sido perpetrado a través de un ramsonware conocido como Egregor, capaz de ingresar a través de aplicaciones de escritorio remoto, que registraron un uso masivo en el último año por parte de los empleados que comenzaron a hacer home office.
"La empresa se desentendió del ataque y hasta hubo importantes medios de comunicación que han querido generar confusión alrededor del tema y negaron que el robo de datos haya sido cierto", afirma el abogado especializado en ciberdelitos, Daniel Monastersky, en diálogo exclusivo con iProUP.
Además, agrega que: "No hay casos de acciones colectivas por temas vinculados a fuga de información vinculada con datos personales o de tarjetas de crédito de sus titulares. La Dirección de Protección de Datos de la Argentina debería iniciar una investigación de oficio".
¿Pero qué significa para los usuarios que son clientes de alguna de las marcas del grupo? Sebastián Stranieri, CEO y fundador de la empresa de ciberseguridad VU Security, señala a iProUP que esta información "dejó de ser privada", ya no está en propiedad ni de la empresa ni de los usuarios.
"Son datos a los que ahora cualquiera puede acceder. La empresa tiene que al menos emitir alguna alarma a los usuarios para que modifiquen los que puedan. No solo pasa en el ataque de Cencosud, sino en cualquier otro en el que hay un robo de identidad y se genera este nivel de exposición", enfatiza el especialista.
Por otro lado, si la compañía pagaba dicho rescate podría marcar un precedente, el cual podría ser usado por otros hackers, ya que sería una forma de recompensar estas prácticas.
"Si uno paga un ransomware no te asegura que la información comprometida no sea divulgada. Si abonaste una vez, saben que tenés voluntad de hacerlo y pueden exigir más dinero. Nunca se recomienda pagar un rescate, es una decisión muy sensible para el negocio por el impacto que puede tener también en la reputación de la compañía", señala Monastersky.
Más allá del caso de Cencosud, existe un riesgo real para todas las organizaciones, especialmente para aquellas que manipulan un gran caudal de información sensible. Con un año complejo ya en el pasado, en el horizonte del 2021 ya se vislumbran todo tipo de amenazas para empresas y usuarios.
En riesgo
En 2020, especialmente a partir del segundo semestre, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) detectó una serie de casos de ransomware que afectaron a grandes entidades públicas y privadas, que tuvieron la particularidad de no sólo impedir el acceso a determinados sistemas o procesos sino también la de tomar control de datos que luego eran difundidos.
"Si lo filtrado por los atacantes incluye información personal de clientes de la empresa, pueden luego ser usados en contra de sus titulares. Especialmente en casos de datos de tarjetas de crédito y/o fotografías de documentos de identidad", advierte a iProUP Horacio Azzolin, fiscal en cibercrimen de la Procuración General de la Nación.
Y agrega: "Los titulares de esos datos deberían ser notificados urgentemente para que tomen sus recaudos (renovando sus documentos o dando de baja las tarjetas), pero lamentablemente ese aviso no es obligatorio en nuestro país, tal como sucede en otras partes del mundo. Y, uno intuye, las empresas no lo van a hacer en forma voluntaria por temor a la mala publicidad".
Por su parte, Stranieri asegura que la mayor amenaza que hay en torno a ciberseguridad y la filtración masiva de datos tiene que ver con la creación de identidades falsas que los delincuentes aprovechan para planificar nuevos fraudes.
"Si se suma la información robada de Cencosud a la de otras empresas, se cruzan y se forman nuevos perfiles de usuarios para realizar ilícitos", comenta el CEO de VU Security.
En este sentido, hay que destacar que el secuestro de información es uno de los ciberdelitos más habituales y dañinos del mundo digital. Según datos de VU Labs proporcionados a iProUP, fue el ransonware fue la segunda más frecuente el año pasado (30%), sólo superado por el phishing.
Según los expertos, las empresas deberían estar obligadas a notificar a los usuarios afectados
Denise Giusto, Investigadora del Laboratorio de ESET Latinoamérica, afirma a iProUP: "Los ataques a corporaciones suelen ser dirigidos, constan de campañas que se extienden en el tiempo, son más sigilosas y buscan recabar la mayor cantidad de información, afectar sistemas de forma prolongada o incluso hacer monitoreo de lo que pasa en el interior de los sistemas de las víctimas".
En esta línea, la especialista remarca que para llegar a comprometer un equipo, una de las técnicas utilizadas por los atacantes es la ingeniería social: engaños que buscan que el usuario ceda su información o instale malware de manera voluntaria, sin darse cuenta de que lo que realmente está ocurriendo.
"Otra herramienta en el arsenal de los cibercriminales es la explotación de vulnerabilidades, tanto en sistemas operativos como en aplicaciones. Les abren la puerta para comprometer servicios y datos de los usuarios mediante la ejecución de código malicioso", completa.
De acuerdo con los especialistas, el primer paso para evitar este tipo de ataques consiste en que las empresas mejoren los sistemas informáticos para que sean menos vulnerables, como así también generar capacitaciones para los empleados y estar al día con las actualizaciones de software.
Además, Azzolin asegura que es necesario aumentar los controles por parte de la autoridad de protección de datos personales, "sancionar a las empresas que no conserven la información de sus clientes de modo adecuado" y mejorar las normas para que la notificación al usuario sobre la filtración de datos sea obligatoria.
Pare de sufrir
Cencosud no fue la primera compañía en sufrir un ataque de este estilo ni será la última. Con su reputación golpeada, deberá recobrar la confianza de sus clientes e indudablemente reforzar sus medidas de seguridad.
Ricardo Villadiego, fundador y CEO de Lumu Technologies explica a iProUP que "según el último informe publicado por Gartner, el análisis de la preparación del ransomware de los clientes muestra que más del 90% de estos ataques se pueden evitar".
Actualizar los sistemas y capacitar al personal, claves para protegerse ante ataques
"Sin embargo, cada día más organizaciones no logran detenerlos y la mayoría ocurre por fallas humanas", advierte. En este sentido, la compañía revela los cinco errores más comunes que cometen las organizaciones al momento de controlar los ataques de ransomware y cómo evitarlos:
-
Creer que una copia de seguridad es suficiente: la mejor estrategia es prevenir el ataque antes de que cause un daño real. Si el ciberdelincuente está solicitando un rescate, ya es demasiado tarde. El consejo que ofrece la mayoría de los expertos es asegurarse de respaldar la información periódicamente
-
No rastrear las señales: es posible aprovechar los metadatos de la red para detectar rastros del adversario y detener el ransomware antes de que se produzca un daño real. Si se espera a que aparezca la evidencia, será demasiado tarde
-
Suponer que la organización no es un objetivo: ninguna industria es inmune: diferentes informes confirman el aumento de ataques en sectores como producción, gobierno, salud, agricultura e incluso los servicios religiosos
-
Solo monitorear los activos críticos: suele pensarse que los agresores únicamente se enfocan en los sistemas cruciales de las empresas. La realidad indica que esto rara vez sucede y que la mayoría de las veces el ataque comienza con un simple correo electrónico que contiene un enlace o archivo ejecutable
-
Pensar que las evaluaciones de vulnerabilidad son suficientes: las pruebas de penetración para probar la seguridad de la red por sí solas no alcanzan para impedir el ransomware. El primer problema es que parten de una falsa hipótesis: el sistema es seguro y lo que realmente sucede es que al momento de hacer pruebas no se sabe si el adversario ya está dentro
"El ransomware no es una fuerza de la naturaleza, es algo que en la mayoría de los casos podemos evitar y prevenir. La clave de estos ataques es acortar los tiempos de detección, y así, minimizar los impactos", concluye el CEO de Lumu.