Desde la época de WannaCry, allá por 2017, son muchas las campañas de ataques de ransomware que las organizaciones están sufriendo a nivel mundial. En las últimas horas, en plena crisis del Coronavirus, se ha descubierto actividad de un nuevo malware que está siendo utilizado para atacar a hospitales, al menos, aquí en nuestro país parece que está siendo uno de los objetivos principales.

Muchos estudios e informes técnicos han demostrado que la mayoría de estos ciberataques tienen como vector de entrada el correo electrónico, estaríamos hablando entorno al 80% de los casos (o incluso más), aunque bien es cierto que, últimamente, y causado por una mala decisión, se han producido muchas infecciones a través de servidores Terminal Server / RDP (Remote Desktop Protocol) expuestos en Internet.

Centrándonos en el primer vector, mucho más fácil de llevar a cabo, ya que el medio de ataque utilizado, en primera instancia, es el correo electrónico, estaríamos hablando de aprovechar, a través de la ingeniería social, una vulnerabilidad en el recurso humano, el usuario final que recibe dicho correo. La falta de concienciación y de formación para detectar este tipo de amenazas, eleva la probabilidad de que la amenaza acabe materializándose, e infectar el equipo desde donde se abre (paciente cero) y propagar el ransomware al resto de la red.

Aquí es donde entra en juego, el concepto de defensa en profundidad, o multicapa. Se trata de tener en la organización diferentes barreras (capas) de seguridad para proteger nuestra información, a nivel de confidencialidad, integridad y disponibilidad. Una de esas capas, de las últimas, es el propio usuario, con un poco de suerte, después quedaría una última capa que sería la protección del puesto de trabajo (el antivirus, el end-point).

Pero mi intención no es profundizar en estas capas, ni siquiera en la capa justo anterior, la seguridad en el correo electrónico; ese motor de antimalware incorporado en el propio proxy o servidor de correo, o las reglas para detectar posibles correos spam o phishing. Quiero dar un paso más atrás y es en cómo, los ciber-delincuentes, han podido saber las cuentas de correo electrónico de la organización que van a atacar.

En este punto, podríamos incluir el concepto de OSINT (Open Source INTelligence) y hablar sobre cómo conseguir información interesante a través de fuentes abiertas en Internet. Pero ya hay muchos artículos hablando sobre ello, y muy interesantes. Yo quiero centrarme más en la defensa; en la prevención y en la detección.

Pensad que, para llevar a cabo el ataque de ransomware, si el vector utilizado va a ser el correo electrónico, el ciber-delincuente necesita tener un listado de correos electrónicos de la organización. Cuantos más, mejor. Mayor será la probabilidad de que, esa última o penúltima capa de nuestra seguridad en profundidad, falle. Aquí es donde toma importancia la superficie de exposición de una organización, sobre todo a nivel de usuarios, de cuentas de correo electrónico, más allá de la infraestructura IT (servidores publicados, servicios publicados, etc.)

Existen diferentes herramientas de OSINT que permiten rastrear fuentes abiertas y descubrir cuentas de correo electrónico, y además de una forma muy sencilla. Algunas de ellas, incluso on-line, a través de una web. Pero no quiero centrarme en las herramientas o técnicas. La cuestión aquí es, ¿qué puede hacer una organización para reducir su superficie de exposición a nivel de correos electrónicos? La respuesta es muy sencilla. Limitando la cantidad y "calidad" (calidad para el atacante) de la información que se publica.

Además de las herramientas mencionadas anteriormente, fuentes abiertas de información como las redes sociales, son muy utilizadas para recopilar información que pueda ayudar a descubrir cuentas de correo electrónico válidas. Una de ellas es LinkedIn. Pensad que, con el simple hecho de conocer el patrón de nombre de correo electrónico que utiliza una organización, a través de la información publicada en esta red social, podríamos hacernos una idea clara.

Imaginemos que Bart Simpson (cualquier parecido con la realidad es pura coincidencia) ha comenzado a trabajar en el Hospital Springfield. Bart, muy ilusionado, necesita compartirlo con el resto del mundo. Sus grupos de WhatsApp, su Instagram, su Facebook... y cómo no, su LinkedIn. En esta red social indicará el cargo que ocupa, y el nombre del hospital (LinkedIn permite buscar por organizaciones y filtrar por personas que trabajan en ella).

Esta información ya es suficiente para que un ciber-delincuente, que prepara una campaña de ransomware contra el Hospital Springfield, pueda recabar datos interesantes y poder deducir la cuenta de correo de Bart y del resto de compañeros, ya que, el siguiente paso sería descubrir si el patrón que utilizan es el nombre propio separado por un punto (.) y el apellido. O la inicial del nombre seguido del apellido. En cuestión de segundos, el ciber-delincuente tendría varías opciones:

bart.simpson@springfieldhospital.com
bsimpson@springfieldhospital.com
...

Con una simple prueba en el servidor de correo, o mandando correos a estas cuentas, se podría llegar descubrir cuál es la cuenta de correo electrónico correcta, añadirla al listado que se utilizará para finalmente lanzar la campaña de ransomware.

Pensamos que un simple dato como el nombre y la empresa donde trabajo, son datos irrelevantes, pero para este tipo de ataques, y cualquier otro que tenga como base el engaño, la ingeniería social, esta información es muy útil para los atacantes. De ahí, que es fundamental intentar reducir al máximo la superficie de exposición, y no facilitar la recolección de información a los ciber-delincuentes, que pueden aprovechar para llevar a cabo estos ataques de ransomware.

En organización tan sensibles, como los hospitales, las políticas de seguridad y confidencialidad tienen que ser muy estrictas. La información que se maneja en estas organizaciones es de un nivel de sensibilidad muy alto, por lo tanto, las normas y políticas deberían ser más estrictas, y plantearse incluso si permitir a sus empleados publicar o no información de este tipo en sus RRSS.

Hablando de niveles de sensibilidad de la información. ¿Os acordáis de la última capa de seguridad, el antivirus o end-point? En realidad, hay más capas que se podrían añadir a esta defensa en profundidad, que necesitaría previamente de una clasificación y etiquetado de la información. Con la información clasificada por sensibilidad, se podrían aplicar más capas de seguridad como la segmentación de la red o los controles de acceso, que ayudarían a detectar el ataque y parar su propagación. Pero esto daría para otro o varios artículos más. Quizás en breve. :)

Miguel Ángel Arroyo
Security Business Manager en SEMIC