Realidad Profesional | Revista del Consejo Profesional de Ciencias Económicas de la Provincia de Buenos Aires y su Caja de Seguridad Social
Ciberseguridad en estudios contables: Prevención y acción para cuidar la información
La ciberseguridad es un tema de agenda fundamental para proteger la información propia y de clientes. Los casos de secuestro de archivos y cómo actuar al respecto.
La filtración de documentos y datos, la vulnerabilidad de los sistemas digitales y el secuestro de archivos son metodologías que cuentan con un nocivo auge en la actualidad y no son pocos los casos que se conocen día a día acerca de estos ataques. El tráfico de información, alejado ya casi totalmente de lo analógico para estar incluído de manera digital en nubes compartidas o dispositivos expuestos a conectividad, necesita una protección acorde a su importancia. Estos ataques son denominados ransomware. El ransomware es un tipo de virus informático (malware) que ataca directamente a los archivos de nuestros dispositivos y los “encripta”, imposibilitando el acceso a ellos.
Si, por cualquier razón, es víctima de un secuestro de archivos, E n primer lugar, la recomendación es no efectuar pagos ni transferencias en bitcoins u otra criptomoneda. Ante un ataque, se recomienda realizar una denuncia ante la fiscalía y reportar el caso a la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
Con el avance agigantado de la digitalización y automatización de procesos laborales en diversas áreas, se abre una lista de tareas y nuevos ítems a tener en cuenta. Uno de ellos, es sin dudas, la seguridad y el resguardo de datos, tanto propios como de clientes, para garantizar que la información sensible no pase a manos indeseadas.
La filtración de documentos y datos, la vulnerabilidad de los sistemas digitales y el secuestro de archivos son metodologías que cuentan con un nocivo auge en la actualidad y no son pocos los casos que se conocen día a día acerca de estos ataques. El tráfico de información, alejado ya casi totalmente de lo analógico para estar incluído de manera digital en nubes compartidas o dispositivos expuestos a conectividad, necesita una protección acorde a su importancia.
La ciberseguridad, en general, y para los estudios contables o empresas en particular, es un tema de agenda (y preocupación) en los profesionales.
Datos personales, direcciones de correo electrónico, antecedentes de compras o gastos realizados en distintos productos o servicios es la información más común que se busca. A partir de ellos se crean grandes bases de datos que luego son vendidas a buenos precios a empresas ansiosas por ampliar su cartera de clientes.
Pero, por otro lado, también existen ataques con mayor capacidad de daño: cuando lo que se busca son archivos con datos más sensibles cuyo secuestro y/o difusión puede ocasionar un verdadero dolor de cabeza para quien lo padece. Entonces la cuestión se vuelve más que compleja.
El ransomware es un virus informático que ataca directamente a los archivos de nuestros dispositivos y los “encripta”, imposibilitando el acceso a ellos. Estos ataques son denominados ransomware. El ransomware es un tipo de virus informático (malware) que ataca directamente a los archivos de nuestros dispositivos y los “encripta”, imposibilitando el acceso a ellos. En general, este tipo de ataques tienen como objeto un rescate económico, aunque también se presentan distintos casos de extorsión.
Se estima que el virus, en el 75% de los casos, no actúa inmediatamente al entrar a una PC, sino que lo hace de manera silenciosa por un período de tiempo, obteniendo información y patrones de comportamiento, así como también contraseñas de plataformas de finanzas e información de cuentas en la nube.
La forma más común de infectar un dispositivo es a través de una descarga de cualquier tipo, siempre y cuando haya un archivo ejecutable (.exe). Por lo general, descargas directas de sitios que ofrecen programas sin licenciar.
El caso un estudio contable en la ciudad de La Plata: cómo actúan los “secuestradores”
Para tener en cuenta y comprender mejor el tipo de problema que puede ocasionar y algunas metodologías que suelen utilizarse en el secuestro de información virtual, resulta necesario ver aquellos ejemplos reales y cercanos. Para resguardar el nombre de los profesionales, no incluiremos en este ejemplo nombres propios, pero sí se detallará el ataque que sufrió un estudio contable de la ciudad de La Plata tiempo atrás.
El Estudio en cuestión recibe un e-mail, con remitente “meldoni@india.com”, con la siguiente leyenda: “I need to decrypt information, as I have to do? Please answer”. (“Tengo que descifrar la información, ¿Cómo tengo que hacer? Por favor, conteste").
Acto seguido, sin comprender aún el mail original, se recibe otro mensaje (en inglés), en donde se informaba que los archivos del Estudio habían sido encriptados, y que debía pagarse una determinada suma de dinero para poder recuperarlos. “Hola, tus archivos han sido encriptados con algoritmo criptogafhic. Le sugerimos que adquiera un decodificador que descifre todos sus archivos en un modo totalmente automático el mismo día después del reconocimiento (no necesita enviarnos ningún archivo)”, comenzaba el remitente, quien continuaba con “la solución al caso”: “Garantizamos descifrar archivos de forma gratuita. El costo del decodificador: U$S 1000”. Acto seguido, se dan una serie de instrucciones de pago, en donde luego de ingresar en una web de Bitcoins y registrarse, se debía enviar el “rescate”.
El profesional constató que, efectivamente, los archivos de su computadora personal se encontraban sin acceso alguno. Ante la situación desesperante, el titular del Estudio efectuó el pago solicitado. Cabe destacar que, en principio, los mensajes siempre fueron en tono de asesoramiento, nunca bajo palabras amenazantes.
El pago realizado fue el equivalente a 1,6254 bitcoins, que para ese entonces significaban $15.500 (pesos argentinos) por el rescate y $2.500 en concepto de “otros gastos”. Es decir, el total fue de $18.000.
Luego de varios días con los archivos aún “secuestrados”, el estudio contable recibe un nuevo mensaje, desde un remitente distinto. En el mismo, se pedía un nuevo rescate, esta vez de 2 bitcoins, para desencriptar finalmente los archivos.
Luego del fallido pago del primer “rescate”, se decidió no avanzar con el pago del segundo, al no tener certezas de que eso solucionaría finalmente la desencriptación de los archivos, que finalmente, jamás pudieron ser recuperados.
La metodología del “segundo rescate” es común en este tipo de casos: quien muestra cierta facilidad y velocidad (es decir, un interés alto por esa valiosa información encriptada) se traduce como quien está “dispuesto a todo rápido” por recuperar sus archivos.
Prevención y cómo actuar luego de un ataque
Ante el escenario de la ciberseguridad, nos encontramos con dos caminos: la prevención para que no suceda y la acción cuando sucede. Como se mencionó anteriormente, una vez ingresado el virus (ransomware) en nuestro dispositivo, suelen pasar algunos días hasta que el ataque es activado. Por lo general, 72 horas es el tiempo que se espera para poder recabar cierta información y luego proceder al pedido de “rescate”. Por eso, la primera recomendación para la prevención es que, en dispositivos que contengan archivos importantes con información sensible, mantener una flota actualizada de antivirus y realizar cada cierto período de tiempo un escaneo. Lo ideal, por supuesto, es realizarlo cada 48 horas, aunque con una realización específica cada vez que se descarguen archivos de orígenes “desconocidos”, programas o enlaces, la protección estará en un buen nivel.
Las actualizaciones, tanto de antivirus como de los sistemas operativos, siempre son muy importante para reducir al mínimo la posibilidad de recibir ataques. Por otro lado, tener backups de los archivos cada cierto período de tiempo (puede ser semanal), resulta necesario para que, ante un eventual secuestro de archivos, la pérdida no sea tan importante. Las copias de seguridad son efectivas e incluso pueden contratarse a bajo precio servicios que almacenen la información en la nube bajo estrictos contratos de seguridad. También se puede realizar de manera personal con discos externos, que también deben ser analizados para corroborar que no se guarden allí archivos previamente infectados.
El Bitcoin y otras criptomonedas son los métodos más utilizados a la hora de pedir “rescate”. En todos los casos, se recomienda no efectuar pagos. Si, por cualquier razón (ransomware con archivos descargados infectados, o phishing con enlaces dañinos), es víctima de un secuestro de archivos, también existen ciertas recomendaciones y pasos a seguir. En primer lugar, la recomendación es no efectuar pagos ni transferencias en bitcoins u otra criptomoneda. Tal y como se explicó en el caso del apartado anterior, lo más común es que, luego de efectuar un pago, lejos de liberar los archivos, el “secuestrador” pida nuevos requisitos y más dinero, formándose un espiral del cual puede ser complejo (o muy costoso) salir. Ante un ataque, se recomienda realizar una denuncia ante la fiscalía y reportar el caso a la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI). Los peritos informáticos cuentan con herramientas para (con tiempo y mucha paciencia) recuperar archivos encriptados. Sin embargo, según de qué tipo y con qué complejidad se haya realizado el ataque, es probable que finalmente no puedan ser recuperados.
En ataques simples, incluso hay herramientas que pueden facilitar al desencriptamiento: el sitio web especializado No More Ramson ofrece una serie de aplicaciones y herramientas para combatir archivos maliciosos que pueden ser de gran utilidad. Para una atención personalizada de su situación puede consultar a su proveedor de servicios informáticos de confianza o a su técnico instalador de redes.
