La ciberseguretat, al punt de mira

Fa unes setmanes vam saber que desenes de despatxos de Lleida havien perdut tots els seus arxius per culpa d’un atac informàtic. Un fet molt greu i que porta grans perjudicis a qualsevol empresa que ho pateixi i que, per desgràcia, s’està convertint en tendència.

Miguel Ángel, posem-nos una mica en antecedents. Ets especialista en ciberseguretat.

Fa uns quinze anys que m’hi dedico. Vaig començar en el món dels antivirus, la seguretat defensiva, però a poc a poc vaig fer el pas a solucions avançades. Veia que les empreses necessitaven personal qualificat que ajudés a avaluar la seva seguretat. I vaig verificar-me en seguretat ofensiva, que es tracta d’emular tot allò que pot fer un ciberdelinqüent a la nostra empresa, per poder avaluar el nostre sistema i anticipar-nos a qualsevol incidència que puguem tenir.

Fa unes setmanes desenes de despatxos de Lleida van patir un segrest d’arxius. I uns dies després sabíem de l’atac al SEPE. Com va anar? És el mateix cas?

Malgrat que la conseqüència és comuna, que és el segrest de dades i la parada completa i temporal dels negocis, les causes són diferents. En el cas de Lleida, en què despatxos treballaven amb solucions al núvol, va afectar moltes empreses a la vegada. No va ser un atac ransomware, que entra a través d’un correu electrònic i ens bloqueja el sistema i demana un rescat. El que va passar és que els atacants van accedir als servidors de l’empresa que oferia els serveis de núvol i a partir d’aquí van accedir a totes les dades de les empreses i clients.

Fa anys llegíem un cop al mes notícies de ciberatacs en empreses. Avui en podem llegir cada dia. És un fet global que ja mou més diners que les armes o la droga

I com entren en aquest sistema?

Segurament a través d’una vulnerabilitat del sistema que no ha sigut arreglada o actualitzada al seu moment. Els atacants ho revisen, ataquen i entren remotament al servei. A partir d’aquí, xifren els continguts i arxius i demanen un rescat.

Un rescat econòmic, entenc.

Sí. I ho fan en criptomonedes, que són molt més difícils de rastrejar i de fer-ne la traçabilitat. Segueix una tecnologia de blockchain, i és impossible o molt difícil saber on van a parar aquests diners.

I les empreses accedeixen a pagar aquest rescat?

Sí, per desgràcia és habitual. Hem de saber que quan nosaltres paguem un rescat estem finançant una delinqüència que va molt més enllà. I no sabem per a què serviran aquests diners, si per la compra d’armes o per finançar el món de la droga. De fet, ja mou més diners que la venda d’armes o de droga.

En cas d’atac informàtic o de segrest d’informació recomanem no fer res en calent i posar-se en contacte amb professionals que aconsellin

Però s’ha de pagar per recuperar els arxius.

Nosaltres els recomanem sempre no fer-ho. Però ens hem de posar a la pell dels empresaris, que necessiten seguir accedint als serveis i arxius. Depèn del preu del rescat.

Parlem del preu. Quant demanen?

Un exemple recent. La setmana passada vam treballar en el cas d’un ransomware que va afectar un client. Inicialment ens demanaven 2 bitcoins, que al canvi són uns 80.000 euros de rescat. El client ens preguntava què havia de fer, ja que no volia pagar però necessitava els arxius per seguir treballant. Llavors vam contactar amb els atacants i hi vam negociar a través de correu electrònic, explicant-los els motius per recuperar el que hi havia a dins dels servidors. Llavors es pot començar un tanteig per rebaixar el preu del rescat.

I com va acabar?

En aquest cas van abaixar el rescat de 80.000 euros a 20.000. I la darrera oferta que ens van fer va ser de 10.000 euros. Al final, entre el que va poder rescatar l’empresa de les còpies de seguretat vam aconseguir recuperar arxius i no pagar.

Les converses per correu tampoc es poden interceptar?

És complicat. Utilitzen correus que garanteixen l’anonimat, com Protonmail. Encara que es rastregi, per IP, costa molt mobilitzar policies d’altres països.

Parlem d’atacs. Quins són els més habituals?

Si parlem d’empreses, l’atac ransomware és el més utilitzat des de fa quatre anys. Quan parlem de persones individuals el més nou ara són els enviaments d’SMS fraudulents que s’envien inclús de contactes propis. Els atacants entren al mòbil i utilitzen els SMS per enviar virus i atacs als contactes d’aquesta persona. I és més fàcil que la persona que els rep els obri. Però normalment el més complicat són els atacs a les empreses, que mouen molts diners.

Des de fa set anys formes part de SEMIC. Quines recomanacions feu?

Recomanem sobretot adaptar la postura que tard o d’hora rebrem un atac i patirem algun tipus d’incidència. Sovint es diu que les empreses es divideixen en dos, les que han sigut atacades i les que seran atacades. Quan abans ens fem a la idea, més ben preparats estarem. Com a mesura preventiva bàsica, parlaria de les còpies de seguretat, que ens permetrien evitar el pagament de rescat als criminals. Fer regularment còpies de seguretat en discos durs externs i fora físicament de la nostra oficina és una molt bona mesura inicial que funciona per recuperar informació.

A SEMIC parleu de la ciberseguretat 360. Què és?

El concepte de 360 graus abraça tota la prevenció de les diferents etapes, des de la detecció a la resposta. És un cercle de treball i de serveis en què nosaltres realitzem mesures preventives i de resiliència i de resposta per poder tornar a l’estat de feina el més aviat possible després d’un atac de seguretat. Tenir presència en totes les etapes de la seguretat.

I heu desenvolupat un sistema que redueix al 0,02 els correus maliciosos.

Estudis xifren que el 90% dels casos de ransomware entra a través del correu electrònic. I per molta formació que fem no podem delegar la responsabilitat a l’usuari final. Per això a SEMIC hem aconseguit que als treballadors només els arribin els correus bons i legítims a través d’un servei de Proxy que neteja tot el correu abans que arribi a la safata. N’estem molt satisfets i funciona molt bé.

Ets optimista, pel que fa a la ciberseguretat?

La seguretat 100% no existirà mai. Avui estem avançant en la transformació digital, que suposarà encara més risc, però cada cop som més conscients de la prevenció.

Avui moltes petites empreses s’han llençat a l’‘ecommerce’. Han de patir?

A nivell tecnològic s’utilitzen les mateixes eines que una gran empresa, i per això l’exposició i vulnerabilitat són les mateixes. I hi ha la falsa sensació que, en confiar en serveis de tercers, una empresa petita no patirà atacs, i no és així. A SEMIC també treballem amb aquests casos, oferint un nou sistema de protecció que garanteix que tot el trànsit que arribi als servidors de les empreses sigui net i legítim.

Millor prevenir que curar, doncs.

Sempre, sens dubte!