Ransomware como herramienta de desestabilización geopolítica

Por: Laura González, investigadora del Departamento de Derecho de las Telecomunicaciones

El pasado 21 de septiembre, el Departamento de Derecho de las Telecomunicaciones llevó a cabo el evento “Ransomware como herramienta de desestabilización geopolítica”, que estuvo a cargo de Jeimy J. Cano M., Ph.D, Ed.D., CFE, CICA. Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes. Especialista en Derecho Disciplinario por la Universidad Externado de Colombia. Ph.D en Business Administration por Newport University,CA. USA, y Ph.D en Educación por la Universidad Santo Tomás, Colombia, con más de 26 años de experiencia como académico, ejecutivo y profesional en seguridad de la información, privacidad, ciberseguridad, evidencia digital, computación forense, gobierno y auditoría de TI.

Se entiende por ransomware es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos [1].

Según Cano, los datos se han vuelto un elemento clave y la dinámica internacional está girando alrededor de esta realidad. Ello acarrea consigo una serie de riesgos emergentes, entre los cuales el ransomware está incluido, siendo este un tema que no es estacionario, sino que viene creciendo y probablemente continuará haciéndolo. Además, este se ha configurado como un arma para generar operaciones cibernéticas tendientes a desestabilizar determinados países.

Las organizaciones más afectadas por el ransomeware son: 1. Los gobiernos; 2. Instituciones educativas (por la información que manejan); 3. Salud (puede afectarse la vida de las personas). Este es un tema que afecta varios sectores en varios países y organizaciones.

El ransomware tiene tres etapas: 1. Despliegue: el atacante necesita que alguien haga algo (clic), 2. Instalación: se descarga el payload en el equipo, donde empieza la fase de ocultamiento de documentos, se deshabilitan servicios y se crea un comando en la máquina, 3. Ejecución: se envía el mensaje de recuperación y se exige un pago para recuperar los datos.

Así, a través de esta técnica se cifran, encriptan, bloquean o roban archivos, memorias, carpetas, bases de datos y también se pueden comprometer la funcionalidad de dispostivos IoT.

De acuerdo con Cano, existen varios tipos de extorsiones. Los ataques usualmente se dan a través de una descarga, generalmente hecha a través de correo electrónico, instancias en la nube mal configuradas, el Remote Desktop Protocol, o a través de USB contaminadas. Además, afectan a cualquier sistema operativo por igual.

El ransomware implica una serie de dilemas para las organizaciones, que implican cuestionarse sobre asuntos como: ¿está técnicamente preparado? ¿cuenta con inteligencia y cacería de amenazas? ¿conoce las implicaciones legales de pagar el rescate? ¿tiene un seguro cibernético? ¿está abierto a negociar con el adversario?

Por otra parte, según Cano, este tipo de asuntos han llevado a hablar de conceptos como geopolítica digital e intereses nacionales, pues afectan a los países y se relacionan con temas como la soberanía digital, el desarrollo de la industria tecnológica, las capacidades militares y la gobernanza del ciberespacio.

Para enfrentar este tipo de retos, el conferencista indicó que deben entenderse los riesgos claves en el almacenamiento de la información; deben analizarse los puntos de aseguramiento del almacenamiento (a nivel de aplicación, a nivel de red, de sistema de archivo y en el dispositivo), se deben tomar acciones para enfrentar y prevenir estos ataques y debe tenerse una arquitectura de protección que me permita saber y contener una posible afectación vía ramsomware.

---

Notas al pie:

[1] Malwarebytes. Todo acerca del ransomeware. (s.f.) Disponible en: https://es.malwarebytes.com/ransomware/