Josep Domingo Ferrer, catedrático de Ingeniería Informática de la URV y director del CYBERCAT, explica en este artículo cómo y por qué se producen los ataques informáticos y qué podemos hacer para prevenirnos contra un ataque de software malicioso

Los ataques informáticos que han afectado a diversas organizaciones en nuestro país en los últimos años han tenido un gran impacto social, incluso fuera de Cataluña. La mayoría de los ataques más impactantes son de rescate, conocidos en inglés como ransomware. El hacker ataca una computadora introduciendo un software malicioso que impide que el usuario acceda a sus archivos a menos que pague un rescate para recuperar el acceso. Además, el hacker a menudo se lleva parte de la información del usuario. Si esta información son datos personales o sensibles, puede ser utilizada para chantajear al usuario que se niega a pagar, amenazando con hacerla pública. Si la información robada tiene interés comercial, como resultados de ensayos clínicos, diseños tecnológicos pendientes de patente, etc., el hacker puede optar por venderla directamente.

Los primeros ataques de rescate datan de finales de los años ochenta. En esa época, se tenía que pagar el rescate por correo postal, lo que ponía en riesgo a los piratas informáticos. En la actualidad, el pago suele exigirse en criptomonedas, lo que es más difícil de rastrear. Recordemos algunos ataques de este tipo que recientemente han ocurrido en nuestro país. En septiembre de 2020, el Hospital Moisès Broggi de Sant Joan Despí fue atacado; en diciembre de 2020, el Ayuntamiento de Cambrils; en octubre de 2021, la Universidad Autónoma de Barcelona; en 2022, el CSIC; en 2023, el Hospital Clínic…

¿Por qué no se habla tanto de los ataques al sector privado?

Si observamos la lista anterior, vemos que todas son instituciones públicas, muchas de las cuales se dedican a la investigación y la educación. ¿Por qué no se habla tanto de los ataques al sector privado? Hay varias razones. En primer lugar, las organizaciones privadas a menudo son menos transparentes al hacer públicos los ataques, ya que temen que su reputación se vea afectada. En segundo lugar, las empresas privadas de cierto tamaño tienen políticas de seguridad muy estrictas desde hace años. En la cima se encuentran los bancos, las empresas de internet y las militares. Aunque casi todos los bancos ofrecen servicios bancarios en línea por internet y son muy atractivos para los atacantes (que estarían encantados de transferir dinero que no les pertenece), no se sabe que hayan sufrido muchos ciberataques exitosos. En cuanto a las empresas de la nube, realizan su negocio proporcionando almacenamiento y servicios siempre disponibles, lo que se vería interrumpido por un ataque exitoso.  

La jerarquía de permisos de acceso entre empleados proviene de la tradición militar, en la que, incluso antes de las computadoras, la información se etiquetaba según el nivel de confidencialidad.

Tanto los bancos como las empresas de internet destinan presupuestos muy altos a la ciberseguridad, y hace tiempo que implementaron la autenticación de doble factor (confirmación de operaciones importantes a través de un teléfono móvil u otro dispositivo diferente al utilizado para acceder al servicio). Además, la configuración de las computadoras de los empleados está completamente controlada por la empresa, por lo que no pueden instalar ningún software por iniciativa propia. Por otro lado, todas estas empresas separan claramente la parte de sus sistemas que es accesible para los clientes o usuarios de las partes corporativas a las que solo los empleados pueden acceder. De hecho, la parte corporativa está aún más segmentada, de modo que la gran mayoría del personal solo tiene acceso a la pequeña parte del sistema que es estrictamente necesaria para su trabajo. Por lo tanto, si un pirata logra acceder a la computadora de un empleado, por ejemplo, engañándolo con correos electrónicos (el llamado phishing), solo podrá causar daño en la parte del sistema que está al alcance de ese trabajador. La jerarquía de permisos de acceso entre empleados (llamada clearance en inglés) proviene de la tradición militar, en la cual, incluso antes de las computadoras, la información se etiquetaba según el nivel de confidencialidad (¿quién no recuerda el «top secret» de las películas de espías?). 

El sector público

El sector público deberá evolucionar en la dirección mencionada anteriormente. Las instituciones públicas deberán aumentar el presupuesto de ciberseguridad. También tendrán que mejorar la segmentación de las redes, generalizar la autenticación de doble factor y adoptar medidas preventivas como controlar cada vez más lo que hay en las computadoras de los empleados. Es cierto que en entornos muy abiertos, como el universitario o el de los hospitales de investigación, estas medidas son más difíciles de implementar. Los estudiantes o los visitantes ocasionales llegan y se conectan con sus propias computadoras, no registran sus teléfonos móviles, hoy están y en poco tiempo ya no lo están, etc. Los piratas lo saben y por eso el sector educativo y de investigación sufre más ataques. Tal vez no sea tan tentador como los bancos, pero robar resultados de investigación confidenciales o aún no publicados también tiene su atractivo.   

¿Qué podemos hacer para prevenir un ataque de software malicioso?

En el ámbito personal, ¿qué podemos hacer para prevenir un ataque de software malicioso? En primer lugar, seguir las instrucciones de los servicios informáticos de nuestra organización. En computadoras domésticas, debemos mantener actualizado el sistema operativo y todas las aplicaciones, instalar un buen software antivirus y hacer copias de seguridad periódicas de los archivos. Además, debemos evitar actividades arriesgadas, como visitar sitios web sospechosos, descargar contenido dudoso o abrir archivos adjuntos recibidos de remitentes desconocidos. 

Los ataques de software malicioso de rescate seguirán afectándonos hasta que las organizaciones dejen de infectarse y pagar rescates.

¿Qué debemos hacer si hemos sido atacados y nuestra computadora está bloqueada? En primer lugar, si se trata de una computadora de nuestra empresa o universidad, debemos informar a los responsables de tecnología de la información. Si la decisión de qué hacer es nuestra, deberíamos probar todas las opciones antes de pagar el rescate, para no engrosar a las bandas criminales. Se puede intentar limpiar la computadora con la ayuda de software de defensa y especialistas. Si no logramos resolverlo, será necesario restablecer la máquina a la configuración de fábrica y tratar de restaurar luego una copia de seguridad anterior que sepamos que está limpia.

Desafortunadamente, los ataques de software malicioso de rescate seguirán afectándonos hasta que las organizaciones dejen de infectarse y de pagar rescates. Mientras tanto, es importante que las agencias de ciberseguridad reciban toda la información posible sobre los ataques que ocurren. Para vencer a un enemigo, es fundamental conocerlo bien.