Josep Domingo Ferrer, catedràtic d’Enginyeria Informàtica de la URV i director del CYBERCAT, explica en aquest article com i per què es produeixen els atacs informàtics i què podem fer pre prevenir-nos contra un atac de programari maliciós

Els atacs informàtics que han patit diverses organitzacions del nostre país als darrers anys han tingut un gran ressò social, fins i tot fora de Catalunya. La majoria d’atacs de més impacte són de rescat (en anglès ransomware). El pirata informàtic ataca un ordinador introduint-hi un programari maligne que fa que l’usuari no pugui accedir als seus fitxers llevat que pagui un rescat per recuperar-hi l’accés. A banda, el pirata sovint s’endú part de la informació de l’usuari. Si aquesta informació són dades personals o sensibles, li servirà per fer xantatge a l’usuari que es resisteixi a pagar amenaçant de publicar-la. Si la informació sostreta té interès comercial, com ara resultats d’assajos clínics, dissenys tecnològics pendents de patentar, etc., el pirata pot optar per vendre-la directament.  

 Els primers atacs de rescat daten de finals dels anys vuitanta. En aquella època, calia pagar el rescat per correu postal, cosa que posava en perill els pirates. Avui dia, el pagament se sol exigir en criptomoneda, que és més difícil de rastrejar. Recordem alguns atacs d’aquesta mena que recentment s’han produït al nostre país. El setembre de 2020 fou atacat l’Hospital Moisès Broggi de Sant Joan Despí; el desembre de 2020, l’Ajuntament de Cambrils; l’octubre de 2021, la Universitat Autònoma de Barcelona; el 2022, el CSIC; el 2023, l’Hospital Clínic…  

Per què no es parla tant dels atacs al sector privat?

Si ens fixem en la llista anterior, veiem que totes són institucions públiques, que en bona part fan recerca i educació. Per què no es parla tant dels atacs al sector privat? Hi ha diverses raons. En primer lloc, les organitzacions privades sovint són menys transparents a l’hora de fer públics els atacs, perquè temen que se’n pugui ressentir la reputació. En segon lloc, les empreses privades d’una certa mida tenen polítiques de seguretat molt estrictes de fa anys. A la franja alta, hi tenim els bancs, les empreses d’internet i els militars. Tot i que gairebé tots els bancs ofereixen banca a distància per internet i que són molt atractius per als atacants (que estarien encantats de transferir-se diners que no els pertanyen!), no consta que hagin patit gaires ciberatacs amb èxit. Quant a les empreses del núvol, fan el seu negoci proporcionant emmagatzematge i serveis sempre disponibles, cosa que quedaria desbaratada per un atac reeixit.  

La jerarquia de permisos d’accés entre empleats ve de la tradició militar, en la qual, ja abans dels ordinadors, s’etiquetava la informació segons el nivell de confidencialitat

Tant bancs com empreses d’internet dediquen pressupostos molt alts a la ciberseguretat, i fa força temps que han implantat el doble factor d’autentificació (confirmació de les operacions importants mitjançant un telèfon mòbil o un altre dispositiu diferent del que es fa servir per accedir al servei). A més, la configuració dels ordinadors dels empleats és totalment controlada per l’empresa, de manera que no hi poden instal·lar cap programari per iniciativa pròpia. D’altra banda, totes aquestes empreses tenen ben separada la part dels seus sistemes que és accessible als clients o usuaris i les parts corporatives a les quals només poden accedir els empleats. De fet, la part corporativa es troba a més segmentada, de manera que la gran majoria del personal només té accés a la petita part del sistema que li  és estrictament necessària per a la feina. Per tant, si un pirata aconsegueix d’accedir a l’ordinador d’un empleat, per exemple entabanant-lo amb correus electrònics (l’anomenat phishing), només podrà fer mal a la part del sistema a l’abast d’aquest treballador. La jerarquia de permisos d’accés entre empleats (l’anomenada clearance en anglès) ve de la tradició militar, en la qual, ja abans dels ordinadors, s’etiquetava la informació segons el nivell de confidencialitat (qui no recorda el top secret de les pel·lícules d’espies?). 

El sector públic

El sector públic haurà d’evolucionar en la direcció anterior. Caldrà que les institucions públiques augmentin el pressupost de ciberseguretat. També hauran de millorar la segmentació de les xarxes, generalitzar el doble factor d’autentificació i adoptar mesures antipàtiques com ara controlar cada cop més què hi ha als ordinadors dels empleats. És cert que, en entorns molt oberts, com l’universitari o el dels hospitals de recerca, aquestes mesures costen més d’implantar. Els estudiants o els visitants ocasionals arriben i es connecten amb els ordinadors propis, no tenen el telèfon mòbil registrat, avui hi són i d’aquí a poc temps no hi són, etc. Els pirates ho saben i per això el sector educatiu i de recerca pateix més atacs. Potser no és tan llaminer com els bancs, però sostreure resultats de recerca confidencials o encara no publicats també té el seu atractiu.   

Què podem fer per prevenir-nos contra un atac de programari maliciós?

En l’àmbit personal, què podem fer per prevenir-nos contra un atac de programari maliciós? En primer lloc, seguir les instruccions dels serveis informàtics de la nostra organització. En ordinadors domèstics, hem de mantenir actualitzat el sistema operatiu i totes les aplicacions, instal·lar-hi un bon programari antivirus i fer periòdicament còpies de seguretat dels arxius. A part, hem d’evitar activitats de risc, com visitar pàgines web sospitoses, descarregar contingut dubtós o obrir fitxers annexos rebuts de remitents desconeguts. 

Els atacs per programari maliciós de rescat ens continuaran afectant fins que les organitzacions deixin d’infectar-se i de pagar els rescats

Què hem de fer si hem estat atacats i tenim l’ordinador blocat? Primer de tot, si és un ordinador de la nostra empresa o de la nostra universitat, cal informar-ne els responsables informàtics. Si la decisió del que cal fer és nostra, caldria provar-ho tot abans de pagar el rescat, per no engreixar les màfies. Es pot intentar netejar l’ordinador amb l’ajut de programari de defensa i d’especialistes. Si no ens en sortim, caldrà reinicialitzar la màquina  amb les opcions de fàbrica i mirar de restaurar posteriorment una còpia de seguretat anterior que sapiguem que és neta.  

Malauradament, els atacs per programari maliciós de rescat ens continuaran afectant fins que les organitzacions deixin d’infectar-se i de pagar els rescats. Mentrestant, convé que les agències de ciberseguretat rebin tota la informació possible sobre els atacs que es produeixen. Per vèncer un enemic, és fonamental conèixer-lo bé.