La auditoría y el ransomware – “el secuestro de los datos”
Por: CP Alexander Camargo M. Colaborador de Auditool.
Todo lo que vemos en el mundo real se replica en la red y en sentido contrario. Nuestra capacidad de procesamiento crece en forma que era impensada algunos años atrás. Pero, con este crecimiento, el cibercrimen está cada vez más latente en nuestra vida diaria.
El pasado 28 de noviembre, intenté conectarme con mi proveedor de servicios de salud por teléfono, por WhatsApp, por la app de mi proveedor y, como último recurso, intenté hacerlo por la oficina virtual. Al final, todo fue infructuoso. Lo único que sabía era que la página no estaba disponible.
El día siguiente a las 6 PM, recibí el primer mensaje que informaba a los usuarios de los servicios de salud que la entidad había sido objeto de un ciberataque, y que esta entidad estaba trabajando 24 horas del día para dar la continuidad a la atención de sus afiliados.
En la página de Infobase, sin embargo, se reporta que “Tres días después del ataque cibernético que sufrieron los servidores de la empresa prestadora de servicios de salud (EPS) el pasado domingo 27 de noviembre, los pacientes y usuarios están enfrentando un calvario para acceder a la agenda de citas médicas, imágenes diagnósticas y dispensación de medicamentos.” e informa que posiblemente el ataque sufrido corresponde a un Ransomware.
Un Ransomware es una modalidad de extorsión digital en la cual los ciberdelincuentes secuestran los datos y extorsionan al propietario para liberar dichos datos. Un Ransomware también se reconoce como el software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados, El virus lanza una ventana emergente en la que nos pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual.
Según el informe de Amenazas cibernéticas 2022 de SonicWall, este tipo de ataque concentra el mayor número de titulares y ocupa el segundo lugar en las preocupaciones después del Phishing. Según este informe, Colombia es uno de los 10 países con un mayor volumen de ataques Ransomware en 2021. Ocupando el 6 lugar. Las características de este ataque se han venido innovando y ahora encontramos:
- Ataques que incluyen la nueva táctica de la Tripe Extorsión, en donde además de extorsionar a la entidad también extorsionan a personas incluidas en los datos utilizando filtros para identificar quién podría tener más que perder, y luego exigir un rescate a ellos también.
- Ataques a la Infraestructura, casi todas las facetas de la vida cotidiana están amenazadas por ransomware, hospitales, departamentos de policía, plantas de agua, la tubería de combustible, productores de alimentos y escuelas.
En mi experiencia como Auditor en Empresas de diferentes tamaños, en las PYMES, existe una baja conciencia de este riesgo y en muchas no existe una cultura de riesgos y seguridad de la información, sin embargo; que un jugador importante del sector sea objeto de este ataque, y que sus RPO y RTO puedan llegar a tomar más de una semana… se constituye una campana de Alerta para que la Superintendencia de Salud tome cartas en el asunto.
RPO : el objetivo del punto de recuperación se refiere a la cantidad de datos que se pueden perder dentro del periodo mas relevante para una empresa, antes que ocurra un daño significativo, desde el punto de un evento critico hasta la copia de seguridad con mayor presencia.
RTO: el objetivo de tiempo de recuperación se refiere a la cantidad de tiempo que una aplicación, sistema y/o Proceso pueden estar inactivos sin causar un daño significativo a la empresa, así como el tiempo dedicado a restaurar la aplicación y sus datos.
Pues bien, la tecnología que soporta el sector salud debe ser como los proveedores de servicios de salud que mantienen adecuados programas de prevención. En Ciberseguridad como vemos es mejor prevenir que curar.
Los temas que debemos revisar como auditores incluyen:
- ¿Están los datos separados física y lógica, es decir los datos están adecuadamente aislados?
- ¿Se preserva la confidencialidad e integridad de datos con capas de seguridad y controles?
- ¿Se utilizan técnicas de aprendizaje automático y de análisis que ayudan a garantizar la capacidad de recuperación?
Las normas de gestión de riesgos en el sector salud viene avanzando, sin embargo; para lograr un sistema de salud resiliente se requiere la resiliencia cibernética y para garantizar la continuidad de las operaciones del sector.
Para finalizar, no podemos olvidar que la soga siempre se quiebra por lo más delgado, y los Ciberdelincuentes lo saben…
El estudio antes mencionado, nos muestra diferentes ataques de Ramsonware y concluye que “estos ataques Podrían haberse evitado con una mejor higiene de las contraseñas y autenticación multifactor”. Se demostró que las entidades objeto de los ataques compartían contraseñas, o sus colaboradores no eran obligados a cambiar las contraseñas, o se usaban contraseñas que podían ser adivinadas fácilmente con el uso de ataques de fuerza bruta.
Si bien la ciberdefensa se ha vuelto más sofisticada y especializada en el tiempo, en algunos casos la prevención más simple sigue siendo una de las mejores estrategias.
CP Alexander Camargo M
Contador Público, CFCS “Especialista Certificado en delitos financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda. www.auditorescyg.com
Comentarios