Los ataques ransomware han aumentado en más del 37% a nivel mundial, y las demandas de rescate son superiores a los cinco millones de dólares.
Además, en los últimos meses se ha visto que los sectores más amenazados por este tipo de ciberataques son la educación, el gobierno/militar y la sanidad. El año pasado, la demanda media por rescate que pedían a los gobiernos era de 2.07 millones de dólares; el crecimiento exponencial de esta cifra y el nivel de impacto que están teniendo estas amenazas en las infraestructuras críticas es evidente.
Así lo señalan los últimos informes de Check Point Research, la división de Inteligencia de Amenazas de esta compañía, la cual está conformada por un equipo de más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
De acuerdo con estos investigadores, es fundamental que exista una preparación proactiva a nivel empresarial en materia de ransomware para limitar el impacto que éste pueda tener. Una de las mejores prácticas para lograrlo es la puesta en marcha de simulacros, en la que los miembros de un equipo aprenden cómo actuar en caso de ataque según su puesto asignado y se presentan como una estrategia clave para estar preparados contra el ransomware.
Para que todas las organizaciones sepan cómo llevarlo a cabo, Check Point Software compartió cinco puntos clave para realizar un simulacro ransomware:
- Educación de base: los empleados involucrados en los simulacros deben conocer las razones por las que hay enfrentarse a estos incidentes, pero sobre todo, las herramientas para hacerles frente. Si el simulacro se hace con todo el equipo, los coordinadores deben facilitar toda la información relativa a la terminología clave y su propósito. Es fundamental que comprendan bien el contexto de estos simulacros para que puedan estar receptivos e involucrarse en ellos activamente.
- Crear un ambiente de colaboración: un aspecto que a menudo se pasa por alto cuando se realizan los simulacros es configurar un entorno agradable, en el que todos se sientan libres de expresarse y aportar ideas. Los facilitadores deben explicar que este proceso tiene el objetivo de mejorar la ciberseguridad de la empresa.
- Crear un “ataque” realista: que la situación sea lo más realista posible es la clave. Se podría comenzar con un correo electrónico de phishing que lleve al cifrado de datos sensibles de los clientes. Este escenario continuaría con el descubrimiento de la brecha, la notificación a la policía, una demanda de rescate y la restauración de sistemas desde copias de seguridad. También podría ocurrir que los llevase a tomar una decisión sobre el pago del rescate.
- Variaciones del escenario: los coordinadores deben idear diferentes obstáculos para incorporarlos al ejercicio. Por ejemplo: plantear un primer escenario en el que la demanda de rescate es exorbitante. En otra posibilidad, aparece una cepa diferente de ransomware para la que hay que actuar en un máximo de 24 horas. Contar con diferentes opciones de simulacro permite que los equipos estén preparados para circunstancias inesperadas y tener diferentes planes de respuesta ante los incidentes.
- Evaluación final: una vez concluido el ejercicio, hay que realizar una evaluación y tener en cuenta las fortalezas y debilidades del equipo, además de revisar los planes de respuesta. Hay que considerar aquello que funcionó bien durante el ejercicio, cómo fue la comunicación en el equipo, si cumplieron con los procedimientos establecidos y cómo reaccionaron ante los cambios inesperados. Atendiendo a estas evaluaciones, el equipo podrá fortalecer sus lazos y mejorar los planes de respuesta ante los posibles ciberataques.