En Profundidad. Ransomware. Everywhere

Julio de 2021

 

INDICE

1. Implicaciones geopolíticas del ataque a Microsoft

2. Atribuciones en el ciberespacio y el caso de Kaseya

3. El sector energético: Colonial Pipeline

4. Aumento de ciberataques a entidades privadas durante la pandemia

5. Biden y Putin en la búsqueda de acuerdos sobre ransomware

6. Estados Unidos: orden ejecutiva pide informar de los ataques ransomware

7. La paradójica aversión al riesgo

8. El dilema de la nacionalización del riesgo de ciberseguridad

9. Cerrando la brecha entre seguridad cibernética y ciberdelito

 

 

1. Implicaciones geopolíticas del ataque a Microsoft

Los Estados Unidos, la Unión Europea y la OTAN responsabilizaron a China de llevar a cabo un ataque ransomware a Microsoft, el cual habría beneficiado al Ministerio de Seguridad Nacional chino y a otros grupos privados (Washington Post). Estos ataques, alegó Josep Borrell, afectaron la economía, la seguridad y la democracia de la Unión (El País). Hudson y Nakashima sostienen que la acusación representa un gran desafío para la OTAN por sus múltiples lazos comerciales con el gigante asiático. Estos analistas (Washington Post) sostienen que Estados Unidos y sus aliados estarían buscando, a través de esta acusación, presionar por una legislación internacional que regule la actividad en el ciberespacio. Al respecto, Amanda Mars sugirió que estas denuncias abren un nuevo frente de batalla entre China y Estados Unidos a partir del cual ambas potencias se enfrentarán desde el terreno tecnológico y comercial (El País). China, sin embargo, ha negado ser el responsable de los ataques y aseguró que las acusaciones son solo parte de una estrategia política del país norteamericano (Al Jazeera). El portavoz del Ministerio de Relaciones Exteriores de China, Zhao Lijian (en Al Jazeera), declaró que la República Popular doblará sus esfuerzos por proteger su integridad contra los ataques de los Estados Unidos.

 

2. Atribuciones en el ciberespacio y el caso de Kaseya

El ciberataque a la empresa Kaseya, lanzado la primera semana de julio, fue denominado como "el mayor ataque de ransomware registrado" (Lawfare, The Guardian). La banda criminal REvil, con base en Rusia, se atribuyó la responsabilidad del ataque, y ofreció desbloquear los sistemas afectados por setenta millones de dólares. De pagarse el rescate, podría precipitarse una "carrera ciber-armamentista", ya que la obtención de recursos financieros le permitiría a los criminales adquirir mejores equipos, realizar operaciones más complejas e incorporar piratas informáticos más capacitados. La modalidad de propagación del malware (Lawfare), por medio del acceso a la infraestructura de entrega automática de software, implicó la infección de todos los clientes casi en simultáneo, en vez de atacar solo unos pocos objetivos de su lista de prioridades. A nivel general, el futuro del ransomware estará determinado, en gran medida, por el progreso en las conversaciones sobre ciberseguridad entre Estados Unidos y Rusia. Según Edward Moyer (CNET), la compañía afectada ha estado trabajando con el FBI y la Agencia de Ciberseguridad e Infraestructura de Estados Unidos para investigar el ataque. Se ha dado inicio, así, a una serie de reuniones bilaterales entre funcionarios rusos y estadounidenses. Es posible que el Kremlin pueda suprimir, en el futuro, algunos de los episodios de ransomware a gran escala (CSIS) que involucran la interrupción de la infraestructura crítica o cientos de objetivos. Esto podría suceder si Moscú ve la oportunidad de utilizar las conversaciones bilaterales para lograr sus objetivos de ciberdiplomacia a largo plazo.

 

3. El sector energético: Colonial Pipeline

En abril, Estados Unidos sufrió uno de los mayores ataques de ransomware cuando un grupo de hackers cerró el oleoducto Colonial, una infraestructura energética crítica que suministra gasolina a las poblaciones de la costa este de los Estados Unidos. El ataque al oleoducto Colonial no solo puso de manifiesto el poder de los ciberataques, sino también su capacidad para atacar importantes operaciones e infraestructuras energéticas. Rishi Iyengar y Clare Duffy (CNN) afirman que estos ataques tienen el potencial de provocar caos en la vida de las personas y los países. Los hackers saben que cuanto mayor sea el trastorno que causen, mayor será la probabilidad de que las empresas y/o los gobiernos paguen para mitigar sus agresiones. Ahora, como respuesta, los gobiernos y sus respectivos departamentos de energía están buscando la forma de fortalecer sus infraestructuras y prevenir futuros ataques. Leo Simonovich y Filipe Beato (World Economic Forum) comentan que la defensa de la energía pasa a ser una cuestión de defensa de primer orden, debe haber una unión de las entidades públicas y privadas. Entre las recomendaciones de Simonovich y Beato está la  idea de que las empresas deben instituir sus propias defensas antes de que los gobiernos establezcan cualquier política importante. Las empresas deben ser prudentes con su propia resistencia, y también deben trabajar con otras entidades para establecer una rigurosa colaboración en todo el ecosistema. Además, los autores comentan que también los gobiernos deben lograr un enfoque holístico de la gestión de riesgos para adaptarse a un panorama cada vez más amenazante.

 

4. Aumento de ciberataques a entidades privadas durante la pandemia

El término "ciber-pandemia" ha sido acuñado para referir a la proliferación de ataques cibernéticos en la pandemia del coronavirus. Con el consecuente aumento del teletrabajo, los casos de ransomware han aumentado un 56% a nivel mundial desde el comienzo del 2021 (Inteligencia de Amenazas de Check Point). Casos como los ataques a Colonial Pipelines, Microsoft y Kaseya han captando la atención de la agenda pública, a partir de lo señalado recientemente por James Lewis (Center for Strategic and International Studies).  Los ataques de ransomware al sector empresarial han aumentado, en parte, debido a la creciente dependencia de los empleados al ciberespacio en un contexto de confinamientos globales (Adrián Campos Cárdenas). Los ciberdelincuentes han tomado a la pandemia como una oportunidad para lanzar sus ataques y obtener dinero de las empresas porque creen que debido a ella están más vulnerables y no pueden quedarse sin acceso a sus sistemas. Es más probable que accedan a pagar el rescate exigido que a comprometer su integridad revelando datos confidenciales (Interpol, Taylor University). El 83% de las empresas latinoamericanas que respondieron una encuesta que llevó adelante Tony Anscombe contestaron que no tienen protocolos para estos tipos de ataque. En la era en que la tecnología es esencial para conectarse, surge el conflicto de la pandemia digital frente al cual las empresas deben informarse, capacitarse, y buscar soluciones óptimas para no ser víctimas de los ciberataques.

 

5. Biden y Putin en la búsqueda de acuerdos sobre ransomware

Los ataques cibernéticos —en particular el ransomware— ocupan un lugar cada vez mayor en la agenda política estadounidense. Joseph Nye Jr. (Project Syndicate) explica que tanto Estados Unidos como Rusia penetran en las redes del otro para recopilar inteligencia, pero que las líneas suelen ser difíciles de trazar. Intentando contener el conflicto, en su reunión en Ginebra, Biden le entregó a Putin una lista de dieciséis áreas de infraestructura crítica que deberían quedar fuera de los límites de los ataques. Los mandatarios trataron los casos del oleoducto Colonial, en Estados Unidos, y la firma SolarWinds, en los cuales Biden afirma que los criminales operan desde Rusia. Según Nye, la respuesta de Biden fue una amenaza disuasoria en caso de que el gobierno ruso viole las normas que prohíben estos ataques. En este sentido, Michael D. Shear (New York Times) agrega que cuando una operación de ransomware provenga del suelo ruso, aunque no esté patrocinada por el Estado, Biden espera que Putin actúe en consecuencia. El autor afirma que lo que más preocupa al gobierno estadounidense es la irrupción económica del ransomware, cada vez más disruptiva y costosa. El caso más reciente fue el 4 de julio, cuando el grupo REvil pirateó una empresa de Florida que proporciona software a empresas más pequeñas. Por su parte, David E. Sanger (New York Times) revela que dos semanas después de la reunión de Ginebra, REvil se atribuyó el ataque, y luego de un ultimátum de Biden hacia Putin, el grupo desapareció repentinamente. El autor asegura que hay sugerencias de que Rusia habría presionado esta desaparición y sostiene que esto demuestra que ambos países están enfrentando el problema, pero que en estas semanas se espera que Biden implemente una estrategia de ransomware que incluya incentivos para empresas y los gobiernos locales a fin de que mejoren sus defensas básicas.

 

6. Estados Unidos: orden ejecutiva pide informar de los ataques ransomware

El pasado 28 de julio, el presidente Joe Biden firmó una orden ejecutiva centrada en prevenir ciberataques y piratería en la infraestructura del país (The New York Times). Esta orden comenzó su elaboración tiempo atrás, sin embargo, se vio acelerada ante la necesidad de actuar frente a la serie de ataques de ransomware que afectaron a Estados Unidos en este último tiempo. Dentro de la orden, se establece, voluntariamente, que las empresas deberán cumplir una serie de estándares de seguridad en línea y así bloquear a los piratas informáticos. Además, en un esfuerzo por ayudar al gobierno a comprender cuál es el alcance que tiene la amenaza cibernética, las empresas deberán informar sobre los ataques de ransomware de los que sean víctimas (Washington Post). Las empresas suelen ser reticentes a informar cuando se han visto afectadas, ya que podría poner en juego su reputación y manchar su marca. Desde el gobierno norteamericano se estima que solo una cuarta parte de las intrusiones de ransomware son informadas, lo que dificulta hacer un análisis completo de la situación y corroborar si en verdad China y Rusia están tomando medidas contra los piratas cibernéticos. Si bien el tema no se presenta como un fenómeno novedoso, ha sido la actual Administración norteamericana la que le ha conferido un sentido imperativo dentro de la seguridad nacional (Wall Street Journal).

 

7. La paradójica aversión al riesgo

En las ocasiones en que Estados Unidos cae como víctima de un ciberataque, encuentra dificultades para llevar a cabo acciones significativas contra sus atacantes: tardó meses en imponer sanciones a Rusia por intentar interferir en las últimas elecciones presidenciales y aunque recientemente acusó al gobierno chino de colaborar con grupos de hackers, no determinó ninguna consecuencia en concreto. ¿Por qué restringe sus respuestas, aun habiendo adoptado una estrategia oficial de disuasión, y contando con múltiples herramientas, tanto económicas como políticas y cibernéticas, a su disposición? (Council on Foreign Relations) Monica Kaminska, investigadora postdoctoral de The Hague Program for Cyber Norms y candidata a doctorado en Ciberseguridad por la Universidad de Oxford, argumenta en su último artículo que la tendencia hacia la aversión al riesgo que presenta la sociedad estadounidense, combinada con determinadas características operativas del dominio del ciberespacio genera que las respuestas más asertivas sean retiradas rápidamente del listado de opciones. La primera característica es que la naturaleza compleja y adaptativa del ciberespacio aumenta la posibilidad de que una respuesta fuerte cause efectos no deseados. La segunda, refiere a la alta probabilidad de proliferación de los ataques, dado que las capacidades adquiridas por un actor pueden ser fácilmente imitadas y utilizadas por otro. Ambas características generan, a su vez, dos implicancias clave a la hora de responder a ciberataques: por un lado, la ambigüedad de las operaciones aumenta el riesgo de atribuir erróneamente la autoría de los mismos; y por otro, el alto grado de complejidad e interconexión entre sistemas de computadoras y otras redes (como suministros, por ejemplo), especialmente en países altamente dependientes de internet, incrementa la posibilidad de escalada de conflictos y de daños colaterales. La autora indica que la aversión al riesgo es el paradigma que guía los cálculos de respuesta y que, como consecuencia, resulta poco probable esperar represalias significativas por parte de Estados Unidos.

 

8. El dilema de la nacionalización del riesgo de ciberseguridad

Para evitar ser víctimas de un ataque, muchas empresas se enfrentan al dilema de pagar un rescate en casos de ransomware, a fin de recuperar sus accesos y datos. Este pago para mitigar los daños se ha hecho más popular, generando así cada vez más pedidos para que esta actividad sea prohibida. Tarah Wheeler y Ciaran Martin sostienen que si bien a simple vista estos pagos pueden beneficiar al delincuente, la prohibición no asegura su reversión y que, en realidad, nos hallamos frente a un tema político complejo (Brookings Institution). Las autoras expresan que hay un problema de incentivos que los gobiernos deben abordar antes de prohibir. Hay desincentivos comerciales para que las empresas prioricen el diseño de seguridad por los altos costos de infracción; por otro lado, hay desincentivos para que los delincuentes actúen con moderación ante la falta de límites y consecuencias. Además, la responsabilidad individual del sector privado está desalineada con el daño público colectivo, dado que estas consecuencias sí son analizadas como problemas de seguridad nacional, pero los gobiernos derivan su tratamiento a los privados. Por estas razones, prohibir dichos pagos no impedirá su uso y los gobiernos deberían tomar un rol más preponderante mediante políticas activas contra el ransomware, de acuerdo a las autoras. Una potencial reforma podría ser, por ejemplo, la promoción de la ayuda gubernamental disponible o asegurarse de que las víctimas entiendan la limitación que sería realizar dichos pagos. Aunque algunos ven esto como una interferencia estatal injustificada en el comercio privado, Wheeler y Martin creen que la falta de una respuesta coordinada a niveles nacionales es la principal deficiencia de este actual problema.

 

9. Cerrando la brecha entre seguridad cibernética y ciberdelito

El delito cibernético, como el ransomware, provoca disrupciones generalizadas contra objetivos críticos. Amrit Swali y Esther Naylor identifican una mayoría de grupos criminales (y no Estados ni grupos con apoyo estatal) identificados como los perpetradores de este tipo de crímenes (Chatham House). En relación con estos dos puntos, las autoras señalan que es necesario situar al delito cibernético en un contexto de seguridad nacional e internacional más amplio, ya que, según argumentan, la amenaza persistente de este tipo de ataques socava la postura de seguridad general de una nación. Swali y Naylor sostienen que a medida que se exponen las vulnerabilidades centrales de un país y los ciberdelincuentes las explotan, transfieren el riesgo hacia otras áreas, dando como resultado el tipo de desorden sistémico que la seguridad nacional, precisamente, busca evitar. Actualmente, uno de los sectores más vulnerables y también uno de los más desapercibidos son los gobiernos locales (Council on Foreign Relations). El año pasado, el FBI informó casi $25 millones de pérdidas en Estados Unidos por ataques cibernéticos (Council on Foreign Relations). Un grupo de expertos legales está comenzando a trabajar en un proyecto de cinco años para determinar qué está dentro y fuera de los límites en los conflictos cibernéticos internacionales (Washington Post). El resultado será la tercera versión de un documento patrocinado por la OTAN, no vinculante, pero útil como herramienta en el debate de qué ataques ofensivos son legalmente defendibles y cuándo es apropiado tomar represalias. Si Estados Unidos y sus aliados pueden dejar más claro exactamente dónde creen que se trazan los límites, la piratería podría ser menos agresiva, siempre y cuando Rusia obedezca las leyes internacionales y no intente buscar una zona gris legal desde donde seguir operando. Amrit Swali y Esther Naylor también afirman que con el fin de reducir las consecuencias del ciberdelito, se necesita abandonar el enfoque aislado que no aprecia la interconexión entre el mismo y la ciberseguridad. En este sentido, sostienen que una apreciación más completa de la intersección entre ambos y los actores estatales y no estatales es el primer paso para adoptar un marco fluido que disuada, proteja y mitigue la interrupción. De lo contrario, quedan puntos ciegos que impiden una respuesta coordinada y eficaz, una debilidad crítica que ni los gobiernos ni las corporaciones pueden permitirse.

 

Edición: Analía Amarelle, Carla Gebetsberger y Lucas Mertehikian.

Equipo de Redacción: Camila Busso, Lucía Cobián, Tamara Cheroki, Julieta Larruy, Candela Leguizamón, Zach Saderup, Martina Schmitt, Sol Ipuche, Valentia Azcarraga, Catalina Sandberg y Delfina Gallo.

 

 

Si desea dejar de recibir nuestros mensajes, ingrese su dirección de correo y luego presione el botón para desuscribirse: