12.10.2022 - 21:40
La setmana passada, el Consorci Sanitari Integral va rebre un atac informàtic greu. Va afectar els hospitals Dos de Maig de Barcelona, Moisès Broggi de Sant Joan Despí i l’Hospital General de l’Hospitalet de Llobregat i uns quants centres d’atenció primària. En un primer moment, l’atac va inutilitzar els sistemes informàtics i va impedir d’accedir als historials mèdics, introduir-hi dades, programar visites, enviar correus electrònics o usar aparells mèdics. Tanmateix, aquesta setmana s’ha sabut que l’atac va ser encara més greu: van robar cinquanta-quatre gigues de dades, que inclouen fotografies dels documents d’identitat dels pacients i els seus historials mèdics. Una infracció greu del Reglament General de Protecció de Dades que podria implicar una multa fins de vint milions d’euros al consorci. El ciberatac ha estat reivindicat per un grup criminal conegut, Gold Dupont. L’Agència de Ciberseguretat de Catalunya mira de minimitzar l’impacte de la publicació de les dades robades. Aquest atac s’afegeix a uns altres de molt semblants que han passat al nostre país fa poc. De fet, és un fenomen com més va més freqüent i ja mou més diners que no pas el narcotràfic, segons els experts. Tot seguit us expliquem les característiques d’aquests atacs i què cal fer per evitar-los o minimitzar-ne les conseqüències.
Què són els atacs de segrests o ransomware?
El ciberatac patit al nostre país no és un fenomen extraordinari. Arreu del món hi ha notícies sobre aquesta mena d’accions que afecten els sistemes informàtics d’infrastructures cabdals, com ara de proveïment d’aigua, governs locals, sistemes escolars i comissaries de policia. Tots els atacs tenen una cosa en comú: es coneixen com a ransomware, o atac de segrest en català. Consisteix que un programari maliciós encripti bona part del disc dur de manera que no es pugui accedir als fitxers sense una clau criptogràfica que solament té el segrestador. Per obtenir-la, ens apareixerà un missatge a la pantalla que ens demanarà una quantitat econòmica, un rescat (ransom en anglès). Segurament l’haurem de pagar en criptomonedes, que poden ser molt difícils –i fins i tot impossibles– de rastrejar. Val a dir que no hi ha res que ens asseguri que el criminal compleixi la paraula i ens doni la clau. L’objectiu de l’atac és aconseguir diners, i una volta obtinguts, els atacants se’n poden desentendre. Però això, l’opció recomanable és no pagar mai. Ara, en alguns casos no hi ha més remei si no hem pres les mesures que us explicarem més endavant.
En general, els atacs de segrest són indiscriminats, sense un destí concret. El més comun consisteix a enviar en massa per correu electrònic o SMS un fitxer contagiat o un enllaç que un usuari desprevingut pot identificar com a normal. Tot s’automatitza perquè els criminals tan sols s’hagin de preocupar de rebre els diners al compte corrent. Tot i això, com més va més comuns són els atacs dirigits a grans empreses o administracions, en què els grups criminals estudien cada cas. El motiu? És on es poden segrestar dades més importants i, per tant, demanar rescats molt més alts. Si en atacs a particulars es poden demanar uns mil euros, en el cas de grans organitzacions se n’han arribat a demanar cinquanta milions. Cal dir que un atac de segrest no implica necessàriament el robatori de les dades. La funció principal és blocar l’accés a fi d’obligar a pagar. Copiar gigues d’informació requereix que els atacants tinguin ordinadors on desar-la, cosa que complica l’atac, l’allarga i augmenta el risc de ser detectats i rastrejats.
Tanmateix, robar les dades, en el cas de grans organitzacions, pot ser una font extra d’ingressos i un element d’extorsió més gran. En aquest cas, són coneguts com a atacs de segrest postintrusió, i tot apunta que el Consorci Sanitari Integral n’ha patit un. Primer s’accedeix al sistema i se’n copien dades, acció que pot durar dies per dificultar-ne la detecció –com ara veure un augment anòmal del trànsit d’internet. L’atac podria acabar ací i comerciar amb les dades en el mercat negre sense comunicar-ho a la víctima, però cada vegada és més habitual de xifrar els ordinadors i demanar-ne un rescat addicional. Per què els atacs per segrestar discs durs són com més va més freqüents i ja superen en valor econòmic al narcotràfic? Hi ha uns quants motius.
Per una banda, hi ha milers de milions d’ordinadors connectats a internet, molts dels quals sense actualitzar. Les tècniques per a atacar-los s’han sofisticat i hi ha programari específic per a fer atacs en massa. És a dir, els cibercriminals poden atacar sense gaire esforç i tan sols cal tenir una taxa d’èxit molt petita per a recollir molts diners. A més, la criptografia s’ha popularitzat i la potència dels ordinadors actuals permet que xifrin el disc dur sense entrebancs. Ara, un element clau poden haver estat les criptomonedes. Abans, s’entrava als ordinadors a robar informació, sense demanar cap recompensa directament, atès que podria ser rastrejada al sistema bancari tradicional i es podien blocar comptes. Amb les criptomonedes, s’ha establert un sistema de pagament internacional sense autoritats centralitzades de control que puguin blocar-les. I malgrat que la majoria sí que poden ser rastrejades per personal molt especialitzat, n’hi ha algunes, com ara Monero, que són completament anònimes.
Com s’arriba al segrest de les nostres dades?
Aquesta mena d’atacs s’ha convertit en un negoci molt lucratiu, amb grups criminals professionalitzats al darrere. Però, com s’arriba a haver de pagar un rescat per recuperar les nostres dades? En primer lloc, cal entendre que els ordinadors sempre tenen vulnerabilitats. És inherent a la informàtica, i afecta qualsevol programari o sistema operatiu, sigui Windows, Mac o Linux. Per això totes les companyies informàtiques cerquen errors contínuament i els van corregint mitjançant actualitzacions. Però poden ser explotats fins que les empreses no els identifiquen. Aquestes menes de forats de seguretat són conegudes com a “dia zero”, atès que ningú en tenia constància fins aleshores. Aquesta és la primera tasca que fan els cibercriminals: repassen els codis nous per trobar vulnerabilitats abans no siguin corregides. Val a dir que la major part d’atacs es fan mitjançant vulnerabilitats conegudes de fa mesos i anys, però que arriben a ser fructíferes perquè les víctimes tenen ordinadors sense actualitzar.
Els atacs de segrest tenen un funcionament molt semblant en tota mena d’ordinadors, sigui els de casa, de la feina o en grans sales plenes de servidors. Es fan en dues fases. Primer, es mira de penetrar a la xarxa interna d’una casa o empresa, generalment amb la cerca d’un ordinador que tingui accés directe a internet sense protecció de la intranet, o bé si es troba una vulnerabilitat de la mateixa xarxa. Tant si és amb un atac indiscriminat i automatitzat com amb un atac dirigit a una empresa concreta en què els cibercriminals actuen expressament amb els seus ordinadors, una vegada són dins la xarxa interna de l’empresa, cerquen les vulnerabilitats dels ordinadors que en formen part. L’objectiu és deixar un codi maliciós en un ordinador i que es vagi reproduint a la resta. No hem de pensar que el codi maliciós s’executa immediatament. Generalment, pot estar-se dies, setmanes o fins i tot mesos inactiu per amagar el dia de l’atac i dificultar-ne el rastreig.
Què passa quan finalment el codi maliciós entra en acció? Encripta una proporció molt gran dels fitxers de l’ordinador infectat i els fa inaccessibles. Però no tots els fitxers. És necessari que puguem continuar engegant l’ordinador i el sistema operatiu continuï funcionant perquè hem de poder veure el missatge en pantalla que ens demana el rescat i ens dóna la informació per a fer el pagament i obtenir, en teoria, la clau que ens permeti de desxifrar la informació i tornar a tenir accés als fitxers.
Com podem evitar o minimitzar un atac de segrest?
Els experts alerten que un atac de segrest ha de ser una de les preocupacions principals de les empreses. La primera mesura, i la més important, és dissenyar una bona política per a la xarxa interna, a tot arreu. Per exemple, crear xarxes wi-fi per a convidats diferenciades dels ordinadors de les empreses. O establir nivells d’accés a la xarxa determinats per cada mena d’ordinador. El segon aspecte clau és instal·lar regularment les actualitzacions que van sorgint i corregeixen els forats de seguretat. Del microprogramari (firmware) del maquinari, fins al programari o els controladors dels servidors i perifèrics que controlen la intranet. Cal tenir-ho tot actualitzat rutinàriament. La xarxa interna és la primera barrera i la més important contra els ciberatacs, i és cabdal tenir-la en el millor estat possible.
La segona línia de defensa són els servidors. Com en el cas anterior, hem de tenir-los actualitzats i configurats correctament, amb una política adequada de permisos d’usuari i amb contrasenyes segures. O, fins i tot, sistemes de doble autentificació o amb un sistema de claus en compte de contrasenyes, que és molt més segur. Aquest és un dels inconvenients principals que tenen les empreses, per dos aspectes: en primer lloc, per una qüestió pràctica. Aquesta mena de mesures de seguretat acostumen a ser molestes per als treballadors, que normalment volen evitar-les o, fins i tot, saltar-se-les, perquè pot implicar haver de canviar de contrasenya cada mes, amb el perill de no recordar-la –no podrem repetir la contrasenya o crear-ne una d’un patró molt semblant. També poden fer-nos fer una tasca per a la qual no tinguem permisos i que ens hàgim d’esperar hores o dies que el departament d’informàtica ens els faciliti. Tot plegat ens enllaça amb la segona qüestió: les empreses acostumen a no tenir el personal informàtic necessari per a fer totes aquestes tasques, de manera que el resultat és que la xarxa i els equips no sempre estan actualitzats. I els treballadors segueixen procediments que, tot i ser més pràctics en el dia a dia, no són els més segurs. Un equilibri molt difícil de trobar i que afavoreix els atacants. Per això, els experts recomanen, en el cas de grans companyies, contractar empreses especialitzades que vetllin per la configuració i actualització de tot el sistema informàtic.
Finalment, hi ha els ordinadors i dispositius dels treballadors. També han d’estar actualitzats, amb antivirus i seguir les polítiques de seguretat. No han d’executar documents o enllaços sospitosos i han de separar els correus i missatges personals dels professionals. També podem fer accions com ara no connectar els mòbils personals a la wi-fi dels treballadors (amb més permisos), en compte de la de convidats. Si hem de tenir un ordinador antic, sense actualitzar, ha d’estar desconnectat de la xarxa. Pot ser el cas de màquines que funcionen amb un sistema operatiu antic, pel qual ja no hi ha actualitzacions.
Què fer en cas de patir un atac de segrest?
Tot i que seguim totes les recomanacions anteriors, encara hi ha perill de patir un atac de “dia zero”. Acabarem amb el nostre disc dur xifrat i algú demanant-nos un rescat. La primera que haurem de fer és desconnectar els ordinadors de la xarxa interna i d’internet. En els casos més greus, desconnectar tota l’empresa. L’element clau per a tornar a la normalitat són les còpies de seguretat. Ens permetran de formatar del tot els ordinadors afectats i restaurar les dades sense haver de pagar cap rescat. Caldrà tenir una política prèvia de còpies de seguretat. Amb quina freqüència les fem? Sistemes com ara el Time Machine als ordinadors Mac fan una còpia cada hora durant un dia. D’aquestes, en conservarà una per dia durant una setmana. Passada la setmana, en conserva una per setmana indefinidament, mentre hi hagi espai de disc dur. Per a Windows i Linux hi ha sistemes equivalents. A més, hi ha dispositius especialitzats per a còpies de seguretat, com ara els NAS. Tanmateix, per evitar que també ens segrestin els discs durs amb les còpies de seguretat, haurem de tenir-ne fora de línia, desconnectades de la xarxa. Les empreses ja ho tenen en compte. A casa, haurem de fer una còpia extra en un disc dur extern que desarem en un calaix.
A partir d’ací, tocarà de reinicialitzar totes les contrasenyes i credencials d’usuaris, especialment els comptes d’administrador i més comptes de sistema. Tot seguit, caldrà formatar els ordinadors afectats, reinstal·lar el sistema operatiu i restaurar les dades a partir de la còpia de seguretat. Recordeu que el codi maliciós podria haver estat inactiu durant mesos? Això vol dir que les nostres còpies de seguretat poden contenir-lo, també. De manera que primer haurem de determinar quines còpies de seguretat no el contenen. Haurem de connectar-nos a una xarxa segura i neta per baixar totes les actualitzacions i un antivirus. Una vegada fet això, podrem reengegar la xarxa interna i monitorar el trànsit, i fer servir un antivirus per veure si encara persisteix el codi maliciós. Caldrà comprovar-ho ordinador a ordinador i en un ordre que eviti la reinfecció. Una tasca gens senzilla, que pot durar dies i crear grans pèrdues econòmiques a l’empresa, encara que aconsegueixi de restaurar les dades sense pèrdues significatives.
Haurem de millorar els sistemes operatius, antivirus i maquinari per dificultar aquesta mena d’atacs o, si més no, minimitzar-ne les conseqüències. Del punt de vista dels usuaris, cal facilitar la seguretat sense que calgui recordar contrasenyes contínuament ni tenir un sistema tan rígid que no es pugui treballar fàcilment.