LUIS CORRONS, SECURITY EVANGELIST DE AVAST

  • 13 de marzo de 2021
LUIS CORRONS, SECURITY EVANGELIST DE AVAST

“El SEPE no ha facilitado datos específicos sobre el alcance del ataque, aunque se ha comentado que archivos compartidos estaban cifrados”.

 

Avast es líder mundial en productos de privacidad y seguridad digital. Con más de 435 millones de usuarios online, Avast ofrece productos de las marcas Avast y AVG que protegen a las personas de las amenazas en Internet y ante el panorama de amenazas IoT que se encuentran en evolución.

Luis Corrons lleva más de 20 años trabajando en la industria de la seguridad, concretamente en el campo de los antivirus. Actualmente es el Security Evangelist de Avast Software. Anteriormente fue Director Técnico de PandaLabs, el laboratorio de investigación de malware de Panda Security. Luis es reportero de WildList, miembro de la Junta Directiva de AMTSO (la Organización de Estándares de Pruebas de Anti-Malware) y miembro de la Junta Directiva de MUTE (Rastreo e Intercambio de URLs Maliciosas). También es uno de los principales ponentes del sector en eventos como Virus Bulletin, HackInTheBox, APWG, Security BSides, etc.

En esta entrevista Luis Corros comenta sus impresiones al reciente ataque informático al organismo estatal SEPE.

¿Cómo ha sido el ataque cibernético al SEPE?

Aún falta mucha información por aclarar, pero sabemos cómo se han llevado a cabo estos ataques en otros casos. Normalmente todo empieza por un mensaje de correo electrónico malicioso, mediante el que se engaña a un usuario y esto hace que su ordenador acabe comprometido, bajo el control de los atacantes. Éstos utilizan diferentes herramientas para ganar acceso al resto de recursos de la red, servidores, ordenadores personales, etc. Esta etapa puede durar días, o incluso más tiempo dependiendo de la complejidad de la red a atacar. Una vez tienen el control de todo, lanzan un ataque de ransomware que cifra los archivos, impidiendo el acceso a los mismos.

Además, en muchos casos estos ciberdelincuentes se llevan una copia de los datos para que, en caso de que la empresa o institución decida no pagar por tener copias de seguridad, amenazar con hacer públicos esos datos, lo que forzará aún más a la empresa o institución a pagar. En este caso, el SEPE ha señalado que piensan que el objetivo del ataque es daño reputacional, ya que no se les ha pedido una cantidad de dinero de rescate. Sin embargo, si el objetivo fuese dañar la imagen de la institución, lo lógico es que los ciberdelincuentes hubiesen borrado los datos, en vez de molestarse en cifrarlos.

En concreto el tipo de ransomware que parece haber atacado al SEPE es Ryuk, un ransomware que data del 2018 y que parece haber sido creado y gestionado por organizaciones cibercriminales rusas.

¿Se sabe exactamente el nivel de daño causado?

El SEPE no ha facilitado datos específicos sobre el alcance del ataque, aunque se ha comentado que archivos compartidos estaban cifrados. Sin embargo, el hecho de que su página web esté “caída” hace sospechar que el ataque ha afectado -al menos- a parte de sus servidores. El problema aquí es que la solución no solo está en recuperar los datos bloqueados, sino que también hay que averiguar por dónde ha entrado el atacante porque si no conseguimos cerrar la puerta de entrada el ataque puede volver a producirse.

¿Cuál es el importe de rescate solicitado?

El SEPE ha declarado que no se les ha pedido ningún rescate. Sin embargo, este tipo de ataques casi siempre tiene un objetivo económico. En casos similares hemos visto pagos de rescate de cientos de miles de euros, y en alguna ocasión superior al millón.

¿Existen equipos de hackers especialmente preparados para atacar a instituciones gubernamentales?

Los que llevan a cabo este tipo de ataques son ciberdelincuentes profesionales y lo que buscan es sacar el máximo beneficio del ataque. No difieren entre instituciones gubernamentales y empresas privadas, sino que se centran en buscar víctimas susceptibles de pagar el rescate, ya sea por el sistema que tienen, por la sensibilidad de los datos que guardan o por la falta de preparación para afrontar un ataque de esta índole. Por tanto, son profesionales que buscan rentabilidad, independientemente del tipo de víctima.

¿Estamos en una nueva guerra entre estados si se demuestra que los hackers tienen apoyos por parte de su propio país?

No creo que haya ninguna finalidad terrorista tras este ataque de ransomware. El mundo de la ciberdelincuencia se mueve por dinero y este ataque no parece diferir de cualquier otro que hayamos visto recientemente, como el que se produjo en Endesa hace unos meses y que se recuperó en apenas unas horas.

¿Qué medidas en sus propios equipos debe tomar un ciudadano en vista de estos ataques?

Todos los usuarios somos partícipes de contribuir a la seguridad informática de nuestra empresa o institución. El simple hecho de saber que no debemos clicar en enlaces extraños puede salvar la ciberseguridad de una empresa. Sin embargo, es responsabilidad de los ingenieros de sistemas vigilar cualquier patrón extraño en el tráfico de la red, además de enseñar a los empleados a reconocer los tipos de ataques que se pueden producir y cómo evitarlos.

 

AVAST

AGENCIA: LF CHANNEL