Una reciente encuesta del HIMMS demuestra que más del 50 por ciento de los proveedores de asistencia sanitaria en Estados Unidos se vieron afectados por algún tipo de ataque de ransomware en los últimos 12 meses. Esta tendencia también ha empezado a notarse en Europa, donde dos hospitales alemanes han sufrido recientemente una vulneración de sus sistemas. Las instituciones sanitarias deberían tomar las medidas adecuadas para garantizar que el ransomware dirigido a los servicios médicos no se extienda por el continente.

Los ciberdelincuentes se han dado cuenta de que las instituciones sanitarias son blancos fáciles, dada la delicada naturaleza de los datos de los pacientes y la dependencia de los sistemas informáticos para ejecutar correctamente los flujos del trabajo clínico. Imagine una situación en la que no se puede acceder a los registros del laboratorio en un servicio de emergencias, lo que podría interrumpir la atención a pacientes en estado crítico o impedir que los médicos puedan realizar un diagnóstico por no poder acceder a un historial. En estos casos, si la vida de un paciente está en juego, pagar un rescate podría ser la mejor salida.

Cualquier dispositivo conectado puede verse afectado, incluidos los teléfonos móviles, los equipos médicos, los wearables o los sensores de IoT.

El ransomware ha estado presente desde hace mucho tiempo pero nunca ha sido tan popular o rentable como lo es ahora. A diferencia de otros tipos de malware que intentan robar datos, el ransomware pretende provocar alteraciones, ya sea encriptando archivos o datos valiosos, o bloqueando el sistema hasta que se cumplan las exigencias. Robar un número de tarjeta de crédito y utilizarlo para cometer un fraude es cada vez más difícil, ya que es necesario realizar muchos pasos, y los bancos y los establecimientos disponen de controles en cada etapa del proceso para detectar e impedir las operaciones fraudulentas. Sin embargo, el ransomware requiere menos pasos hasta su ejecución y aprovecha la urgencia y el pánico que provoca para forzar el pago del rescate. Asimismo, el anonimato ofrecido por la red TOR (también conocida como Dark web o red oscura) y los Bitcoins ofrecen la vía de entrada perfecta. Según Forbes, el ransomware Locky infecta a unos 90.000 sistemas al día y normalmente exige a los usuarios el pago de 1 Bitcoin (algo menos de 500€) para desbloquear los sistemas. En Beazley Breach Response Services afirman que, durante el primer trimestre de 2016, se reportaron 18 incidentes en servicios sanitarios que podrían atribuirse a estos ataques malintencionados (ransomware).

Con gran frecuencia los ataques de ransomware comienzan con un e-mail de phishing. El informe 2015 Verizon Data Breach demostró que el 23 por ciento de los destinatarios abren estos mensajes y que el 11 por ciento hace clic en los adjuntos para abrirlos. Esto significa que, de cada 100 destinatarios, 2 serán víctimas del ataque, una estadística abrumadora.

Un enfoque más dirigido del phishing, el llamado “spear phishing”, resulta aún más eficaz. ¿Qué probabilidad hay de que una persona haga clic en un e-mail que parece proceder de su servicio de atención médica primaria con un informe de laboratorio adjunto? ¿O un e-mail de tráfico con una multa de velocidad en una fecha, hora y lugar que coincide con su trayecto diario y un enlace para que consulte los datos de la multa? Una vez que se pulsa, el enlace abre una página falsa que activa una descarga oculta para instalar el ransomware en el dispositivo. Otros métodos para proceder a la descarga incluyen las memorias USB infectadas, vulnerabilidades en las aplicaciones de software sin parches, o la publicidad maliciosa (en este caso, los usuarios pinchan en un anuncio y son dirigidos de un sitio inofensivo a uno malintencionado), entre otros.

Muchos de los controles de seguridad tradicionales suelen fallar en la detección del ransomware si sólo buscan comportamientos inusuales e indicadores de peligro. Una vez dentro del sistema, el ransomware se comporta como una aplicación de seguridad y puede denegar el acceso a sistemas y programas. No suele afectar a los archivos y sistemas básicos, y tan solo restringe el acceso a la interfaz. Si esto se suma a la ingeniería social, los ataques pueden resultar realmente efectivos. Un posible escenario comienza con una página que muestra que la policía ha bloqueado el ordenador por descarga ilegal de películas, a lo que suele seguir una llamada de un “agente” exigiendo un pago. Además de los dispositivos tradicionales que resultan vulnerables, cualquier dispositivo conectado puede verse afectado, incluidos los teléfonos móviles, los equipos médicos, los wearables o los sensores de IoT.

El ransomware también puede comportarse como un programa de encriptación y ejecutarse sigilosamente, encriptando tipos de archivo concretos (.xls, .pdf, .doc, .pst y otros). Los archivos encriptados tendrán una extensión modificada y las aplicaciones nativas no podrán abrirlos. La exigencia de rescate se producirá poco tiempo después, normalmente con un límite de tiempo, tras el cual se destruirá de forma permanente la clave de descifrado. Hoy en día, vemos que los atacantes utilizan algoritmos estándar de la industria (RSA, 3DES, AES) con mayor frecuencia y técnicas de cifrado con clave asimétrica, lo que hace prácticamente imposible descifrarlos si no se tiene la clave. Una vez que se paga el rescate, la víctima recibe la clave de descifrado para recuperar sus archivos.

Entre las variedades de ransomware más utilizadas últimamente para infectar a las organizaciones sanitarias destacan Samsam, Maktub Locker, Locky, TeslaCrypt y WinPlock4.
Cómo protegerse del ransomware

Para minimizar su impacto, el planteamiento tiene que ser muy global y con un Sistema de Protección Multicapa. Cada capa tiene su propio cometido y para que un ataque tenga éxito tienen que penetrar en todas y cada una de las capas:

ransomware dell security

 

Es primordial que los usuarios tengan formación y conciencia acerca del ransomware como primera medida de protección. Hay que tratar todos los e-mails con precaución, mirar el nombre del dominio desde donde se envía el mensaje, verificar los errores ortográficos y gramaticales, comprobar la firma y la legitimidad de la petición. Es realmente importante situar el cursor sobre los enlaces para comprobar la dirección a la que apuntan y si alguna URL resulta sospechosa, es recomendable buscarlo en los motores de búsqueda en lugar de hacer clic en el enlace del e-mail directamente (se pueden utilizar para realizar pruebas de ficheros adjuntos o direcciones de enlace, por ejemplo: https://www.virustotal.com // https://malwr.com/submission).

Para fomentar la seguridad, las organizaciones deberán implantar soluciones de seguridad que escaneen todos los adjuntos además de filtrar el spyware y spam. Aparte de la formación regular y de las evaluaciones de riesgos, es necesario realizar pruebas de vulnerabilidad al phishing.

Como la mayoría de los usuarios interactúan fundamentalmente con dispositivos personales y corporativos, éstos están especialmente expuestos si no se gestionan o no cuentan con la protección antimalware adecuada. La mayoría de las soluciones antivirus están basadas en firmas y resultan ineficaces si no se actualizan de forma regular. Además, las nuevas variantes de ransomware se ocultan de forma única y no son detectables si se usan las técnicas basadas en firmas. Muchos usuarios también desactivan sus programas antivirus porque ralentizan sus sistemas. Por lo que, para abordar estas limitaciones, existen soluciones de seguridad a nivel de dispositivo que utilizan el aprendizaje automático y la inteligencia artificial avanzada para detectar el malware. Además tienen la ventaja de causar muy poco impacto en el rendimiento de los dispositivos.

La gestión de estos dispositivos también es un desafío creciente conforme se van introduciendo modelos con múltiples características y diferentes sistemas operativos en los hospitales. Los dispositivos móviles son especialmente vulnerables, como se destacó en el Informe anual sobre amenazas de Dell Security 2016, donde se descubrió que cada vez hay más programas de secuestro que afectan al ecosistema Android. Por eso, es fundamental elegir una solución capaz de automatizar los parches y las actualizaciones de versiones en dispositivos, sistemas operativos, y entornos de aplicaciones heterogéneos, para enfrentarse eficazmente a las ciberamenazas, incluido el ransomware.

La mayor parte de los ataques de ransomware tratan de pasar desde el dispositivo a la infraestructura de soporte a través de la red corporativa, donde se encuentran los datos y las aplicaciones críticas. Por eso, segmentar la red y mantener aisladas las aplicaciones y los dispositivos más importantes en una red separada o LAN virtual puede limitar la propagación. También es imprescindible disponer de Firewalls (cortafuegos) de última generación capaces de escanear todo el tráfico, independientemente del tamaño de los archivos. Con el rápido incremento del tráfico cifrado SSL, como se recoge en el Informe de amenazas de seguridad de Dell, siempre existe el riesgo de descargar malware cifrado que resulta invisible a los cortafuegos tradicionales. Por lo tanto, es importante garantizar que el cortafuegos/IPS sea capaz de descifrar e inspeccionar el tráfico cifrado sin ralentizar la red. La solución debería ser capaz de monitorizar el tráfico entrante y saliente y bloquear la comunicación con direcciones de IP conflictivas cuando el ransomware intenta establecer contacto con sus servidores de comando y control (Mecanismos Antibootnet). Finalmente, en cuanto se detecte una nueva variante de malware, el cortafuegos deberá contar con un proceso de actualización automatizada y de gestión centralizada para desplegar actualizaciones o normas de forma rápida y consistente en todos los nodos.

Para los usuarios remotos que estén fuera del perímetro de la red corporativa, el acceso basado en red virtual privada (VPN) no sólo deberá establecer una conexión segura, sino hacer una consulta al dispositivo para comprobar la conformidad con las reglas determinadas en el dispositivo. Si un dispositivo no tiene las actualizaciones de seguridad necesarias, no será admitido en la red o únicamente se le autorizará el acceso a un conjunto de recursos limitados, además siempre es recomendable que el acceso esté basado en Autenticación fuerte con 2FA o OTP.

Las pruebas periódicas de recuperación en caso de desastre y la continuidad del negocio son igual de importantes que disponer de una estrategia.

Otra medida para no tener que pagar rescates es disponer de una estrategia de copia y recuperación robusta. En función de lo rápido que se detecte el peligro, lo mucho que se haya propagado y que el grado de pérdida de datos sea aceptable, la recuperación desde una copia de seguridad podría ser una buena opción. Sin embargo, esto requiere una estrategia de respaldo más inteligente y que esté acorde con la importancia de sus datos y con las necesidades de su negocio en cuanto al punto y al tiempo de recuperación. Se trata de recuperar el máximo de datos cruciales en el mínimo tiempo. Finalmente, disponer de una estrategia no es suficiente. Las pruebas periódicas de recuperación en caso de desastre y la continuidad del negocio son igual de importantes.

Estar preparadas para enfrentarse a la amenaza de ransomware es una prioridad cada vez más clara para las organizaciones sanitarias. Existe una legislación que se está debatiendo en Estados Unidos y que ampliará las leyes HITECH con el fin de que se contemplen los requisitos de notificación de vulneraciones para los ataques de ransomware. Así los proveedores deberán asumir una carga financiera y legal adicional para poner en marcha planes de reparación, por otro lado en Europa ya está vigente la directiva NIS, y la nueva ley de GDPR, en proceso de divulgación y adaptación, que se espera entre en vigor en Mayo de 2018, donde entre otras muchas medidas y recomendaciones, se tendrá que hacer pública cualquier brecha de seguridad que haya sufrido una corporación y cuyas multas por incumplimiento de la ley, pueden llegar a representar el 4% de la Facturación Global de la misma.