Protección de lujo
Una cosa está muy clara para los ciberdelincuentes: hay dinero que ganar.
Hasta aquí nada nuevo... pero por desgracia veo con demasiada frecuencia una reacción que bien podría llamarse "parálisis por shock"... o mejor "confort por shock", si existiera esa palabra.
Con esto quiero decir que la gente se convence a sí misma diciendo que "sólo era un problema para los usuarios privados" o que ya había sido "el peor de los casos", el mayor accidente que se podía suponer.
Pero lo peor siempre es posible.
Antes de entrar en los antecedentes concretos, me gustaría invitarle a un experimento mental: Imagina que eres el director general de una empresa mediana.
El servicio que ofrece se lo arrebatan literalmente de las manos los clientes privados, la empresa crece y prospera.
Quiere ampliar su base de clientes o penetrar en la existente con más productos y servicios.
Ambos significan más facturación, crecimiento y, al final del día, tu salario.
Pero es precisamente aquí donde hay que preguntarse por qué a los ciberdelincuentes se les niega este sentido comercial. ¿Por qué se da por sentado que lo peor ya ha pasado? ¿Por qué los ciberdelincuentes no quieren abrirnos nueva "clientela" o contentarnos con "productos"?
Aquí me gustaría mostrarles dos enfoques actuales con los que los ciberdelincuentes nos "deleitarán" este año.
- Por un lado, la expansión de una estafa conocida -el cripto-ransomware- a otros grupos de clientes.
- Por otro lado, un "producto" específico para nuevos grupos de clientes, con una inversión inicial más elevada, pero también un beneficio significativamente mayor.
El modelo de negocio original del cripto-ransomware es sencillo: los datos del PC (privado) se cifran y se convierten así en rehenes que pueden ser rescatados pagando una determinada cantidad.
El valor de los rehenes para el chantajeado suele aumentar con la cantidad de datos. ¡Y este es exactamente el punto de partida para un modelo de negocio ampliado!
¿Dónde se encuentran muchos datos importantes por los que el propietario está dispuesto a pagar el máximo rescate posible? Puede que ya lo haya adivinado: en las bases de datos de las empresas.
Esta es precisamente la razón por la que los ciberdelincuentes fueron a buscarla, y la encontraron en MongoDB, una base de datos NoSQL muy utilizada.
Para simplificar el desarrollo, prescinde de toda autenticación en la instalación estándar.
Si una base de datos de este tipo se transfiere ahora a un funcionamiento regular y es posible incluso que sea accesible desde Internet, el desastre está programado: Los atacantes encriptan los datos de la base de datos y dejan un mensaje en la base de que los datos pueden ser desencriptados de nuevo previo pago de bitcoins.
En 2016, se tomaron como rehenes hasta 27.000 bases de datos al día.
Una vez que el modelo de negocio ha demostrado su eficacia, se buscan variaciones.
Actualmente, el "secuestro" o encriptación de servidores ElasticSearch. Detrás del término ElasticSearch se esconden multitud de motores de búsqueda para sitios web y otros servicios.
Ahora se podría discutir durante mucho tiempo por qué las bases de datos productivas están colgadas en Internet sin ningún tipo de copia de seguridad.
El hecho es que siempre hay nuevos servicios disponibles en Internet. Ponerlos en línea y confiar en que nadie los encontrará es ilusorio.
Se recomienda visitar shodan.io, un motor de búsqueda de "cosas" (servidores, dispositivos, servicios) en internet.
En pocas palabras: si conecta un servicio en línea, también se encontrará.
Si el servicio no está configurado de forma segura (y las bases de datos sin contraseña son un ejemplo muy destacado en este sentido) o presenta otras vulnerabilidades de seguridad, hay que asumir que se verá comprometido.
Sobre todo si se puede ganar dinero con ello.
En resumen, las perspectivas de futuro son (desgraciadamente):
"Siempre se puede hacer peor".
Por tanto, ponga en marcha medidas de seguridad específicas, también con vistas al futuro.
Por supuesto, esto no debe degenerar en pánico y accionismo - pero el otro extremo, la parálisis por shock, tampoco ayuda.