Pasó 24 años construyendo su negocio. Un ataque de ransomware lo hizo añicos.

Fran Finnegan estaba de vacaciones en Nueva York justo antes del fin de semana del 4 de julio cuando recibió un mensaje de texto perturbador de uno de sus clientes: ¿Cómo es que su sitio web no funciona?

Finnegan buscó rápidamente una computadora para examinar de forma remota su sitio, que brinda acceso a millones de documentos presentados ante la Comisión de Bolsa y Valores.

Allí descubrió un desastre que se desarrollaba frente a sus ojos en tiempo real. Los piratas informáticos habían violado la seguridad de su sitio y se habían apoderado. Observó impotente cómo encriptaban todos sus archivos, colocándolos fuera de su alcance.

“Tan pronto como pude, los apagué”, me dijo Finnegan, de 70 años, desde su casa en el Área de la Bahía de San Francisco. «Pero el daño fue hecho.»

El ataque había comenzado el fin de semana anterior, por lo que durante cuatro días los piratas informáticos tuvieron libre acceso, saqueando la materia prima del negocio de Finnegan como ladrones asaltando un museo sin temor a ser capturados. «Perdí todo lo que esencialmente constituye toda mi operación».

Cuando los piratas informáticos terminaron, dejaron a Finnegan un mensaje con una calavera y huesos cruzados sobre un siniestro fondo negro, en el que se leía «Sus archivos están cifrados» y le proporcionaron una dirección de correo electrónico a la que podría escribir para conocer el costo de una clave de descifrado para restaurar su archivos.

Fue otro ataque exorbitante de ransomware, en el que los piratas informáticos secuestran de manera efectiva el elemento vital digital de una empresa y se ofrecen a restaurarlo, por un precio.

Estos ataques se están convirtiendo en una ocurrencia casi diaria, aunque generalmente están dirigidos a grandes empresas con los medios para pagar un rescate multimillonario (generalmente exigido en bitcoins u otra moneda digital).

Los objetivos suelen tener el tipo de huella comercial, política o económica (piense en sistemas hospitalarios, universidades y agencias gubernamentales) que hacen imperativas las resoluciones rápidas.

Ataques de ransomware notables este año han afectado a Colonial Pipeline, que tuvo que reducir las entregas de gasolina a los clientes en el noreste durante el episodio, y JBS Foods, un procesador de carne internacional. Ambas compañías pagaron un rescate: $ 4,4 millones y $ 11 millones, respectivamente, aunque el FBI recuperó gran parte de la recompensa colonial.Las boquillas de combustible fuera de servicio están cubiertas de plástico en una bomba de gasolina en una estación de servicio después de una interrupción del suministro de gasolina causada por el hack de Colonial Pipeline, en Waynesville, Carolina del Norte, el 11 de mayo de 2021. (Martin Brossman vía Reuters)

El ataque de mayor alcance parece ser el que afectó a Kaseya, una empresa de tecnología de la información cuyos clientes atienden a miles de pequeñas empresas, justo antes del fin de semana festivo del 4 de julio.

Pero la mayoría de los ataques parecen pasar desapercibidos. El servicio de información al consumidor Comparitech documentó 92 ataques de ransomware en el campo de la salud de EE. UU. En 2020, que afectaron a más de 600 clínicas, hospitales y otras organizaciones y a más de 18 millones de registros de pacientes. Comparitech estimó el costo de esos ataques, incluidos los rescates pagados, el tiempo de inactividad y la recuperación, en unos 21.000 millones de dólares.

“El ransomware está en todas partes”, dice el experto en ciberseguridad Brian Krebs. «No hay una sola industria que no esté lidiando con este problema en este momento».

Eso no significa que estén teniendo mucho éxito. «Hay muchos depredadores haciendo esto, y la razón por la que tenemos tantos de ellos es porque hay muchas presas fáciles», dice Krebs. “O tenemos que hacer algo con el volumen de presas que hay o empezar a sacar a algunos de los depredadores del tablero. No es una pelea justa en este momento para muchas empresas ”.

El ataque al sitio de Finnegan es un giro en lo que podría considerarse ransomware tradicional, que generalmente implica la implantación de software malicioso en un sistema objetivo y su uso para causar estragos desde adentro. Finnegan cree que sus atacantes obtuvieron acceso a sus datos a través de un método diferente, el uso de una contraseña robada.

Pero cae en la categoría más amplia de extorsión digital. Finnegan no se ha comunicado con los piratas informáticos a través de la dirección de correo electrónico que dejaron porque descubrió a través de una búsqueda en Internet que está asociado con un grupo acusado de tomar el dinero de las víctimas pero no entregar una clave de descifrado. Así que se queda con la restauración de sus datos virtualmente a mano.

El negocio de Finnegan, secinfo.com, brinda a sus suscriptores acceso a todos los documentos de divulgación financiera presentados ante la Comisión de Bolsa y Valores: informes anuales y trimestrales, declaraciones de poder, divulgaciones de los principales accionistas y mucho más, un vasto depósito de información financiera disponible públicamente.

Todos estos documentos están disponibles de forma gratuita directamente en el sitio web de la SEC o en los de las empresas emisoras. Pero secinfo.com es valioso como una ventanilla única para los datos. El servicio estaba poniendo a disposición más de 46 millones de documentos, y sus más de 1.600 millones de páginas se podían buscar fácilmente.

Los suscriptores pueden configurar alertas para cualquier momento en que una empresa o un importante inversor presente otro documento y procesar la información incorporada de muchas formas. Para cualquiera que esté investigando sobre empresas públicas, secinfo ha sido una herramienta que le permite ahorrar tiempo para encontrar lo que necesita, por una tarifa trimestral nominal. (He sido suscriptor durante años).

No es la única amenaza: se ha culpado al presidente ruso Vladimir Putin de importantes campañas de piratería en Estados Unidos, pero el peligro está mucho más extendido.

El presidente ruso Vladimir Putin

Por ahora es inoperable. Finnegan estima que le puede llevar semanas restaurar todo a su condición previa al pirateo.

Finnegan lanzó secinfo.com en 1997. Estudió ciencias de la computación en Notre Dame y obtuvo un MBA en la Universidad de Chicago, luego pasó alrededor de una docena de años en Wall Street como banquero de inversión en EF Hutton y First Boston.

«Me aburrí con eso», me dijo Finnegan. «El software era mucho más divertido, así que decidí volver al software». Con una plantilla de 15 a 20 personas, se contrató a sí mismo como diseñador de software para grandes corporaciones.

Luego, a mediados de la década de 1990, se produjo un cambio radical en la SEC. Un activista insurgente por el acceso gratuito a documentos gubernamentales llamado Carl Malamud persuadió a la agencia para que colocara su base de datos EDGAR de presentaciones corporativas en línea de forma gratuita, rompiendo el casi monopolio que entonces tenía el servicio comercial Lexis / Nexis.

La agencia, que inicialmente se resistió a la iniciativa, pronto se enteró de que el acceso gratuito abrió la base de datos a una multitud de formatos innovadores desarrollados por organizaciones sin fines de lucro y servicios con fines de lucro, ampliando enormemente su utilidad para el público.

Finnegan fue pionero en hacer que la base de datos sea más accesible. “Pensé, conozco software y conozco Wall Street, y puedo hacer un mejor trabajo que la SEC”, dice, “así que pasé a hacer lo de EDGAR, y eso es lo que he estado haciendo durante los últimos 24 años.» Con el tiempo, se convirtió en uno de los mayores proveedores externos de presentaciones ante la SEC.

El sitio web secinfo.com tiene una apariencia utilitaria, pero es tan completo y ofrece tantas opciones de análisis y descarga que parece el producto de un personal considerable. Pero es una operación de un solo hombre, gracias a la habilidad de Finnegan para automatizar sus funciones. Su sistema está configurado para sondear la base de datos de la SEC dos o tres veces por segundo y para capturar cualquier archivo nuevo que aparezca.

La base de datos de archivos de Finnegan, de 15 a 20 terabytes de tamaño, se almacenó en un par de servidores a gran escala en un centro de datos en San Francisco. (Un terabyte equivale a 1.000 gigabytes; una versión digital de un largometraje puede ocupar entre 1,5 y 3 gigabytes de espacio). Los dos servidores eran redundantes, por lo que si uno se fundiera, el otro funcionaría como respaldo.

«Pensé que estaba cubierto», dice Finnegan.

El problema era que su sistema a prueba de fallas tenía un par de agujeros.

Una fue que la redundancia lo protegió contra una falla de hardware por parte de cualquiera de los servidores, pero no una violación de seguridad.

El segundo fue más peligroso. Cuando Finnegan originalmente configuró secinfo, se otorgó privilegios administrativos para poder administrar el sistema y protegió su acceso con una contraseña. Sin embargo, la contraseña que usó era la misma que usaba para su cuenta de correo electrónico de Yahoo.

Foto de La Gran Época

Esa contraseña probablemente fue robada en un ataque masivo en 2013 que también comprometió los nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y preguntas y respuestas de seguridad de 3 mil millones de titulares de cuentas de Yahoo.

Yahoo había aconsejado a sus usuarios que cambiaran las contraseñas de sus cuentas de Yahoo, pero Finnegan había olvidado hacía mucho tiempo que también la había utilizado como contraseña administrativa.

«Si hubiera recordado que estaba usando una contraseña de hace 24 años», dice, «ciertamente la habría cambiado».

Él conjetura que estaba sentado como una bomba de relojería en manos de cualquiera que tuviera acceso a los datos robados de Yahoo. Si eres un pirata informático, dice, «tomas una larga lista de contraseñas y sigues revisando y probando todas las contraseñas, y tal vez obtengas una respuesta».

El servicio de firewall de Finnegan, que lo protegería de un intento de violación aleatorio, no lo protegería contra el uso de una contraseña legítima. Como descubrió más tarde, a partir del 26 de junio, sus piratas informáticos hicieron ping a su sistema 2,5 millones de veces antes de que finalmente encontraran la contraseña correcta. Él dice que los registros del firewall establecieron que la piratería se originó en Rusia.

Eso no significa que los piratas informáticos estaban actuando en nombre del estado ruso, pero sí apunta a las conclusiones de los expertos en ciberseguridad de que el presidente ruso Vladimir Putin ha dado un hogar a piratas informáticos como REvil, que se cree que lanzó Kaseya y Ataques Colonial Pipeline, siempre que no apunten a objetivos rusos.

El presidente Joe Biden emitió una advertencia indirecta a Putin sobre su tolerancia hacia los piratas informáticos durante su reunión en Suiza el 16 de junio. «Los países responsables deben tomar medidas contra los delincuentes que realizan actividades de ransomware en su territorio», dijo Biden después de la reunión.

Foto de La Gran Época

Una vez que los piratas informáticos estuvieron dentro de secinfo, pudieron cifrar todo en ambos servidores, no solo la base de datos de documentos, sino también el sistema de correo electrónico de Finnegan e incluso su lista de usuarios y su información de contacto.

Eso significa que una vez que secinfo.com vuelva a estar en funcionamiento, no podrá informar de forma proactiva a sus clientes sobre lo sucedido; tendrá que esperar a que se pongan en contacto con él. No hay indicios de que sus más de 500.000 clientes, entre los que, según él, se incluyen personas y empresas de servicios financieros como Bank of America, Goldman Sachs y JPMorgan Chase & Co., se hayan puesto en riesgo.

Si hay una gracia salvadora, los piratas informáticos no pudieron violar otro conjunto de servidores en los que ha almacenado su software para automatizar la función de búsqueda y otras características de su sitio web.

Pero aparte de eso, Finnegan dice: “Tengo que recrear todo y eso lleva tiempo. Espero que no sea más de un mes, pero no hay forma de saberlo en este momento «. Dice que no cree que la restauración le cueste demasiado de su bolsillo, pero el costo de su tiempo y el costo de agravación, así como la pérdida de usuarios, es incalculable.

«Hay un montón de cosas que hacer», dice. «No creerías lo complicado que es». Hasta el jueves, ni siquiera pudo publicar un mensaje en su sitio web para informar a los visitantes que el servicio está «inactivo debido a un ataque de ransomware» y que «estará activo lo antes posible». Hasta entonces, la dirección secinfo.com acababa de devolver una pantalla en blanco.

Luego está la cuestión de dónde encontrar un remedio para el frenesí del ransomware. Tanto Finnegan como Krebs observan que el crimen se ha visto facilitado por el aumento de monedas virtuales como bitcoin, que son más difíciles de rastrear que las formas de pago tradicionales.

“La única forma en que esto se detendrá es si EE. UU. Proscribe el bitcoin”, dice Finnegan. «Eso eliminaría el mecanismo de pago anónimo y eso eliminaría el incentivo».

Mientras tanto, la amenaza solo empeorará.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *