Los ciberataques de ransomware están aumentando en número en Canadá, lo que lleva a los expertos a reiterar la importancia de que las organizaciones se protejan en términos de seguridad digital.
Recientemente, el minorista London Drugs, la ciudad de Hamilton y el gobierno de Terranova y Labrador han sido víctimas de este tipo de ciberataque.
Sin embargo, los delincuentes que a veces se jactan de sus ataques en la web oscura no parecen ser exigentes con sus objetivos, según una pequeña muestra compilada por el analista de Columbia Británica Brett Callow.
Según lo que pudo recopilar, los piratas informáticos también atacaron una red de bibliotecas en Columbia Británica, la Autoridad Sanitaria de las Primeras Naciones de la provincia y una organización benéfica para niños con discapacidades de Ontario.
Los expertos en ciberseguridad sostienen que la ola de ataques tiene graves consecuencias para sus víctimas y el público en general, y recuerdan que las organizaciones necesitan protección en varios niveles.
Sin embargo, el abogado de Toronto Eric Charleston dice que no es tan sencillo. También ha visto casos en los que una prohibición habría significado “un castigo para las víctimas”.
Pero ambos coinciden en que los objetivos potenciales deberían reforzar la seguridad para evitar cualquier violación de sus datos.
Charleston señala que muchos incidentes de ciberataques de ransomware no se denuncian. Por lo tanto, es difícil evaluar con precisión el alcance del aumento del número de ataques, en los que los piratas informáticos exigen el pago de un rescate para no revelar datos confidenciales.
Sin embargo, la llegada de las criptomonedas ha brindado a los ciberdelincuentes, que a menudo residen en países extranjeros, una forma de monetizar el robo de datos, explica.
Las posibles repercusiones de una filtración de datos son considerables, añade Charleston, colíder nacional de ciberseguridad en Borden Ladner Gervais LLP.
Las consecuencias van desde daños financieros y de reputación hasta una posible responsabilidad legal en el contexto de las normas de ciberseguridad “emergentes” en Canadá, afirma.
Las empresas objetivo también pueden estar sujetas a demandas colectivas por violaciones de datos. En mayo, las víctimas de una infracción de seguridad en LifeLabs en 2019 comenzaron a recibir pagos de 7,86 dólares. Puede que esto no parezca mucho, pero el monto total del acuerdo fue de $9,8 millones.
Callow, por su parte, llega incluso a mencionar que este tipo de ataques pueden provocar indirectamente muertes. Cita como ejemplo el trabajo de investigadores de la Escuela de Salud Pública de la Universidad de Minnesota, quienes estimaron que los ataques de ransomware que interrumpieron las operaciones hospitalarias de Medicare entre 2016 y 2021 costaron al menos 42 vidas.
La policía ha logrado algunas victorias contra los ciberdelincuentes, señala Charleston.
Callow, que trabaja para la empresa neozelandesa de software antivirus Emsisoft, confirma que operaciones como la que tuvo como objetivo LockBit socavan la confianza de los ciberdelincuentes.
Sin embargo, LockBit rápidamente comenzó a operar en un nuevo sitio, añade.
Según Callow, LockBit exigió un rescate durante el ataque que tuvo como objetivo London Drugs a finales de abril. El incidente obligó al minorista de Columbia Británica a cerrar todas sus tiendas en el oeste de Canadá durante aproximadamente una semana.
Más tarde, la compañía confirmó que se habían filtrado datos que «pueden contener información de los empleados», diciendo que «no quería» ni «podía» pagar un rescate a los piratas informáticos, a los que describió como «un grupo sofisticado de ciberdelincuentes globales».
Callow, sin embargo, es tranquilizador: en la mayoría de los casos, no ocurre nada con los datos robados, excepto que «permanecen en la red oculta».
Los ataques de ransomware no son la única amenaza digital para las organizaciones.
En Columbia Británica, las autoridades creen que un actor “estatal o patrocinado por el estado” probablemente fue responsable de una serie de ataques en la provincia detectados en abril.
Funcionarios del gobierno canadiense, incluido el ministro de Seguridad Pública, Dominic LeBlanc, emitieron el lunes una declaración conjunta destinada a crear conciencia sobre la amenaza «que plantean las actividades cibernéticas maliciosas de estados extranjeros y sus afiliados».
Algunos Estados extranjeros están llevando a cabo «campañas a gran escala y a largo plazo» para comprometer los sistemas informáticos del gobierno canadiense y del sector privado, se lee en el comunicado de prensa, que menciona, entre otros, a China, Rusia, Irán y Corea del Norte.
El martes, el Auditor General de Canadá publicó los resultados de una auditoría de ciberseguridad que concluyó que el gobierno federal no tiene suficientes herramientas para combatir eficazmente ciberataques cada vez más sofisticados.
Es en este contexto que Ottawa debería lanzar este año una nueva estrategia nacional de ciberseguridad, resultante de la creación del Centro Nacional de Coordinación de la Ciberdelincuencia en 2020.
Un proyecto de ley de ciberseguridad también está atravesando el proceso legislativo federal. Si se adopta, proporcionará un marco para proteger los sistemas en línea vitales para la seguridad nacional o pública, incluso facultando a las autoridades para exigir a ciertos proveedores de servicios que implementen programas de ciberseguridad.
En Ontario, otro proyecto de ley apunta a fortalecer la ciberseguridad de las instituciones del sector público regidas por las leyes existentes de privacidad y acceso a la información.
Los estándares emergentes probablemente se convertirán en una “hoja de ruta” para los argumentos de responsabilidad y negligencia posteriores a los ataques cibernéticos, dijo Charleston.
Por su parte, Callow cree que la ciberseguridad debería sujetarse a estándares similares a los que se regulan en otros sectores, como la aviación y la fabricación de automóviles.
Pero va más allá al pedir una prohibición total del pago de rescates.
Callow destaca un informe reciente de los medios de comunicación que sugiere que los funcionarios del Reino Unido deberían lanzar una consulta pública sobre propuestas para prohibir dichos pagos o exigir a las víctimas que denuncien una infracción al gobierno y luego soliciten una licencia antes de realizar un pago.
Charleston abogaría por un enfoque diferente, diciendo que ha visto a ciberdelincuentes bloquear el acceso a un sistema perteneciente a una empresa que probablemente nunca habría podido recuperar sus datos y reanudar sus operaciones si no se le hubiera permitido pagar el rescate.
Callow admite que forma parte de la “minoría” que está a favor de prohibir los rescates.
Sin embargo, ambos expertos coinciden en que algunas amenazas que podrían tener consecuencias graves podrían evitarse con medidas de seguridad básicas, al tiempo que enfatizan la importancia de la seguridad multicapa, monitoreando constantemente cualquier actividad anómala.
Charleston nos recuerda que, aunque las organizaciones cambian con frecuencia sus medidas de seguridad, esto ofrece a los piratas informáticos “nuevos paisajes” para explorar.
“La forma en que los piratas informáticos se infiltran cambia constantemente y el campo de batalla cambia constantemente para que los profesionales de la ciberseguridad mantengan seguras a estas organizaciones. »
