Lecciones del ciberataque a Travelex

Otro ciberataque de alto perfil se reportó durante el año nuevo, cuando Travelex, la red de oficinas de cambio más grande del mundo, con más de 1,000 tiendas y 1,000 cajeros automáticos en todo el mundo, anunció que algunos de sus servicios estaban comprometidos por un ransomware que buscaba secuestrar sus datos. Como medida de precaución, Travelex apagó inmediatamente todos sus sistemas para evitar una mayor propagación del virus informático a través de sus redes.
 
Un ransomware es un tipo de malware que impide o limita el acceso de los usuarios a sus sistemas, ya sea bloqueando el acceso al sistema o bloqueando los archivos de los usuarios a menos que se pague un rescate exigido por los delincuentes informáticos. Las iteraciones más avanzadas de ransomware incluyen cifrar ciertos tipos de archivos en sistemas infectados y obliga a los usuarios a pagar el rescate mediante criptomonedas.

El ataque de ransomware ha tenido un fuerte impacto en los servicios de cambio de divisas, afectando a bancos como Lloyds, Barclays, HSBC y RBS. Evaluando el impacto financiero después del ataque de ransomware en Travelex, la pérdida puede llegar a decenas de millones de dólares, o hasta cientos de millones.
 
En los últimos años, ha habido varias violaciones importantes de seguridad cibernética que involucran a grandes organizaciones. Uno de los elementos comunes entre estas organizaciones objetivo es que albergan cantidades considerables de información personal. El acceso no autorizado a la información personal podría generar ganancias financieras ilícitas, que es el factor más común de violación de datos.
 
El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2019 ofrece una perspectiva crucial sobre las amenazas cibernéticas que enfrentan las organizaciones hoy en día. La 12ª edición del DBIR se basa en datos del mundo real de incidentes de seguridad y violaciones de datos proporcionados por 73 fuentes de datos, tanto públicas como privadas, que abarcan 86 países de todo el mundo. Incidente se refiere a un evento de seguridad que compromete la integridad, confidencialidad o disponibilidad de un activo de información. Incumplimiento se refiere a un incidente que resulta en la divulgación confirmada (no solo exposición potencial) de datos a una parte no autorizada.
 
Para combatir esto, las organizaciones pueden implementar tecnología anti-ransomware como bloquear archivos ejecutables en su puerta de enlace de correo electrónico, deshabilitar documentos de oficina habilitados para macros, detener el inicio de JavaScript malicioso y mantener actualizado el software de todos los sistemas y aplicaciones para eliminar vulnerabilidades. Además, la sensibilización del personal y la capacitación en ciberseguridad también son cruciales. Sin embargo, la tarea más importante que cualquier organización podría hacer es asegurarse de hacer una copia de seguridad de los datos críticos de manera regular y consistente, al mismo tiempo que filtra los correos electrónicos y sitios web maliciosos. Si un ataque de ransomware es exitoso, estas organizaciones tendrían al menos sus datos importantes en otro lugar para la recuperación de manera rápida y efectiva.
 
Según el DBIR de Verizon 2019, el 52% de las infracciones incluyeron piratería informática en las que el 70% son ataques a aplicaciones web (cualquier incidente en el que una aplicación web fuera el curso del ataque, esto incluye explotaciones de vulnerabilidades de nivel de código en la aplicación, así como frustrar mecanismos de autenticación), el 33% incluía ataques sociales, el 28% involucraba malware, los errores varios representaban el 21% de las infracciones, el 15% eran mal uso por parte de usuarios autorizados, el robo físico y la pérdida eran el 4% de las infracciones. Muchas de estas acciones se superponen, por lo tanto, los porcentajes son superiores al 100%.
 
Algunas de las mejores prácticas para evitar infracciones son establecer una línea de base de activos y seguridad en torno a los activos orientados a Internet, como servidores web y servicios en la nube, estos pueden incluir:
  • Segmentación de la red, muchas infracciones son el resultado de una seguridad deficiente y falta de atención a los detalles;
  • Realizando análisis y pruebas de seguridad a las aplicaciones web para encontrar vulnerabilidades potenciales, los compromisos de las aplicaciones web ahora incluyen código que puede capturar los datos ingresados ​​en los formularios web;
  • Implementar MFA (autenticación Multifactor), lo cual complica considerablemente la posibilidad de robo de credenciales, no hay excusa para la falta de su implementación;
  • Rastrear el comportamiento interno monitoreando y registrando el acceso a datos confidenciales;
  • Proteger los sistemas de DoS-DDoS (ataque de denegación de servicio) que incluye protección contra interrupciones con monitoreo continuo y planificación de capacidad para tráfico anormal. Estos generalmente resultan en la degradación del rendimiento o la interrupción del servicio.

Al mantenerse socialmente expuestos, los ataques sociales son formas efectivas de capturar credenciales, monitorear el correo electrónico en busca de enlaces y archivos ejecutables, llevar a cabo una capacitación de concienciación para que su personal informe posibles suplantación de identidad o suplantación de identidad; Por último, pero no menos importante, aplicar parches oportunos a sus sistemas operativos y de aplicaciones es fundamental.
 
En relación con este ciberataque a Travelex, han surgido una serie de temas interrelacionados para discusiones y debates interesantes. Un tema es, ¿se debe pagar un rescate? Europol (Agencia de la Unión Europea para la Cooperación en materia de Aplicación de la Ley) ha declarado regularmente que pagar alimenta actividades criminales. Iniciativas como la "Campaña No Más Rescate" alientan a las víctimas a no ceder ante las demandas de los piratas informáticos. Sin embargo, las empresas podrían gastar mucho más en operaciones de recuperación que en pagar al pirata informático.
 
Es fundamental que cualquier organización implemente un marco de seguridad cibernética como el publicado por el NIST (Instituto Nacional de Tecnología de Estándares), ya que está destinado a ayudar a las organizaciones a gestionar y mitigar los riesgos de seguridad cibernética.
 
El NIST Cybersecurity Framework está organizado en 5 funciones:
 
  1. Identificar: desarrollar el entendimiento organizacional para administrar el riesgo de ciberseguridad a los sistemas, activos, datos y capacidades;
  2. Proteger: desarrollar e implementar las salvaguardas apropiadas para asegurar la entrega de servicios de infraestructura crítica;
  3. Detectar: ​​desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de seguridad cibernética;
  4. Responder: desarrollar e implementar las actividades apropiadas para tomar medidas con respecto a un evento de ciberseguridad detectado; y
  5. Recuperar: desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia y restaurar las capacidades o servicios que se vieron afectados debido a un evento de seguridad cibernética.
 
Independientemente del tipo y la cantidad de datos que mantiene una organización, siempre hay alguien que está tratando de robarlos. Tener una buena comprensión de las vulnerabilidades y amenazas a las que se enfrentan una organización y sus pares, cómo han cambiado con el tiempo y qué tácticas de piratería se están empleando podría ayudar a preparar a la organización para gestionar estos riesgos de manera más efectiva y eficiente.
 
Para obtener asesoramiento sobre ciberseguridad en su negocio y operaciones, comuníquese con la oficina de Moore Colombia Edgar Perez en eperez@moore-colombia.co, Adriana Piñango en apinango@moore-colombia.co o Patrick Rozario en patrickrozario@moore.hk.

Por: Patrick Rozario, Moore Hong Kong