Autor: Héctor Francisco Fumarola Tejada
El Ransomware, término proveniente del inglés Ransom (rescate) y Software (programa), es un tipo de malware, que luego de infectar un dispositivo informático, luego de esto el malware hará inutilizable el o los equipos infectados, mediante el cifrado de los archivos contenidos en el equipo, para luego exigir un rescate para liberar la información y equipos secuestrados.
Esta modalidad delictiva es especialmente peligrosa, ya que al ser su grupo objetivo entidades de alto perfil -empresas, organismos gubernamentales, universidades, hospitales- la potencial afectación, tanto económica como social, no sólo recae en la empresa u organismo víctima del software malicioso, sino que también pueden afectar a la colectividad, interrupción en la cadena de suministros, problemas en la distribución de servicios básicos.
Por ejemplo, veamos lo ocurrido a la cervecera Damm en el mes de noviembre del año 2021, en el que un ataque con Ransomware logró paralizar el funcionamiento de su planta de producción ubicada en El Prat de Llobregat. Según fuentes de la propia compañía, la afectación llegó al punto que, de no resolverse la afectación a los servidores en los días próximos al ataque, podría quedarse sin stock de producto, afectando así la distribución.
En entrevista brindada a h50, Alfonso Ramírez Patiño, Director General de Kaspersky Iberia afirmó que el año 2020 no solo ha sido el año en que inicio la pandemia de Covid-19 sino que también es el año en el que se hemos sufrido un aumento en este tipo de modalidad delictiva y no solo esto, sino que adicionalmente se observa evolución en este tipo de ataques.
En este sentido nos indica que, ya los ataques no se limitan solamente al cifrado de datos, en cambio destaca el cambio en el modus operandi de los ciberdelincuente, en el que ahora la amenaza radica en la exfiltración de datos, lo que supone un gran problema legal para las empresas, ya que se pueden ver comprometido, no solo sus propios datos confidenciales, sino que incluso los datos de sus clientes, lo que podría llevar a graves consecuencias legales como sería la violación a la Normativa Europea de Protección de Datos, lo que podría acarrear demandas y multas a las empresas víctimas de estos ciberataques.
Un ciberdelito que se viraliza a escala mundial
Como hemos señalado con anterioridad, con una economía cada vez más digital, los datos son almacenados en archivos digitales, razón por la cual los ciberdelincuentes buscan formas de sacar ventaja de ello y el Ransomware es una herramienta ideal para tal fin.
En una investigación llevada a cabo por la empresa israelí Cyberint, el 48% de los ataques de Ransomware a nivel mundial fueron llevados a cabo contra compañías u organizaciones estadounidenses, teniendo como objetivo principal los sectores industrial y energético, el comercio minorista y el financiero. El estudio revela que en el año 2021 se dieron 2,845 ataque, sólo en los Estados Unidos la cifra llegó a los 1,352, es igualmente destacable las cifras registradas en Francia, Reino Unido, Canadá, Alemania e Italia donde la cifra supero el centenar. En el caso de España, aunque menor, la cifra es igualmente considerable llegando a los 55 ataques, cifra similar a la registrada en Australia.
En cuanto a los sectores más afectados el estudio revela que el industrial y energético, y el comercio minorista reportaron más de 500 ataques en el año 2021, para el mismo periodo las finanzas y los bienes raíces superaron los 300 ataques. Consideramos importante señalar lo preocupante, sobre todo en tiempos de pandemia, que resulta la cifra registrada en el sector de salud, donde se llegó a los 121 ataques.
El ataque a la Colonial Pipeline
El 7 de mayo de 2021, se dio lo que en la prensa estadounidense se conoció como “El mayor ciberataque exitoso a una infraestructura petrolera en la historia de América”, este ataque tubo como objetivo la Colonial Pipeline, un oleoducto que transporta combustible para aviones a gran parte del sur y la costa este de Estados Unidos. Debido a la importancia de la infraestructura atacada la empresa, bajo la supervisión del FBI, pagó el rescate de 77 Bitcoins ($4.4 millones), en las primeras horas del ataque; sin embargo, la herramienta proporcionada por el grupo DarkSide, sospechoso de ser el responsable del ataque, tuvo un tiempo de procesamiento tan lento, que no fue hasta el 12 de mayo, cinco días después del ataque, que se logró reestablecer el servicio.
Análisis Jurídico ¿Ante qué tipo de delito nos encontramos?
La conducta delictiva derivada de un ataque de Ransomware, debido a su complejidad, no constituye una única infracción a la norma penal, sino que constituye la violación de una multiplicidad de normas dependiendo del alcance del ataque.
En un ataque masivo como el analizado con anterioridad nos encontraríamos ante un concurso medial de delitos, en el que se encontraría por un lado el delito de daños agravados contemplado en el Artículo 264.2 del Código Penal. En cuanto a la petición de un rescate para liberar los sistemas o datos que se han hecho inaccesible, lo natural sería pensar que nos encontramos ante el delito extorsión contenido en el Artículo 243 del Código, sin embargo, la jurisprudencia ha optado por asimilarlo al delito de estafa del Artículo 248.2.a del Código Penal.
¿Cómo probar que se ha sido víctima de un ataque de Ransomware?
El primer paso que se debe realizar al ser víctimas de un ataque de Ransomware es la recopilación de pruebas que acrediten dicho ataque. En la fase temprana del ataque se hace necesario que el departamento de informática de la empresa documente con precisión sus hallazgos en informes de incidentes que preferiblemente deben estar firmados y fechados, igualmente útiles son las capturas de pantalla o fotografías tomadas con teléfonos celulares, sobre todo las que capten el mensaje en el que se solicita el rescate.
Posteriormente, una vez interpuesta la correspondiente denuncia, se puede solicitar la práctica de peritajes forenses sobre los equipos afectados, con la finalidad de determinar si el encriptado permite la recuperación de los archivos.
¿Qué hacer para evitar se víctima de un ataque de Ransomware?
Para prevenir ser víctimas de este delito las empresas u organizaciones deben llevar a cabo una serie de medidas de protección que las ayuden a blindar sus sistemas y archivos de este tipo de ataque. Medidas como mantener varias copias de seguridad de los datos críticos de la empresa, en soportes que no se encuentren conectados entre sí y al menos una copia de seguridad en un soporte externo, dar un correcto mantenimiento a los software antivirus, firmware, sistemas operativos y aplicaciones antimalware procurando que se encuentren siempre actualizados son de vital importancia para le prevención de este tipo de ataque. Otra medida fundamental es la constante capacitación del recurso humano de la empresa, orientado a que este conozca como identificar ciber amenazas y cómo actuar ante estas.
En conclusión, el Ransomware es una de las grandes amenazas a la ciberseguridad en el mundo actual y conforme la brecha digital disminuya irá tomando una escala cada vez más global, por lo que es de suma importancia estar preparados para saber cómo protegernos y detectar este tipo de ciber ataque.