Los ataques cibernéticos se propagan más rápido que casi cualquier otro delito. Información sobre un ataque que ocurre en algún lugar todos los días, pero que generalmente se silencia.
Una carta de extorsión de dos líneas: «Hemos descargado tus datos. Si no paga el rescate, lo publicaremos en nuestro blog. Saludos».
Lo que le sucede a Fischer GmbH en una noche de verano es una de las peores cosas que le pueden pasar a una pequeña empresa: en cuestión de segundos pierde algunos de sus activos más valiosos: direcciones de clientes, control sobre su reputación.
Miles de empresas experimentan esto cada año, la mayoría guarda silencio sobre el incidente. Pero David Huber, el gerente administrativo de Fischer GmbH, está listo para hablar.
Su historia comienza con un correo electrónico un jueves por la mañana. Al vaciar su bandeja de entrada, se encuentra con una advertencia del servidor. ¿Alguien o algo? – trató de guardar un archivo en la computadora de Fischer GmbH a la 1 am de esa noche de verano.El archivo se llama «delete.me» y contiene un gusano desagradable, el llamado ransomware. Si hubiera podido propagarse según lo planeado, habría consumido toda la TI de SMB, encriptando todo lo que podría haber alcanzado y causando un daño incalculable en el proceso.
Pero el servidor de Fischer GmbH hizo sonar la alarma. Gracias a una configuración de seguridad, no aceptó el archivo de tipo “.me”. En cambio, envió automáticamente un correo electrónico a la bandeja de entrada de Huber, entre otros: Atención, está sucediendo algo que tal vez no debería estar sucediendo. Cuando Huber ve el mensaje de error, su pulso se dispara por primera vez.
El verdadero nombre de David Huber es diferente. También se inventa el nombre de Fischer GmbH. Pero Huber solo quiere proporcionar información de forma anónima, no quiere exponer su empresa innecesariamente, ni a la pandilla de piratas informáticos ni al público. Pero quiere contribuir a sensibilizar a otras pequeñas y medianas empresas (Pymes) sobre el problema de los ciberataques. Por eso está reconstruyendo los procesos para la NZZ alrededor de dos meses después del ataque.
La nota de rescate pasó primero
Entonces, en la mañana del hackeo, Huber está sentado frente a su PC y está asombrado. Porque aparte del mensaje del servidor, todo parece ir bien en Fischer GmbH a pesar del ataque. Este es el resultado del primer análisis de situación, que realiza junto con un especialista en TI externo: revisan los archivos digitales de la empresa, pero todas las carpetas parecen estar accesibles con normalidad, nada está encriptado. Sin embargo, Huber instruye a todos los empleados para que cambien todas las contraseñas e informa a la gerencia. Más vale prevenir que lamentar.
Huber se dedica a sus asuntos habituales durante el resto del día. No está tan mal, piensa.
Hasta el día siguiente suena el teléfono. Un equipo de investigación de la NZZ contactó a Huber. Ningún directivo quiere que los periodistas le expliquen lo que luego tiene que escuchar: hay una carta de chantaje contra su empresa en la dark web. Debería transferir alrededor de 100.000 dólares en criptomonedas en los próximos diez días, de lo contrario los chantajistas amenazan con publicar miles de documentos internos pertenecientes a Fischer GmbH.
Para demostrar que hablan en serio, los piratas informáticos ya han publicado algunos documentos de la empresa, inofensivos, pero Huber se da cuenta de que no se trata de una amenaza vacía, en realidad robaron información interna.
Esto convierte a Huber en un gestor de crisis de un solo golpe. Los negocios del día a día se deslizan hacia abajo en la lista de prioridades del gerente. De repente hay mil preguntas en su cabeza: ¿Por qué no se enteró antes del chantaje? ¿Qué datos fueron robados? ¿Qué tiene que hacer ahora para solucionar el problema?
Un oficinista revisa todos los correos electrónicos que ha recibido la empresa desde la alarma del servidor. Ella descubre la carta de chantaje en la carpeta de correo no deseado: “Hola”, comienza el texto, “hemos descargado sus datos. Si no paga el rescate, lo publicaremos en nuestro blog. Saludos.» A continuación se incluye un enlace a una página de Darknet.
Al menos Huber ahora sabe quién lo está chantajeando: es un notorio grupo de piratas informáticos que ha estado operando fuera de Rusia desde 2019 y será tolerado por las fuerzas del orden rusas siempre que cause desorden en Occidente pero no ataque a las empresas rusas. Son criminales instrumentalizados por el Kremlin.
Incluso la policía no puede ayudar
Huber se vuelve contra la policía. El correo local lo remite a la policía criminal, pero tampoco pueden ayudarlo. Las autoridades dijeron que no debería pagar nada, solo esperar y ver.
Huber también informa del hackeo al Centro Nacional de Seguridad Cibernética (NCSC). Gracias por la información allí. Pero Fischer GmbH no recibe la ayuda activa de un especialista que Huber esperaba, ni siquiera de las autoridades. «Te sientes muy solo allí», dice Huber.
Fischer GmbH tiene una veintena de empleados, nadie trabaja a tiempo completo con TI. Al igual que muchas PYME que no han podido permitirse especialistas en TI durante mucho tiempo, Fischer GmbH está medio ciega cuando se trata de seguridad cibernética. Usted compra toda la experiencia en TI: un proveedor de servicios externo opera los servidores. Aunque Huber capacita a los empleados y plantea regularmente el tema de la seguridad de TI en las reuniones de la gerencia, básicamente depende de que los especialistas tengan el asunto bajo control.
Hasta ahora, Fischer GmbH lo ha hecho bien. Pero dado que los ciberdelincuentes atacan cada vez más a las pymes, la situación de las amenazas ha cambiado. «Somos un pez pequeño para las pandillas cibernéticas», dice Huber.
De hecho, tendería a ganar mucho más dinero de las empresas más grandes que de las PYMES. Pero las empresas más pequeñas ahora pueden ser atacadas con poco esfuerzo: las pandillas prueban, por ejemplo, si una empresa ha realizado las últimas actualizaciones de seguridad. De lo contrario, pronto se infiltrarán automáticamente en los sistemas de varias empresas a través de la misma vulnerabilidad. O envían correos electrónicos de phishing con la esperanza de que los empleados de la empresa hagan clic en un enlace y descarguen malware.
Según la información en su página de Darknet, los extorsionadores de Fischer GmbH utilizaron este tipo de estrategias para piratear más de cien organizaciones de varios países europeos este verano, incluido incluso un monasterio. Por lo tanto, puede afectar a cualquier organización, incluso si, como Fischer GmbH, invierte decenas de miles de francos en TI cada año.
¿Una brecha entre actualizaciones o contraseñas débiles?
Por razones de seguridad, Huber no quiere explicar exactamente cómo entraron los atacantes en los sistemas de Fischer GmbH. Afirma que ha surgido una brecha en las defensas cibernéticas entre dos actualizaciones de seguridad.
O tal vez un empleado simplemente hizo clic en un enlace en un correo electrónico y permitió que los chantajistas ingresaran al sistema. Esto no sería raro, después de todo, los humanos son el mayor punto débil en la ciberdefensa. Y los ataques son cada vez mejores, a veces los piratas informáticos se hacen pasar por Postfinance, a veces el mensaje parece provenir de Galaxus.
En Fischer GmbH, un análisis de los datos publicados en Darknet también revela otro problema: las contraseñas inseguras, que consisten en el nombre de la empresa y el código postal, por ejemplo, almacenadas en un documento de Word no seguro. Si los atacantes tienen acceso al servidor, pueden llegar a otros sistemas, en el peor de los casos, incluso a la banca electrónica.
filtración afecta a miles de personas
Sin embargo, Fischer GmbH no llegó tan lejos, el ataque no empujó a la empresa tan profundamente en la crisis como les hubiera gustado a los piratas informáticos. Todos los sistemas internos continúan funcionando sin interrupciones, no se perdió dinero. Por lo tanto, Fischer GmbH decide no responder al chantaje. Ella deja que expire el plazo con la demanda de rescate.
Llegar a la misma conclusión según uno estimar del especialista en seguridad cibernética Abdelkader Cornelius alrededor del 60 por ciento de las empresas pirateadas. En la mayoría de los casos, los ataques no causan daños tan grandes como para que las empresas se sientan obligadas a pagar un rescate.
En septiembre, los piratas informáticos publicaron más de 2500 archivos de Fischer GmbH en su sitio Darknet. La mayor parte es información antigua: facturas que se han pagado durante más tiempo, documentos internos que han caducado, listas de pedidos. Pero también hay una larga lista de direcciones de clientes. Ahora no solo la pyme resulta dañada por el hackeo, sino también miles de particulares: se han publicado sus números de teléfono, correo electrónico y domicilio, todo lo que los delincuentes necesitan para robar su identidad.
Por lo tanto, Fischer GmbH decidió dar un paso audaz: informó a los clientes afectados sobre la fuga. Huber dice que menos de dos docenas de las miles de personas a las que se les escribió respondieron, la mayoría les agradeció la información transparente y expresaron su buena voluntad y comprensión.
¿Quién demanda a los vendedores de segunda mano por 40 francos?
Para Fischer GmbH, la mayor parte de la gestión de crisis aguda ya está completa. Sin embargo, todos los sistemas aún se están revisando y las operaciones se están revisando para la seguridad cibernética, dice Huber. Finalmente, no se puede descartar que los piratas informáticos, u otros delincuentes, encuentren información confidencial sobre Fischer GmbH en los documentos de la empresa filtrados y, por lo tanto, la perjudiquen.
El hackeo también podría tener más consecuencias para las personas privadas que resultaron perjudicadas, ya que ahora sus datos podrían usarse indebidamente para otros delitos. Un ejemplo: si hay una persona en el conjunto de datos de Fischer GmbH para quien ya se conoce una contraseña de correo electrónico de otro pirateo, pero tal vez no la dirección de su casa, los ciberdelincuentes ahora pueden usar la identidad robada en una plataforma de segunda mano como como Ricardo, Ebay o Tutti venden bienes inventados sin enviar los bienes a los compradores. Estos casos casi nunca son procesados, porque en su mayoría se trata de productos baratos. ¿Quién demandaría a un vendedor de segunda mano por una sartén de hierro fundido no entregada por 40 francos?
Los mercados que venden listas de direcciones y contraseñas de personas pirateadas abundan en la web oscura. En el «mercado ruso» ilegal, por ejemplo, estos conjuntos de datos se pueden obtener a precios bajos. Ruidoso Una investigación los expertos en seguridad cibernética Otto Hostettler y Abdelkader Cornelius, una lista de 50 inicios de sesión diferentes de particulares suizos cuesta alrededor de $ 10. Esto hace posible el fraude comercial, incluso desde regiones lejanas del mundo.
El ejemplo de Fischer GmbH muestra por qué es tan difícil abordar el delito cibernético: los fiscales no tienen poder porque los piratas informáticos atacan desde el extranjero y, a menudo, están cubiertos por el gobierno local. Las víctimas son empresas víctimas y particulares.
¿Y Huber? Comisiona a un experto en seguridad cibernética adicional para revisiones periódicas de su seguridad de TI. Y, en retrospectiva, describe el incidente como una «prueba de estrés personal».
¿Me han hackeado?
Por debajo https://haveibeenpwned.com/ los particulares pueden averiguar si se ha robado la contraseña de una determinada dirección de correo electrónico. El sitio web se actualiza regularmente, pero de ninguna manera puede analizar todos los ataques a particulares. En particular, generalmente no se consideran los ataques a pequeñas empresas.
Con Alertas de Google puede configurar una alarma en su propio nombre. Si alguien usa el nombre en Internet, se le notificará por correo electrónico.