El #ransomware es una amenaza real y persistente que no discrimina industrias o tamaños de empresas. Todos estamos en riesgo y, en el caso de mis primeros encuentros con este tipo de ciberataque, los resultados fueron tanto una lección como una advertencia.

Fue alrededor del 2014, despertamos con la urgencia de que un número aún desconocido de Workstations de uno de nuestros clientes estaban bloqueadas con un mensaje en inglés que decía que toda la información había sido cifrada y pedía un rescate en Bitcoins a cambio de dar la llave para poder descifrar la información de los equipos.

En ese momento con los 9 años que llevaba trabajando no me había tocado verlo, igual que a la mayoría de los que estábamos involucrados, la infección fue por medio de #phishing, método que hasta la fecha sigue siendo uno de los principales vectores de ataque para muchos tipos amenazas. En unos días pudimos detectar cómo llegaba, detenerlo y erradicarlo. Trabajamos día y noche, varios equipos y proveedores en diferentes líneas de acción:

• Identificación del vector de infección, para detenerlo y compartir la muestra con el equipo de antivirus y pudiera crear una firma que lo bloqueara.

• Una vez identificados todos los usuarios que recibieron los diferentes correos y el cómo se había lograda saltar los controles implementados en el antispam, que a decir verdad eran bastante buenos hasta ese momento, pero era mandaban archivos con triple zip y en aquella época no se estaba logrando analizar el contenido don estas 3 capas de compresión. Además eran diferentes patrones de correo para los usuarios, algunos simulando facturas, otros simulando mensajes de buzones de voz, otros con supuestas fotografías, imagino muy atractivas para los que si se dieron a la tarea de abrirlas. No todos los destinatarios, caían, pero un porcentaje de ellos, si.

• Durante la revisión del #Antispam se pudo ver que hubo muchos más intentos que no llegaron y llevaban un tiempo ya intentando traspasar la seguridad del correo para poder llegar a los usuarios.

• Afortunadamente, se pudo detener el cifrado de varios, desconectado de la red, y al haber ejecutado el malware en diferente temporalidad.

  
  

Finalmente el impacto fue de 1 semana de trabajar 24 horas, alrededor de 10% de los equipos cifrados, se tuvieron que formatear. Y con impacto a su operación sobre todo en áreas clave que si dependían de una PC y su correo para poder operar, en esa época no tenían acceso al correo en el celular, ni equipos de stock para proporcionarles.

Cómo ha evolucionado el ransomware y lo que significa para su negocio hoy

Desde entonces y hasta ahora el ransomware sólo ha crecido, no sólo en número de ataques, sino en complejidad e impacto. Lo he dicho muchas veces, el ransomware llegó para quedarse (no me gusta, pero es mejor pararnos en la realidad), por lo menos en el corto plazo no identifico que vaya a erradicarse pues ha demostrado ser un excelente negocio para los ciberdelincuentes, lanzado incluso esquemas as a Service (RaaS).  

La tecnología nos hace la vida más fácil, nos ayuda a hacer negocios de manera más exponencial, nos permite llegar a lugares donde no habríamos pensado llegar, pero también nos abre riesgos y estos riesgos se multiplican cada vez que se multiplican los nodos y el número de conexiones posibles de esos nodos.  Entonces es fundamental ir a lo digital con una buena estrategia de protección y no olvidarnos de los básicos. 

Vean el inicio de mi artículo, ese primer ransomware no cifrada servidores, no atacaba linux, vmware, y otros SOs, más allá de Windows PC, y la única forma de que te pegara era que alguien le diera clic al ejecutable (uno por uno, no se podía esparcir por la red solo, sin ayuda), ha evolucionado bastante. Pero si que aprovechaba del phishing y de abusar de la “confianza” o “falta de conocimiento” de los usuarios de abrir correos desconocidos y darle clic a ligas o descargar imágenes o audios, y esto sigue pasando en la actualidad, si vemos la estadística el phishing es el principal vector de ataque. Y sí, tener una buena estrategia de respaldos, era la salvación y lo sigue siendo. Y los respaldos son parte del kit básico desde hace al menos 18 años, pero no hemos logrado que se implementen adecuadamente. 

Por eso es imprescindible que no perdamos de vista los básicos y hagamos una buena implementación de ellos: 

• Estrategia de respaldos

• Actualizaciones y administración de vulnerabilidades

• Tener un antivirus/ antimalware/ EDR actualizado

De estos se desprenden otros, pues si bien son básicos, para nada son sencillos, si lo fueran, todos los tendrían perfectos. Mientras más crece una organización y más compleja se vuelve su operación y más se digitaliza, más complicado se vuelve. 

Entonces ¿qué podemos hacer? empecemos por tener claridad de nuestra postura de #ciberseguridad, en español, cuál es nuestro nivel de riesgo y por dónde nos pueden vulnerar. Es como ir al médico a hacernos un checkup de esos que nos hacemos una vez cada cierto tiempo.

Otros puntos básicos que no quiero dejar de mencionar son: 

• Administrar los riesgos de ciberseguridad, recuerda que no puedes pretender mitigar todo y que no toda vulnerabilidad es igual a riesgo.

• Mantener al mínimo necesario el nivel de exposición. 

• #Monitoreo de #ciberseguridad, con constante retroalimentación de fuentes internas y externas. 

• Tener un buen programa de administración de incidentes, con playbooks claros y específicos, diseñados para ser usados, no para ser mostrados al auditor. Y por favor siempre prueben sus procesos de respuesta, como en todo la práctica hace al maestro.

• Programas de educación y concienciación de ciberseguridad, bien planeados y enfocados de acuerdo con el público objetivo. Nuevamente que no sean sólo para mostrar el auditor y decir que se hicieron y todos tengan el mismo programa saturado de información, pues eso de poco les servirá en el siguiente ataque. 

Disclaimer para mis amigos auditores: no tengo nada contra ustedes, pero me sirve mucho el ejemplo, disculpen, son un mal muy necesario, sigan haciendo su extraordinario trabajo.

Les dejo una infografía de básicos descargable, para los que la quieran tener a la mano con estos y algunos puntos más.

Prepararse ahora es más sencillo que recuperar después. Solicita hoy una evaluación de tu postura de ciberseguridad. DafneBriones@itotcyberxpert.com

Dafne Briones

Asesora de Ciberseguridad y Transformación Digital, CTSO, Consultoría, Ciberseguridad IT/OT, Operaciones

21 de julio de 2024

¿Qué causó la falla “mundial” del viernes 19 de julio? 

Imaginen el sentimiento de desesperación y estrés que experimentaron los equipos de TI el viernes al enfrentar la falla mundial con la que despertaron. Tras una actualización fallida de CrowdStrike, muchos sistemas quedaron paralizados con la temida pantalla azul, afectando a aerolíneas, aeropuertos, medios de comunicación, bancos, hospitales y diversas industrias a nivel global.

¿Qué es CrowdStrike? Para aquellos que no estén familiarizados, CrowdStrike es un software de ciberseguridad de alto rendimiento, utilizado para proteger computadoras y servidores. Reconocido por especialistas en todo el mundo, es uno de los mejores en su campo.

Esta es la razón por la que esta falla fue tan generalizada geográficamente, pues muchas grandes empresas lo utilizan, al igual que al sistema operativo afectado “Windows”, Windows 7.1 y superiores para ser específica.

Análisis y Reflexiones

Con casi 20 años en el mundo de la ciberseguridad y varios de ellos en Operaciones, puedo entender que estos incidentes ocurren incluso en organizaciones maduras y bien gestionadas. Sin embargo, la situación del viernes con CrowdStrike nos hace plantearnos preguntas cruciales: ¿Liberaron la actualización sin pruebas suficientes? ¿Se desviaron del proceso normal de actualización? ¿Podrían haberlo prevenido?

Algunos incluso cuestionan si deberían ampliar la frecuencia de las actualizaciones, lo cual sería un error. La seguridad debe ser un habilitador del negocio, pero como habilitador su trabajo es proteger y los ciberdelincuentes afuera están constantemente actualizando sus tácticas. Si alargamos los periodos de actualización, dejamos la puerta abierta a que puedan usar esas tácticas evolucionadas en nuestros ambientes. 

Con el nivel de afectación en algunas industrias de carácter crítico, como hospitales, también se pone en duda si debería usarse este sistema en un ambiente OT, donde sabemos que la ciberseguridad es fundamental pero se debe proteger con principios y estrategias distintas que en TI.

Para mi hay 3 puntos clave en la reacción ante un incidente, tu capacidad de reacción y recuperación, que tan bien te comunicas y qué haces después.

Respuesta y Recuperación

En mi opinión, Crowdstrike fue muy capaz, pues pudo identificar y “resolver” rápidamente el fallo en su sistema, además de poner a disposición un workaround para los afectados. 

¿Por qué opino que lo hizo bien en este punto? Se sabe que la actualización fallida se aplicó a las 4:09 UTC y la resolución en ambiente Crowdstrike fue 5:27 UTC; esto es 1 hora 17 minutos después, con lo que sabemos hasta ahora, parece buen tiempo. Pero desafortunadamente para los equipos afectados, Crowdstrike no tiene forma de mandarles el update corregido y restablecerlos.

Pues como todos sabemos la solución para la pantalla azúl en los sistemas Windows afectados, implicaba para muchos casos no sólo hacerlo manualmente sino también físicamente uno a uno, y es ahí donde el tiempo se multiplicó y las últimas horas debieron ser muy complicadas para los equipos de TI de las compañías afectadas, que seguramente tuvieron que trabajar horas extra.

Y entonces todos se están cuestionando la actuación de Crowdstrike pero que hay sobre la “fragilidad” de Windows, aclaro que no soy hater de Microsoft. Sin embargo en este caso, un sólo parámetro de un sólo software (agente Falcón de Crowdstrike) pudo activar ese “botón de autodestrucción” que generó fallas y retrasos en las operaciones de múltiples industrias a nivel mundial. ¿No tendría algo que aprender Microsoft? 

¿Debería trabajar para tener un “botón de recuperación automática” más accesible para sus usuarios? ¿O quizá tener mejores mecanismos de defensa para detectar cuando algo que se instala en su entorno le puede causar un daño fatal y reaccionar ante ello de otra forma?  Bueno no sólo Microsoft, en general la industria tecnológica y las áreas de TI, tenemos una oportunidad de cuestionarnos si tenemos los mecanismos de defensa y recuperación necesarios para los riesgos que enfrentamos actualmente, como dicen en mi pueblo “si ves las barbas de tu vecino cortar…”

Comunicación: Un Pilar Fundamental

Algo que hace la diferencia es la comunicación, ¿Por qué? Pues con base en mi experiencia liderando un CyberSOC en un MSSP, puedo decir que es uno de los más grandes dolores de cabeza para todos, comunicar con claridad, precisión y con la frecuencia necesaria.

Sucede que a muchas organizaciones/equipos/áreas les da pavor comunicar un incidente, muchas veces si pueden, evitan comunicarlo, y cuando lo hacen es porque no les queda de otra. En otros casos están tan inmersos en solucionar el problema que no tienen protocolos adecuados de comunicación ni con terceros técnicamente involucrados y mucho menos con sus stakeholders. 

Tener estos protocolos de comunicación es fundamental en un buen procedimiento de atención a incidentes (de ciberseguridad u operativos).  La mala comunicación puede causar que tu impacto se magnifique, en muchos sentidos: tiempo de resolución, satisfacción del cliente, credibilidad, confianza. 

Por eso cuando estudio estos casos, siempre me fijo en qué comunicaron y en qué momento.

Cuando veo a Crowdstrike comunicando activamente y aceptando desde muy al inicio que el origen es un falla, ya sea humana o en el proceso, veo a una organización madura. Y probablemente habrá quienes cuestionen la fiabilidad de Crowdstrike después de este evento pero eso es sólo el reflejo de la falsa creencia de que la infalibilidad es igual a resiliencia.

¿Y después de recuperar qué?

Es necesario iniciar un proceso de análisis de causa raíz (RCA, Root Cause Analysis) para determinar qué nos llevó a ese momento, en términos de procesos, gente y tecnología. Debemos ser capaces de reflexionar y aprender de los incidentes para reforzar nuestros procedimientos con la finalidad de evitar que se repitan. 

En cuanto a Crowdstrike en su más reciente comunicado compartió algunos detalles técnicos pero aún no el RCA, esperemos más noticias al respecto.

Finalmente, será interesante observar las repercusiones económicas para CrowdStrike y su capacidad de recuperación tras este incidente. ¿Qué piensan ustedes? ¿Qué más podríamos añadir?