¿Qué ha pasado con Kaseya? ¿Cómo podríamos evitarlo?

Imagine que le ofrecieran una cerradura electrónica para la puerta de su casa. Una que permite abrir la puerta a través de una aplicación móvil en la nube (cloud), ¿la aceptaría?

Le prometieron que nunca más perdería la llave, que con la app podría abrir la puerta a distancia y que, incluso, a través de una cámara web (webcam) en la mirilla, el aparato podría reconocer su cara y darle la bienvenida.

Pues ya estaría todo, los cacos ya no tendrían que ir puerta por puerta, reventando cerraduras. Un buen caco bastaría para reventar la seguridad de la empresa que gestiona la aplicación en la nube y revender la llave maestra el mejor postor en la deepweb, esto incluye grupos de delincuentes en todo el mundo. Días después, si no es la misma tarde, cacos especializados entrarán en las casas de los clientes seleccionados, porque, claro, además de la llave maestra, tendrán un listado de clientes con atributos, nombres y direcciones. La empresa del cloud tendrá que elegir entre llorar, negarlo todo y declarar la bancarrota. Probablemente el presidente de la empresa (CEO) sea el primero en vender sus acciones a toda prisa.

Semanas después de que los malandrines hayan agotado cientos de direcciones en sus listas, gracias a las webcam y a los registros de acceso, porque por estos mismos sabrán que no hay nadie en casa, los dueños llegarán a sus hogares y cuando lleguen, no sabrán qué ha pasado, entre otras cosas porque no habrá, ni siquiera, una reveladora puerta forzada.

Por favor no carcajee , ¿acaso le parece el guion de la próxima producción de Netflix? Debe saber que lo que le narro ya ha sucedido antes, incluido lo del CEO vendiendo acciones a toda prisa.

Puede parecer un paso atrás, pero tomar la decisión de volver a la gestión de la informática de siempre puede ser la diferencia entre la vida y la muerte de un negocio. La reducción de costes, la externalización de servicios y la cultura de “todo en la nube” nos lleva inexorablemente a este fenómeno.

Ha pasado. Está pasando. Es ransomware. Se trata de cifrar toda la información para luego chantajear por su recuperación, su descifrado.

Entran en tu casa, se lo llevan todo y si quieres volver a verlo, tendrás que pagar rescate. La información sigue ahí, cifrada, inaccesible. Nada funciona y lo que es peor, si intentas algo o no pagas a tiempo, borrarán todo para siempre.

Esta vez los afectados no son gobiernos o grandes empresas. Son fruterías, escuelas infantiles, restaurantes, dentistas… cientos de negocios pequeños y medianos han tenido que cerrar al verse bloqueados sus sistemas informáticos. De nuevo, un ataque de ransomware, que cifra y bloquea todos los discos duros de sus equipos. Mañana puede ser su negocio… o su propio móvil personal. Está conectado a la nube, ¿verdad?

Todas las víctimas tenían una cosa en común: el software de gestión de parches y acceso remoto que utilizaban en sus empresas. Este software, Kaseya, se vende a los proveedores de servicios gestionados -departamentos de TI subcontratados- que luego utilizan para gestionar las redes de sus clientes, generalmente empresas pequeñas. Ese software, claro, funciona en la nube.

El coste del rescate es lo de menos, aunque las cifras no sean pequeñas (hablamos 70 millones de dólares a Kaseya, una media de 300 mil USD a cada afectado individual).

¿Podría ocurrir mañana de nuevo?

Rotundamente .

El problema no es ya el software en sí. No es que Kaseya sea mal software o esté mal hecho. Probablemente su nivel de ingeniería no tiene nada que envidiar a los grandes de la industria como Microsoft. Todo es mejorable, pero ese no es el problema.

Como ocurrió con Solarwinds, un problema de seguridad desembocó en que los hackers llevaron su software malicioso al interior del cliente, utilizando el sistema de actualización del propio software atacado para extenderse. Como un virus que se replica en el interior de su víctima y se propaga a los familiares, una vez dentro de una casa, al abrigo de la calefacción y las mantas. Hecho el ataque de esta manera, la empresa a su vez tuvo problemas para enviar los parches a sus clientes, osea, al paciente no le podía llegar la medicina que le curaría. A algunos clientes que nunca respondieron por vía electrónica, tuvieron que llamarlos telefónicamente para indicarles el procedimiento de actualización de software.

El problema de Kaseya es que no estamos hablando de un software para grandes empresas, que requiere de personal cualificado para su operación, sino de un software empleado para dar servicios a pequeñas empresas sin personal técnico, o muy escaso, y que no pueden gestionar un ataque de esas características.

Mientras que Solarwinds se usa en organizaciones gubernamentales, bancos y empresas de la lista de los primeros 500 de Standards & Poors (una agencia de calificación de riesgo estadounidense en servicios financieros), Kaseya se utiliza en pequeñas y medianas empresas en todo el mundo, y el problema de seguridad es mucho más masivo y su impacto puede ser aún más devastador.

Si el ataque está dirigido a una empresa, y es exitoso permite hacerse con el control de esa empresa. Si se ataca a un proveedor de servicios y se logra, se puede acceder a los sistemas de todos sus clientes. Por eso el ataque a Kaseya es tan grave, porque Kaseya tiene decenas de miles de clientes en todo el mundo debido a su modelo SaaS (Software como Servicio).

Aunque Kaseya es una empresa de EE.UU., se han reportado ya empresas afectadas en toda Europa, Oriente Medio, Asia, y América Latina.

El ataque ha sido tan exitoso, que empresas como Elliptic, que analizan las redes de criptomonedas para analizar tráfico inusual, están asustadas por la cantidad de víctimas que están procediendo al pago de rescates. Sin duda, si el ataque ha sido un éxito económico, habrá muchos más.

¿Se puede evitar?

Bueno, imagínate que te invitan a una barbacoa en un jardín. Todo es precioso, parece una villa de la Toscana italiana. Hace una temperatura perfecta y el aroma de la comida es delicioso. El vino, la compañía, todo es fantástico.

Solo hay un problema, te van a devorar los mosquitos. Cuando vuelva a casa, no podrá dormir, acabará lleno de picotazos y se preguntará cómo es posible.

Algo parecido ocurre con Kaseya y con Solarwinds. Son fantásticos, pero ¿se ve toda la vida asumiendo los inconvenientes de comer en el campo?, no se trata de ponerse pantalones, o echarse repelente de insectos. Hay avispas, hormigas, todo tipo de bichos en el campo, atraídos por la gente y el olor a comida.

Puede que una fiesta en la cocina de su casa sea menos glamurosa, pero si lo que desea es comer bien y no estar pendiente de las picaduras de mosquitos, sabe que es lo más inteligente. Será más incómodo, más caro incluso, pero controla el entorno.

Lo mismo pasa con las aplicaciones basadas en la nube o basadas en el modelo SaaS. Tienen muchas ventajas, pero la seguridad no es una de ellas, porque la ha delegado a organizaciones que ni conoce.

Si depende de la informática para la continuidad de su negocio, quizás deba dar un paso atrás y volver a modelos más conservadores. Al fin y al cabo, las modas se pasan y el mundo sigue su curso.

Referencias:

https://www.wsj.com/articles/kaseya-hack-ripples-across-europe-as-ransomware-boom-escalates-11625823001

https://techcrunch.com/2021/07/05/kaseya-hack-flood-ransomware/

https://pandorafms.com/blog/es/monitorizacion-y-seguridad/

https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

Shares