La semana pasada, la Comisión del Mercado de Valores de EEUU (SEC) anunció unas normas nuevas y bastante estrictas sobre la divulgación de infracciones de ciberseguridad para las personas o empresas que estén bajo en su jurisdicción.
La SEC, por cierto, se fundó en plena Gran Depresión, en la década de 1930, con el objetivo de impedir el tipo de especulación no regulada que condujo a lo que se conoció como el Jueves Negro: el crack de Wall Street del 24 de octubre de 1929.
La misión de la SEC es proteger a los inversores; mantener unos mercados justos, ordenados y eficientes; y facilitar la formación de capital.
La SEC se esfuerza por promover un entorno de mercado digno de la confianza del público.
Es decir, si diriges una empresa que emite acciones, tienes que cumplir las normas y reglamentos de la SEC, que se supone que ofrecen a tus inversores algún tipo de protección frente a afirmaciones infundadas que hablan sin fundamento de una propuesta, o que tergiversan solapadamente el nivel de riesgo que conlleva.
Como puedes imaginar, especialmente en un mundo online en el que las brechas de seguridad ocasionadas por ataques de ransomware pueden llegar a paralizar digitalmente una empresa de la noche a la mañana, y en el que incluso pagar un rescatemillonario a los atacantes por un “programa de recuperación” puede no ser suficiente para que las cosas vuelvan a funcionar, los fallos de ciberseguridad pueden tener malos resultados a largo plazo sobre el valor de una inversión empresarial.
Exigir dinero con amenazas
Hoy en día, los ataques de ransomware suelen implicar que los ciberdelincuentes roben primero copias de datos sensibles, incluidos sobre todo los datos de empleados y clientes, y luego cifrar esos mismos archivos, utilizando así dos bazas para chantajearte.
Tienen tus archivos, que suelen incluir montones de datos que estabas obligado a mantener seguros. Pero realmente ya no tienes esos archivos.
Irónicamente, en un típico ataque de ransomware que cifra archivos, puedes ver que todos tus archivos siguen ahí, a menudo con sus nombres originales, aparentemente al alcance de un clic, pero realmente no puedes acceder a ellos.
Debido a este escenario de doble juego, ransomware no es exactamente la palabra adecuada hoy en día, dado que un rescate es una suma que pagas por la devolución segura de alguien o algo que quieres recuperar, ya sea un monarca medieval secuestrado o un montón de archivos de datos del siglo XXI.
Al fin y al cabo, los “ataques de ransomware” actuales tienen varias formas diferentes de desarrollarse, entre ellas:
- Tipo A. Tus archivos están bloqueados y solo los ciberdelincuentes tienen la clave de descifrado. Paga la cantidad exorbitante y los ladrones (o eso dicen) no solo te enviarán la clave, sino que también guardarán silencio sobre lo ocurrido, para que no tengas que admitir que la interrupción temporal de tu negocio se debió a una ciberintrusión. Niégate a pagar y te quedas solo. Las organizaciones sin un plan viable de recuperación de desastres podrían no volver a poner en marcha su negocio.
- Tipo B. Copian tus archivos y te exigen pagar para borrar los datos robados (o eso dicen) y así protegerte de las demandas por violación de datos del personal y de los clientes, para evitar que los reguladores indaguen demasiado y para ayudarte a mantener intacta tu reputación. Si te niegas a pagar, saldrás a la luz pública como una organización en la que no se puede confiar.
- Tipo C. Ambas cosas.
Como puedes ver, los ataques del Tipo B pueden llevarse a cabo incluso si los delincuentes no consiguen, o no quieren correr el riesgo de intentar entrar en tu red y acceder directamente a todos los archivos de tus propios ordenadores portátiles, de sobremesa y servidores.
En los recientes ataques MOVEit, por ejemplo, los ciberdelincuentes que supuestamente trabajan bajo la bandera de la famosa banda de ransomware Clop se hicieron con enormes cantidades de datos privados de numerosas organizaciones de alto perfil, pero sin violarlas directamente.
En su lugar, los delincuentes atacaron a empresas de servicios de terceros, como proveedores de nóminas, que transferían y almacenaban copias de datos sensibles de esas organizaciones utilizando el producto de gestión de datos de terceros MOVEit Transfer y su equivalente en línea MOVEit Cloud.
Y los ciberdelincuentes que no quieren arriesgarse a ser descubiertos intentando subir grandes cantidades de datos pueden llevar a cabo ataques del tipo A de forma rápida y directa, sin ninguna exfiltración previa de archivos.
Algunos atacantes adoptan este enfoque porque cualquier pico inesperado en el tráfico de red saliente es un indicador de compromiso (IoC) al que las empresas están aprendiendo a prestar atención.
En los ataques de ransomware de tipo A, los delincuentes no necesitan generar ningún tráfico de red saliente, ni siquiera para mantener el control de las claves de descifrado de cada ordenador.
Pueden cifrar asimétricamente esas claves maestras en archivos que quedan en cada ordenador afectado, utilizando una clave pública de la que solo ellos tienen la clave privada correspondiente.
Lo que una clave pública ha bloqueado no puede desbloquearse con esa clave pública; solo el poseedor de la clave privada correspondiente puede hacerlo. (Piensa en un candado abierto: cualquiera puede cerrarlo, pero solo la persona que tenga la llave física puede volver a abrirlo).
Así pues, los datos de la clave maestra están ahí, a la vista de todos, pero son inútiles sin la clave privada necesaria que los atacantes prepararon offline de antemano.
Todo lo que tienen que hacer los delincuentes es dejar un mensaje que te diga cómo ponerte en contacto con ellos para empezar a “negociar” la clave privada.
¿Cuándo un ataque de ransomware es una brecha que debe ser notificada?
Una cosa que nunca ha sido obvia es cómo se cruzan los ataques de ransomware y las normativas existentes sobre bechas de datos.
Si sufres un ataque de tipo A, pero no hay pruebas de que se hayan filtrado datos no cifrados, y consigues restaurar las copias de seguridad de la noche a la mañana y volver a poner en marcha tu empresa rápidamente ¿deberías estar obligado a decírselo a alguien y, en caso afirmativo, qué otros tipos y escalas de infección por malware o corrupción de datos deberían notificarse también?
Si sufres un ataque de tipo B, y tras pagar rápidamente a los ciberatacantes te inclinas a creer que realmente borraron los datos para que ya no puedan revelarlos ¿puedes definirlo razonablemente como no-una-infracción, porque los datos fueron aparentemente “no-infraccionados” por los atacantes, y por tanto no se produjo ningún daño en última instancia?
De hecho, si pagas un ciber-rescate por cualquier motivo ¿deberías revelarlo aunque el derecho penal no te obligue a ello?
Lamentablemente, pero comprensiblemente dado que se trata de un anuncio inicial, el comunicado de prensa de la SEC no entra en ese tipo de detalles.
En su lugar, se limita a decir que los que están bajo su competencia, denominados registrantes, están:
[…obligados a] revelar los incidentes materiales de ciberseguridad que experimenten y a revelar anualmente información relativa a su gestión, estrategia y gobernanza de los riesgos de ciberseguridad.
Las nuevas normas exigirán a los registrantes que revelen […] cualquier incidente de ciberseguridad que consideren sustancial y que describan los aspectos sustanciales de la naturaleza, el alcance y el momento del incidente, así como su impacto o su impacto razonablemente probable sobre el registrante.
Por lo general, la divulgación deberá realizarse cuatro días hábiles después de que el solicitante de registro determine que un incidente de ciberseguridad es sustancial.
La divulgación puede retrasarse si el Fiscal General de los Estados Unidos determina que la divulgación inmediata supondría un riesgo para la seguridad nacional o la seguridad pública y notifica dicha determinación por escrito a la Comisión.
¿Debería considerarse que pagar a los ciber-extorsionadores de tipo B es “un impacto sustancial”, por ejemplo, porque nunca se puede estar realmente seguro de que los delincuentes no vuelvan a por más, o de que los datos que robaron no los robó otra persona mientras ellos los tenían en su poder sin autorización?
¿Debería considerarse “un impacto sustancial” el hecho de ser atacado por delincuentes del tipo A, y en caso afirmativo, cuáles deberían ser las directrices para la escala del ataque?
En una empresa con una red de 100 ordenadores, por ejemplo, ¿cuántos ordenadores tendrían que quedar inutilizados en el transcurso de un único incidente de ransomware para que se considere probable que el ataque haya expuesto a la empresa a algo más que el mero efecto secundario de algunos archivos arruinados?
Déjanos tu opinión en los comentarios de abajo…
Dejar un comentario