OPINIÓN | Previniendo incidentes como el de PEMEX en todo tipo de empresas
Para prevenir los ataques de malware, es crítico implementar una buena cultura de seguridad informática a lo largo y ancho de las organizaciones.
Por Alejandra Flores*
El 10 de noviembre de 2019, PEMEX detectó una infección de malware en casi 5% de los equipos de sus usuarios finales. En boletines de prensa, PEMEX ha dicho que no hubo afectación a los sistemas de producción y por lo tanto no habrá desabasto de combustible ni retraso en los pagos al personal (1,2).
Rocío Nahle, secretaria de Energía, aseveró que no se pagará el rescate de casi 5 millones de dólares en bitcoin a los cibercriminales (3).
PEMEX no ha dicho bien a bien como se infectaron sus equipos. Sin embargo, se ha confirmado por varios especialistas en seguridad y Microsoft que el malware fue DoppelPaymer, una vertiente del malware BitPaymer. DoppelPaymer fue detectado por primera vez en junio de 2019 y ha afectado a varias empresas, aunque el rescate que se pide a PEMEX es el mayor que se ha registrado (4).
El malware inicialmente cifra la información en el disco duro de la máquina infectada, al mismo tiempo, intenta replicarse en la red hacia otros equipos y hacer lo mismo. Se comunica con un servidor externo e informa a actores humanos de las actividades realizadas.
Muestra una pantalla al usuario avisando del cifrado de información y dándole una dirección web a donde puede comunicarse con los cibercriminales que les pedirán el rescate. Al entrar en dicha página, el monto total se despliega y se pide que se pague en menos de 48 horas, antes de esta hora, el hacker entregará al usuario afectado las claves necesarias para descifrar la información y deshabilitar el malware (4).
Este tipo de malware se distribuye por medio de campañas de spam que piden al usuario bajar un documento de Excel, por ejemplo, con macros atractivas para el usuario. También es común que se utilicen documentos pdf. Estos documentos pueden venir como un adjunto en el correo de spam, o bien como una liga que el usuario debe visitar. Una vez que el usuario instala el malware bajo el engaño de un documento legítimo, el malware se activa y hace lo que está programado para hacer, en este caso, cifrar la información del usuario y replicarse.
El software de antivirus y su correcto monitoreo pueden mitigar las infecciones de malware. Igualmente, una política sana de actualización y reinicio de los equipos de usuarios finales puede contener ataques de malware y limitarlos a cantidades pequeñas de equipos, limitando así el impacto.
La correcta segmentación de redes, que hasta donde sabemos fue el caso de PEMEX, protege a los servidores productivos que contienen la información y aplicaciones más sensibles. Finalmente, una estrategia adecuada de respaldos puede hacer que un ataque de malware sea insignificante. Se debe notar, sin embargo, que los respaldos deben estar adecuadamente protegidos, si no, también serán cifrados durante un incidente de ransomware.
Para prevenir los ataques de malware, es crítico implementar una buena cultura de seguridad informática a lo largo y ancho de las organizaciones. Los usuarios finales deben estar conscientes de las consecuencias de bajar archivos a sus computadoras, de navegar en páginas inseguras, bajar la serie del momento de un sitio de Torrent, ya que todas estas actividades tienen un riesgo no solo para el usuario, sino para toda la organización.
Una campaña efectiva y constante de concientización de usuarios es una inversión que no puede obviarse, el resto de las medidas técnicas que se tengan en la mayoría de los casos, resultan insuficientes, para contrarrestar el comportamiento riesgoso de ciertos usuarios.
Los usuarios finales deben ser parte de la estrategia de defensa ante los ataques cibernéticos.
Referencias:
- https://www.pemex.com/saladeprensa/boletines_nacionales/Paginas/2019-47_nacional.aspx
-
https://www.pemex.com/saladeprensa/boletines_nacionales/Paginas/2019-049-nacional.aspx
-
https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/
La Dra. Alejandra Flores Mosri es especialista en Riesgo Tecnológico y Seguridad Informática.
Actualmente es catedrático en el ITAM en materias de Seguridad Informática y Desarrollo de Aplicaciones. Además se dedica a proyectos de consultoría relacionados con la implementación de estrategias de seguridad de la información.