martes, 20 de febrero de 2018

Otro ataque devastador


No había terminado el primer mes del 2018 y ya se anuncia un ataque severo que posiblemente afecte a la mitad de la población de Noruega. La autoridad regional de salud del país nórdico hizo público que fue víctima de un ataque sofisticado que expuso los datos de cerca de 3 millones de usuarios.

El ataque fue descubierto por HelseCert, el equipo de incidencia de Noruega, que informó a la entidad afectada. Desafortunadamente, la autoridad regional tomó varios días antes de hacer público el hallazgo. Esta demora va en contravía de las nuevas normas europeas (conocida como General Data Protection Regulation o GDPR) que demandan que ataques contra datos deben hacerse públicos en menos de 72 horas.

Al parecer los atacantes tenían un buen arsenal a su disposición lo que puede indicar un actor poderoso. La pérdida de tantos datos es un fuerte golpe a los ciudadanos de ese país y no hay duda que los delincuentes harán uso de esa mina de información.

Aunque los detalles técnicos son escasos, en lo personal dudo de prontas afirmaciones que achacan la autoría a “actores poderosos”. El análisis digital forense toma tiempo y los profesionales de seguridad son muy cautos al señalar autorías. Dado el impacto político de este ataque, no sería raro que los oficiales de la entidad afectada usen esta común excusa para clamar impotencia.

Ya he escrito anteriormente acerca de la responsabilidad compartida que los ejecutivos de empresas y organizaciones víctimas tienen como garantes de la protección de la información de ciudadanos y clientes. Que haya sido una tercera entidad la que descubrió el ataque (hecho nada inusual) podría indicar pobreza en las prácticas de seguridad informática de la entidad afectada.

Un hecho a resaltar es la normatividad europea, GDPR. Es exigente y acorde a los nuevos tiempos. Muy contraria a la situation latinoamericana donde los medios no están obligados a hacer público que entidades sufren ataques de hackers y la legislación existente es débil o inexistente. Los ciudadanos de países latinoamericanos están totalmente desamparados en estos casos y desconocen casi por completo que sucede con su información privada.

miércoles, 14 de febrero de 2018

Ataques de Ransomware. Un escalamiento peligroso


Durante el mes de enero tres diferentes ataques a entidades de salud en Estados Unidos demuestran el escalamiento de los ataques ransomware que sin duda se extenderán a entidades de países latinoamericanos.

Estos ataques recientes usan malware común para encriptar grandes cantidades de datos. Hasta ahí nada fuera de lo usual, pero los métodos, las similitudes y variaciones del malware utilizado genera alarma.

Las entidades afectadas, ambos hospitales ubicados en el estado de Indiana, EEUU, sufrieron un ataque con una variante del software ransomware conocido como SamSam. Incluso una de las entidades admitió pagar más de U$40,000 de rescate para recuperar sus datos capturados. Y se desconoce si la segunda entidad afectada también haya pagado rescate por sus datos. No se ha indicado en ninguno de los casos que datos de pacientes hayan sido “secuestrados”.

Una tercera entidad, un proveedor de sistemas en la nube, también anunció que sus sistemas de información fueron contaminados por ransomware. El ataque fue tan severo que la entidad debió desconectar sus centros de cómputos remotos para minimizar la contaminación. Afortunadamente para este proveedor, su equipo de respuesta parece ser experimentado y actuó rápidamente.

Este escalamiento que puede afectar enteros centros de cómputo es ciertamente preocupante. Tal como indiqué hace un tiempo, este es el mayor riesgo del ransomware. Debe recordarse que un ataque de ransomware no se limita a los archivos almacenados localmente en el computador de la víctima, y el malware intentará encriptar todo archivo que se encuentre en un folder local o remoto, que usualmente radica en servidores.

La contaminación de un laptop o varios equipos en una red definitivamente pueden causar interrupciones y dolores de cabeza, pero si los servidores de archivos llegan a ser contaminados la operación puede detenerse completamente. Como estos casos bien demuestran, los servicios al público sufren interrupciones severas y en el caso del sector salud las consecuencias podrían ser mortales.

En el caso particular de estos ataques, al parecer ciertos servicios de administración remota estaban disponibles. Como es bien conocido en el medio de seguridad informática, tener acceso remoto directo a servicios de administración de un sistema como RDP en Windows o similares es una pésima práctica.

La creciente sofisticación de los ataques ransomware obliga que el personal de seguridad informática conozca los datos más críticos de su organización e identifique los posibles vectores de ataque que puedan afectar esos datos.

Pero más allá de la vulnerabilidad específica, la lección es que las organizaciones deben reconsiderar su acercamiento a la protección de los datos de sus clientes y la profesionalización de su personal de seguridad informática. Desafortunadamente, aún hay mucho camino por recorrer en Latinoamérica.