A medida que las ciberamenazas siguen apareciendo en los titulares, las organizaciones de todos los sectores se enfrentan al riesgo de estrategias de ataque más elaboradas y engañosas. Tomemos como ejemplo los continuos problemas que presenta el ransomware, que sigue imponiendo enormes costes a las empresas que deciden pagar con la esperanza de recuperar sus datos cifrados.
Sin embargo, un informe publicado por la Red para la Represión de Delitos Financieros de Estados Unidos revela que, solo en el sector bancario, el número y el coste de los ataques es cada vez más preocupante. De hecho, los bancos de dicho país procesaron 1.200 millones de dólares en pagos sospechosos de ransomware durante 2021, un 188% más que el año anterior.
A nivel organizativo, estos problemas se manifiestan de diversas maneras. Por ejemplo, el 88% de los encuestados en un reciente estudio que realizamos afirmaron que la prevención de daños a los datos es una de sus principales preocupaciones a la hora de proteger los datos y reaccionar ante amenazas y ataques. Además, al 72% de los profesionales de TI les preocupa la recuperación tras un ataque y minimizar el tiempo de inactividad.
El ransomware y el ciberriesgo están redefiniendo la forma en que las organizaciones deben mejorar su capacidad para proteger su infraestructura
Una de las principales inquietudes es que muchos equipos de TI no disponen actualmente de herramientas que puedan detectar adecuadamente los ataques de ransomware en una fase suficientemente temprana del proceso como para evitar que tengan éxito. En el mismo estudio, sólo el 12% de las organizaciones informaron de que sus herramientas de detección de ransomware eran adecuadas y también podían cubrir el creciente patrimonio de datos, independientemente de dónde residan.
El ransomware y el ciberriesgo, en general, están redefiniendo la forma en que las organizaciones deben mejorar su capacidad para proteger su infraestructura y sus activos de datos y, al hacerlo, reducir el riesgo empresarial. Los profesionales de TI deben ir un paso por delante e invertir en tecnología proactiva que mejore su capacidad de recuperación. Como resultado, combinar la protección de datos y la ciberseguridad es la nueva normalidad.
En este entorno extremadamente desafiante, la prioridad actual para la mayoría de las empresas es fortificar sus defensas perimetrales para evitar las intrusiones por completo. En particular, se necesita un enfoque multicapa para proteger los datos de forma integral, entre otras cosas porque no basta con hacer backup. Evitar encontrarse en un escenario de recuperación es, después de todo, mucho más deseable para mitigar la interrupción del negocio.
La necesidad de tecnología de engaño
Con el fin de lograr la postura de seguridad más sólida para proteger los datos contra los ataques de ransomware, las organizaciones necesitan herramientas multifacéticas que funcionen en cada fase de la cadena de ataque. Aunque generalmente infrautilizadas, las modernas tecnologías de engaño desempeñan un papel cada vez más importante en la detección temprana de amenazas invisibles y de día cero que sortean con éxito las herramientas de seguridad convencionales. Pero, ¿qué son estas tecnologías y cómo funcionan?
El engaño cibernético es una estrategia de seguridad proactiva que funciona embaucando a los malos actores y los ataques maliciosos. Las soluciones de ciberengaño más avanzadas en la actualidad empiezan donde terminan las herramientas de seguridad convencionales, utilizando un proceso de dos pasos para ralentizar y hacer emerger amenazas desconocidas y de día cero. Por ejemplo, utilizando señuelos y sensores de amenazas, los malos actores o el malware intrusivo pueden ser desviados hacia activos convincentes pero falsos. En este punto, se envían inmediatamente alertas de alta confianza a los principales interesados y a los sistemas de seguridad, notificándoles la presencia de amenazas en curso antes de que puedan comprometer los sistemas o datos reales.
A diferencia de los honeypots, que están diseñados para examinar y aprender de los atacantes y sus intentos, los sensores de amenazas están diseñados para enfrentarse activamente a los malos actores en cuanto se inicia un ataque. Utilizando una arquitectura eficiente, similar a la de los servicios web, estos sensores de amenazas están diseñados para imitar cualquier activo del usuario, inundando sus entornos con activos digitales falsificados que son indistinguibles para los atacantes. Sin afectar a las operaciones normales de la red, atraen a los atacantes con señuelos que los desvían y engañan durante el reconocimiento, el descubrimiento, el movimiento lateral y mucho más.
Y como los sensores de amenazas sólo son visibles para el atacante, las empresas se benefician de notificaciones extremadamente precisas sobre falsos positivos, lo que les permite conocer la actividad, las rutas de ataque y las técnicas desplegadas.
Este enfoque permite a las organizaciones ofrecer una defensa multicapa contra amenazas como los ataques de ransomware, dotando a los usuarios del poder de identificar y desviar inmediatamente las amenazas maliciosas antes de que los datos sean robados, dañados o comprometidos. En la situación actual, en la que el ransomware ha evolucionado rápidamente hasta convertirse en un motor masivo de la ciberdelincuencia en todo el mundo, está claro que las tecnologías existentes no pueden por sí solas impedir que se produzcan todos los ataques ni garantizar que las víctimas puedan recuperarse rápidamente.
En su lugar, las organizaciones deben centrarse en crear soluciones más eficaces diseñadas para abordar los riesgos específicos que plantean el ransomware y otras tácticas sofisticadas de la ciberdelincuencia. Utilizando el engaño como estrategia de protección proactiva, pueden situarse en una posición mucho más fuerte para frustrar a los malos actores antes de que tengan la oportunidad de pedir un rescate.
Por César Cid de Rivera, Vicepresidente Internacional de Ingeniería de Sistemas de Commvault