Així es produeix un atac informàtic
Un atac informàtic pot perseguir la destrucció de les xarxes i dades d’una empresa, o bé exigir un rescat econòmic a canvi de la informació robada. En ambdós casos, tot comença amb una etapa de reconeixement en dues fases, externa i interna. La primera, persegueix esbrinar com opera la companyia i les seves filials. La segona, consisteix a localitzar i infectar les còpies de seguretat (backups) De les dades.
Sengles pràctiques no solen ser detectades immediatament i els bancs no són el major objecte de desig d’aquests delinqüents: el sector públic i les indústries manufactureres o de viatges han registrat a la vegada incidents, tant a Europa com als Estats Units. No obstant això, segueix fallant la resposta com a equip de les instàncies afectades, perquè, segons han observat empreses com IBM, la ciberseguretat sol dependre d’un departament separat de la resta.
Per accedir a una signatura o entitat de certa envergadura, “cal analitzar el seu ecosistema extern”. “Si opera amb firmes més petites amb accés a les seves xarxes d’Internet, però més vulnerables i sense pressupost per a protegir-se bé, resulta més fàcil per a l’atacant a entrar per aquí per aconseguir el seu objectiu”, diu Francisco Galián, expert en ciberseguretat de IBM, Que compta amb un centre d’operacions especialitzat en simular cibertaques. Muntat en un camió de 23 tones anomenat C-TOC [Cyber Tactical Operations Center], viatja pel món i ha recalat aquests dies a Holanda. Les seves instal·lacions permeten posar a prova a les companyies per ficar-se tant en “la ment de l’atacant com en la de la seva víctima, entesa aquesta última com a empresa, per donar resposta a temps a una d’aquestes crisis”, en paraules de Erno Doorenspleet, la seva responsable. La sorpresa empresarial és similar a el bloqueig d’un comprador anònim atacat quan només buscava, per exemple, regals nadalencs. Les dues reaccions convergeixen “quan la tensió pel que ha passat impedeix gairebé pensar i es perd un temps precisos; i aquí es pot veure la maduresa tècnica d’una companyia”, explica.
En les simulacions, “tan intenses que, de vegades, hi ha hagut fins i tot conats d’enfrontament entre executius a l’veure immersos en un incident informàtic a què no poden respondre adequadament”, indica Doorenspleet, s’explica la fase de reconeixement intern de la infraestructura de l’ xarxa triada. Es va a la recerca de les dades, i si la intenció dels ciberdelinqüents és causar el major trastorn possible, “donaran la sensació que es tracta d’un segrest de dades ( ransomware), Que podran ser després recuperats, però, en realitat, s’han infectat i es destrueixen, i també són pertorbats els servidors i qualsevol màquina atacada “, segueix Galián. “Si el que pretenen és demanar un rescat per tornar la informació sostreta, l’assaltant xifrarà totes les dades de la institució triada i enviarà després una notificació de pagament, generalment en moneda digital. És un xantatge en tota regla, i si les empreses restauren després les seves còpies de seguretat sense haver fet abans una investigació forense profunda, poden recuperar dades encara infectats. L’atacant sol romandre a la xarxa uns cinc o sis mesos, i deixa el que anomenem mecanismes de persistència, unes portes posteriors, a la xarxa. Si passat aquest temps, comprova que continua havent caps per lligar en la seguretat, poden atacar de nou “.
La difícil detecció en temps real d’un ciberatac respon als temps manejats pels delinqüents. Un cop obtinguda la informació que buscaven, passen tres o quatre setmanes sense moure a la xarxa triada. D’aquesta manera, “quan es llancin, crearan gran confusió en els equips de seguretat, perquè no trobaran moviments estranys recents”. “Encara que hi ha empreses amb bons equips de seguretat, i altres tenen plans, els primers solen treballar aïllats de la resta dels departaments, i així no es pot reaccionar bé davant d’una crisi. Quant als plans, molt poques els assagen, i el ciberdelinqüent ja no és un tipus ficat en un soterrani amb dessuadora i caputxa. Ara són equips professionals, i encara que és difícil assenyalar-los, sí que hi ha moments clars de risc. Per exemple, quan és Nadal en una part de l’món, però no en altres, i la gent es llança en massa a consumirlínia “, adverteix Galián.
L’expert indica que dos de cada tres companyies esbrinen que han estat atacades quan l’hi notifiquen d’altres, perquè les seves dades s’han fet públics, o a l’rebre una nota de l’ciberdelinqüent demanant un rescat. Segons l’Institut nord-americà Ponemon, que investiga de forma independent la protecció de dades, “Només el 36% de les 600 empreses d’Informació i Tecnologia (IT) enquestades al país el 2018, van assegurar que els seus equips són prou eficaços per detectar i investigar la ciberseguretat interna abans que es produeixi un atac”. D’altra banda, “un 71% dels alts executius i gerents no mantenien una comunicació fluïda sobre els riscos amb els serveis de seguretat, i un 68% no captava bé el perill [de ciberatacs] i l’efecte negatiu per a la companyia”. Tot i que les xifres no solen fer-se públiques, la tendència observada per especialistes com Galián indica que les asseguradores estan disposades a pagar rescats d’aquesta classe fins a cert límit, “diguem un milió de dòlars”. Però fins i tot així, no està garantida la recuperació de dades.
Llegiu la noticia completa a EL PAÍS.
Etiquetes: Ciberseguretat
