Manuel Jimber: «El autor del ciberataque al SAS en Granada parece ser un único individuo inexperto»

- ¿Hay algún avance en la investigación del ciberataque al SAS en Granada?

En estos momentos hay dos líneas de investigación abiertas, la primera con las Fuerzas y Cuerpos de Seguridad del Estado, que siguen rastreando la procedencia del ciberdelincuente, que lógicamente en un intento por dificultar su identificación, utilizó una cuenta de correo del servicio ProtonMail, un servicio especializado en la privacidad de sus clientes de correo. Además, muy posiblemente, este, utilizase algún tipo de VPN o proxy anónimo, dificultando aún más la obtención de la dirección IP de origen. Por otro lado, se continua con el segundo análisis forense que se está llevando a cabo desde nuestro AndalucíaCERT. Estamos a la espera de las conclusiones de éste.

- ¿Se ha averiguado más sobre el autor?

- En principio se presentó como un BugBounty (cazarrecompensas) autónomo. Inicialmente se mostró engañosamente colaborativo al describir el fallo detectado y los pasos que había que dar para eliminarlo. Incluso en un primer momento, lo que pidió fue un 'donativo' por su labor. Los que se dedican a programas de BugBounty son hackers éticos que se acogen a un contrato con una organización o empresa para que éstos detecten fallos en sus sistemas, redes o servicios web. Pero por nuestra parte no contestamos a este tipo de extorsiones, de forma que el ciberdelincuente decidió aportar pruebas de su acceso, amenazando con hacer públicos los datos filtrados. Este tipo de comportamiento dista mucho de lo que es la filosofía del hacking ético o de los programas de BugBounty, incurriendo en un delito en materia de ciberseguridad.

- ¿Cómo se podría describir la técnica empleada?

- Actualmente los servicios publicados en Internet están en el punto de mira de los ciberdelincuentes. Para tratar de aprovechar las vulnerabilidades cuentan con buscadores especilizados como Shodan, técnicas avanzadas, utilizando Google Hacking, y extensiones específicas en navegadores como Wappalyzer, entre otras. Además, se reúnen en foros especializados y chats IRC en la Dark Web, donde intercambian información y técnicas. En ese sentido, utilizan herramientas, que muchas veces son pasivas y no detectables por los sistemas de detección y defensa, para analizar la tecnología utilizada en los componentes web. Hay que tener en cuenta que los componentes web hoy en día son bastantes numerosos, y los ciberdelincuentes intentan obtener información entre otros del servidor web utilizado, lenguaje de programación, CMS y plugings, librerías, frameworks, etcétera. Todos estos componentes web son susceptibles de tener vulnerabilidades que aparecen con una frecuencia casi diaria, y que, en conjunción con otras circunstancias, como pueden ser configuraciones por defecto o erróneas, activación de modos de depuración, permisos inadecuados... puede dar lugar a explotaciones exitosas de las vulnerabilidades.

- ¿Qué grado de peligrosidad se le achaca a este incidente?

- Siguiendo la Guía Nacional de Notificación y Gestión de Ciberincidentes, se clasificó este ataque como una intrusión con compromiso de cuenta de usuario con privilegios, compromiso de información y acceso no autorizado a información. Este tipo de incidentes se clasifica con un nivel de peligrosidad alto, en una escala que va desde peligrosidad baja a crítica. Al no afectar a equipamiento ni infraestructuras críticas, el nivel de impacto se establecio en alto. Por ello declaramos el estado de alerta del gabinete de crisis, lo que nos permite dedicar nuestra atención y recursos al incidente en cuestión.

- Las webs de los hospitales afectados por el ciberataque siguen 'en mantenimiento' ¿Cuándo se prevé que estén operativas?

Las previsiones mas optimistas que se están barajando son para finales de octubre, pero dependerá de varios factores. Se está rediseñando la arquitectura de los servicios y la de perímetro de seguridad de los servidores afectados. Estos cambios pueden obligar a otros cambios de mayor calado y actualizaciones que tambien llevarán su tiempo.

- Ante una amenaza de este tipo, ¿qué tiempo promedio se precisa para restablecer todo el sistema 'como si no hubiera pasado nada'?

- Es dificil establecer un tiempo en valores absolutos. Hay varios factores a considerar, fundamentalmente el estado inicial de la infraestructura afectada. Dependerá en gran parte de su antigüedad, los niveles de soporte y actualización de sus sistemas operativos y resto de componentes, así como de los sistemas de información que dan servicio en estas infraestructuras. En función de estos factores, el proceso puede llevar desde unas semanas hasta varios meses de trabajo especializado.

- Desde fuera la petición de un rescate en bitcoins suena casi a cine. ¿Son habituales estas extorsiones?

- Si las intenciones de los ciberdelincuentes son económicas, el proceso habitual si está a su alcance es el de doble extorsión. Lo más usual es que comiencen obteniendo acceso a la red de una organización utilizando alguna cuenta comprometida, normalmente adquirida previamente en la dark web. Una vez hecho esto emplearán técnicas de descubrimiento para identificar objetivos vulnerables y llevar a cabo movimientos laterales y escalado de privilegios. Utilizarán estos privilegios para tratar de descargar algún malware que les permita más adelante cifrar la información y los sistemas. Al mismo tiempo, comenzaran a exfiltrar la información localizada previamente. Todo esto con el máximo sigilo posible para no levantar las alertas de los sistemas de defensa de la organización. Una vez exfiltrada la informacion tratarán de borrar sus huellas y detonarán el malware previamente distribuido en todos los puestos de usuario y servidores a los que hayan podido llegar. De esta forma, el proceso de cifrado comenzará de forma simultanea en todos los dispositivos tratando de impedir asi la reacción de los equipos de respuesta.

- ¿Por qué doble extorsión?

- Consiste por un lado en pedir un rescate a cambio de las claves de cifrado, para que la organización pueda restaurar los datos, y otro por no hacerlos públicos. Por último, los datos obtenidos sobre las personas, podrán ser utilizados tratando de extorsionar o engañar a las personas afectadas por la exfiltración. En este caso, todo ha sido mucho más sencillo y ha quedado solo en una exfiltración de información sobre los usuarios de las webs afectadas. Esto nos hace pensar que no se trata de organización criminal sino de un solo individuo sin mucha experiencia. No pudo llevar a cabo cifrado de datos, y tampoco se llevó datos personales especialmente sensibles, por lo que al rescate el ciberdelincuente lo llamo 'donativo', por la detección de la vulnerabilidad, era muy muy por debajo de lo habitual.

- ¿Suelen ser así los ciberataques al Servicio Andaluz de Salud?

- Gracias a las herramientas de monitorización y defensa, detectamos incidentes de forma continua y afortunadamente, la gran mayoría son neutralizados inmediatamente. La mayor parte de los ataques con impacto en los servicios sufridos por el SAS han sido llevados a cabo contra nuestra cadena de suministro, es decir, dirigidos a proveedores de servicios sanitarios concertados por el SAS con terceros. Varios de estos ataques nos obligaron a cortar las comunicaciones con estos proveedores, afectando esta medida de aislamiento a la prestación de sus servicios al SAS, y por ende, afectando a un conjunto limitado de ciudadanos. Es por esto que resulta fundamental exigir la certificación de los sistemas de información y los servicios que nos prestan en el Esquema Nacional de Seguridad.

- ¿Alguno ha sido crítico?

- Solo en una ocasión, pero fue neutralizado a tiempo y no llegó a ocasionar ningún impacto en los servicios sanitarios. Una madrugada, nuestros equipos de monitorización detectaron movimientos laterales compatibles con ciertas tácticas de intrusión dirigidas a tomar el control de equipamiento crítico para la organización. En menos de dos horas estaban alertados y coordinados nuestros equipos de respuesta propios, los equipos de respuesta de AndalucíaCERT a nivel regional y los equipos de respuesta del centro criptológico nacional. Durante las siguientes 72 horas se llevaron a cabo los trabajos de monitorización y supervisión de la red afectada hasta tener garantías de que los ciberdelincuentes habían sido expulsados y no habían dejado ningun malware ni puertas traseras para reiniciar el ataque más adelante.