En los últimos tiempos, el mundo ha sido testigo de algunos ataques de ransomware que no sólo han paralizado la actividad y el secuestro de los datos de miles de usuarios, sino que también ha puesto en evidencia las vulnerabilidades del ecosistema cibernético existente.
El ransomware se está convirtiendo cada vez más en una seria amenaza tanto para los usuarios como para las organizaciones. Mientras los expertos en ciberseguridad se esfuerzan por frenarlo, parece que los ciberdelincuentes se superan unos a otros, y crece cada día la intensidad y sofistificación de sus ataques. El ransomware comenzó con el ataque en un disquete, que supuso el pago de un rescate de 189 dólares. A partir de entonces, empezaron a sucederse intentos organizados de ataques a las brechas de seguridad de todo tipo de empresas por parte de grupos de hackers. Estos primeros ataques, evolucionaron hasta convertirse en toda una industria multimillonaria del cibercrimen, que es lo que es el ransomware en la actualidad.
Dejando atrás las antiguas técnicas de ataque, los ciberdelincuentes del ransomware están amenazando a todo el ecosistema de Internet y haciendo vulnerables a grandes conglomerados de empresas, gobiernos y otras organizaciones. La aparición de la moneda digital o criptomoneda, ha agravado aún más este proceso.
Los ataques de ransomware van más allá de los datos cifrados
La evolución de los ataques de ransomware está consiguiendo que la información sensible quede encriptada para los usuarios, pues una brecha de seguridad y la consiguiente filtración de datos conlleva el pago de un alto rescate, dado el valor que supone para las empresas.
Debido al rápido aumento de este tipo de ataques, organizaciones de todo el mundo están pagando una media de 220.298 dólares al año por rescate, más el coste de 23 días de inactividad, pues sus principales operaciones de negocio quedan paralizadas durante ese tiempo. Estos ataques implican además riesgos adicionales para los clientes de las empresas víctimas, lo que se traduce en una pérdida de confianza.
La evolución de los ataques de ransomware está consiguiendo que la información sensible quede encriptada para los usuarios
Otros riesgos que conllevan los ataques de ransomware son la violación de la confidencialidad y la integridad de los datos críticos. Para muchas organizaciones, la seguridad de los datos es primordial, teniendo en cuenta su carácter sensible. Un ejemplo son los archivos secretos, que no deben caer en el dominio público o en manos de empresas rivales o entidades ilegales. La exposición de estos datos no sólo provoca una pérdida significativa de la reputación de la empresa, sino que podría suponer también una pérdida de ingresos significativa.
Del mismo modo, en el caso de los archivos gubernamentales sensibles, si un ataque de ransomware conlleva una violación de los datos y éstos caen en manos de países rivales o actores no estatales ilegales, las consecuencias podrían ser realmente graves.
Un auténtico quebradero de cabeza
Las razones antes mencionadas son suficientes para que las empresas se preocupen por la seguridad de sus datos, y cuanto mayor sea esa sensación de inseguridad, mayor será su predisposición a pagar para protegerse de los ataques. Pero, ¿pagar un rescate a los ciberdelincuentes es la solución definitiva para proteger los datos a los que han tenido acceso? La respuesta es NO.
Incluso si las organizaciones víctimas pagan a los ciberdelincuentes responsables del ataque de ransomware para obtener acceso a las claves de descifrado, esto no garantiza que los hackers no vendan los datos robados en la web oscura por más dinero. Este tipo de incidentes ya se han producido en múltiples casos. Los delincuentes del ransomware Netwalker y Mespinoza filtraron los datos robados de las empresas, a pesar de haber ingresado importantes cantidades de rescate por parte de las víctimas, como revela el Infome sobre ransomeware de 3º trimestre 2020 de Coveware.
Esto sin duda justifica el hecho de que las empresas estén continuamente actualizando sus estrategias de defensa para detectar, prevenir y responder al ransomware y otros tipos de ciberdelitos.
Aceptar el reto de ir por delante es la clave
Mantenerse un paso por delante de los ciberdelincuentes se ha convertido en todo un reto en el mundo de las tecnologías en constante evolución. Pero esa es también la clave para mantenerse relativamente protegido y prevenir los ciberataques. Para ello, las empresas deben entender las diferentes tácticas que siguen los atacantes de ransomware y también las diferentes dinámicas de los ciberdelitos.
Los ataques modernos de ransomware suelen incluir diferentes técnicas como la ingeniería social, el correo electrónico de phishing y los enlaces de correo electrónico maliciosos. También, aprovechan las vulnerabilidades del software no parcheado para infiltrarse en los sistemas de las empresas y desplegar el malware sobre ellos e. Mantener un sistema protegido y una buena ciber-higiene es un proceso que exige continuidad y no permite pausa alguna.
Los ciberdelincuentes siempre buscan nuevos puntos de vulnerabilidad en el sistema cibernético de su objetivo. Las estrategias de ciberdefensa de la organización contra las amenazas comunes y los métodos de ataque mejoran constantemente, pero los ciberatacantes buscan siempre resquicios para que sus actividades maliciosas penetren en el sistema. Por tanto, es muy importante detectar a tiempo las amenazas y responder a ellas de manera oportuna, mediante la supervisión en tiempo real de diferentes canales y redes. Es un proceso cíclico interminable.
Mientras las organizaciones trabajan en su propio sistema de ciberseguridad, no son conscientes de cómo será el siguiente ataque de ransomware, algo que sucede a pesar de todas las medidas de seguridad adoptadas. El único modelo realista para enfocar este problema, es que las organizaciones implementen una estrategia de seguridad de múltiples capas, lo que representa un equilibrio entre la prevención, la detección y la reparación de las amenazas. Las organizaciones deberían empezar con una estrategia de seguridad de “confianza cero”.
La seguridad de “confianza cero” y su eficacia en la protección contra el ransomware
El diseño y la puesta en marcha de un sistema eficaz de seguridad de “confianza cero” que garantice la mejora y la seguridad de los activos digitales de las empresas en la actualidad, requiere de un marco operativo activo y una serie de tecnologías de primer nivel. Por su parte, las empresas deben verificar cada uno de sus activos y transacciones antes de permitir cualquier acceso a la red.
Estas verificaciones pueden realizarse a través de diferentes métodos, como garantizar que los sistemas internos están parcheados y actualizados, la autenticación multifactor sin contraseña (MFA) o el despliegue de la gestión unificada de dispositivos (UEM).
Garantizar un sistema eficaz de seguridad de “confianza cero” conlleva utilizar parches y gestionar las vulnerabilidades para mantener la higiene de los dispositivos. Los equipos de seguridad pueden utilizar innovadoras tecnologías de hiperautomatización, como la tecnología de aprendizaje profundo (deep learning), para garantizar que todos los terminales, los dispositivos de punto final y los datos puedan ser descubiertos, gestionados y segurizados en tiempo real.
Las organizaciones deberían considerar la posibilidad de participar en simulacros para testar sus respuestas a los ataques de ransomware. Esto les ayudará a evaluar una situación similar a la real y a probar las tecnologías que se utilizan para detectar y prevenir las amenazas. También, les ayudará a diseñar un plan de recuperación que puede ser crucial para minimizar el tiempo de evaluación en una situación de amenaza real. Estos simulacros también ayudan a las empresas a entender si serían capaces de detectar y responder a la amenaza y cómo lo llevarían a cabo.
Es imposible predecir cuándo, dónde y cómo los ciberdelincuentes realizarán sus próximos ataques de ransomware, por lo que conviene que las organizaciones estén preparadas para cualquier situación de este tipo. En un sistema de seguridad de “confianza cero” la prevención es la clave, y la realización de simulacros son fundamentales para mejorar la capacidad de una organización de gestionar eficazmente situaciones críticas.
Por Daniel Spicer, CSO de Ivanti