El diario norteamericano The New York Times ha publicado una historia fascinante sobre el que podría ser el mayor robo de la historia. Según la noticia, los ladrones han conseguido, al menos, 300 millones de dólares, pero esta cifra podría llegar a triplicarse alcanzando casi los 1.000 millones de dólares.
Para llevarlo a cabo, los ladrones han utilizado malware para infectar a los empleados, comprometer sus máquinas y dar a los ciberdelincuentes acceso a la red interna. Así, los atacantes estudiaron el funcionamiento interno del trabajo habitual desarrollado en las entidades, para que las transferencias que tenían previstas hacer no llamaran la atención y se confundieran con operaciones normales del día a día.
A lo largo del día de hoy se va a publicar un informe que despejará algunas dudas sobre el ataque. Me ha llamado la atención la forma en la que comienza el artículo, con lo que se supone que es el inicio hollywoodiense de la historia: un cajero automático en Kiev comienza a “escupir” dinero del cajero sin que nadie la tocara.
Lo más sorprendente no es el hecho en sí mismo. Un cajero no deja de ser un ordenador y atacarlo para que pueda obedecer órdenes ajenas a las de la entidad es perfectamente posible. Sin embargo, si algo no tiene sentido es que los delincuentes se molestaran a llevar a cabo este ataque cuando, al mismo tiempo, son capaces de robar cientos de millones de dólares sin llamar la atención a través de simples transferencias.
La explicación a este misterio es bien sencilla. No se trata de un robo, sino de cientos de ellos. Múltiples entidades bancarias de países diferentes han sido víctimas del ataque, y en cada una han llevado a cabo los ataques que mejor se adaptaban al nivel de compromiso que consiguieron, en función de a qué conseguían acceso, etc. En aquellos que podían hacer transferencias y mandar el dinero fuera, hacían eso. Si no podían pero tenían acceso a hackear los cajeros, sacaban el dinero así.
Hora de ponerse serios
Los ciberdelincuentes han comprometido 100 entidades bancarias de 30 países. Por la información que ha transcendido hasta el momento, algunos empleados recibieron correos electrónicos que infectaron con malware sus ordenadores. Una vez comprometido un ordenador, es relativamente sencillo –al menos para ellos- moverse de forma lateral por la red interna, comprometiendo más ordenadores y consiguiendo acceso a todos los recursos que necesitan. Cuando ya tenían el control del equipo clave, instalaban otro malware troyano que les permitía el acceso completo al mismo.
A la luz de los datos revelados está claro que las pérdidas que puede generar un robo así son masivas, y llama mucho la atención que un ataque de este tipo haya pasado desapercibido durante tanto tiempo (llevan con él desde finales de 2013). Las entidades bancarias que conozco se toman la seguridad muy en serio. No me cabe duda de que todas tenían algún producto de seguridad instalado, con un equipo que se encarga de la correcta operación del mismo. Tampoco dudo de que se trataba de algo insuficiente, aunque es muy fácil decir algo así cuando acabamos de ver la magnitud del compromiso.
¿Qué se debe hacer? ¿Hay alguna manera de parar todos estos ataques? No existe ningún sistema perfecto, ni 100% infalible a ataques. Sin embargo hay medidas relativamente sencillas de implementar que aumentarían la seguridad de forma exponencial, evitando ataques como el sucedido.
Para empezar, en un banco es muy discutible que se deba dejar a cualquier empleado instalar y ejecutar (conscientemente o no) cualquier software que no haya sido aprobado previamente por el equipo encargado de la seguridad. Sólo con prohibir la instalación de software no autorizado ya puedes olvidarte de la mayoría de los ataques que se producen.
Debemos recordar que este ataque ha sido calificado por un representante de la empresa que lo ha estado investigando como “uno de los ataques más sofisticados nunca vistos”, y aún así los atacantes han necesitado enviar un email, que un empleado abriera ese correo electrónico y ejecutara un fichero adjunto (o pinchara sobre un enlace).
Se puede pensar que el ataque pudo utilizar alguna vulnerabilidad desconocida para comprometer el ordenador, algo que hemos visto en el pasado y que es perfectamente plausible. En ese caso, simplemente la visita a una página web puede comprometer el ordenador. Sin embargo, si contamos con un sistema que monitorice el comportamiento de los procesos que están en ejecución en cada ordenador de la red, podemos detectar ataques de este tipo. Si ves que el proceso del navegador, por ejemplo, se descarga y trata de ejecutar un programa desconocido, bloquéalo automáticamente y problema resuelto.
Algún lector podrá pensar que si esto fuera tan sencillo, todas las grandes empresas utilizarían este tipo de sistemas, si no en todos sus ordenadores al menos en aquellos que tengan acceso a información crítica y que haya que tener especialmente protegidos. Lamentablemente, apenas existen en el mercado soluciones de este tipo: las aplicaciones basadas en whitelisting, que básicamente sólo dejan ejecutar ficheros que ya conocen, son muy engorrosas de utilizar en el día a día y, para colmo de males, una vez dejan ejecutar un proceso (el navegador de Internet , por ejemplo) no lo monitorizan.
¿Qué nos queda? Bien, desde mis más de 16 años de experiencia en el mundo de la seguridad informática os puedo asegurar que es hora de ponerse serios. Hay que dejarse de miedos y apostar por tecnologías rompedoras que permitan tener un control de todo lo que sucede en nuestra red. Que sean lo suficientemente flexible como para darme la opción de “echar el cerrojo” y no permitir la instalación y ejecución de nada que sea desconocido, o bien poder ser un poco más abierto siempre que tengamos información puntual de lo que va sucediendo en la red y que cualquier software desconocido que se ejecute deje de serlo sin tener que desperdiciar el tiempo del equipo de seguridad de la empresa en dicha tarea.
Por supuesto cualquiera de nuestros productos es capaz de detector y bloquear este malware. Algunas de las detecciones fueron creadas hace muchos meses, mucho antes de que se hiciera público que pertenecían a este ataque. Sin embargo, me gustaría aclarar que detectar *hoy* este malware es algo trivial, tanto para Panda como para cualquiera de nuestros competidores. La habilidad de bloquear estos ataques cuando estaban sucediendo es lo que marca la diferencia. Es por eso que el uso de tecnologías y servicios como las que ofrece Panda Advance Protection Service debería ser algo imperativo.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
