Seguramente, al igual que yo, ha escuchado sobre el Ransomware como Servicio (RaaS, por sus siglas en inglés). Para mí, este concepto representó un disparador de alerta en lo que respecta al nivel real de amenaza que se podría estar enfrentando muy pronto. Creo, incluso, que cambiará la forma en que conocemos a las tecnologías de la información (TI).
Ahora que el Ransomware es tan fácil de crear, no hay duda de que veremos una escalada de amenazas internas.
Antes, el malware era sólo para hackers expertos. En la actualidad, cualquiera puede hacer un “Instalador de ransomware customizado”, ya que todo lo que se necesita son unos cuantos clics en un sitio web ¡sin esfuerzo! Después de eso, todo lo que el malvado personaje hipotético debe hacer es correr el instalador en cualquier computadora y esperar el pago del rescate. ¿Está viendo el problema?
Algunos podrían decir que esto no es una nueva amenaza, y hablar de cómo el principio de privilegios mínimos y restricciones físicas de acceso al servidor son cada vez más importantes que nunca. Pero estarían equivocados. Ésta es, de hecho, una amenaza dramáticamente nueva, porque ahora hay dinero involucrado. Potencialmente, mucho dinero.
En cierta medida, el concepto de Ransomware como Servicio no es diferente de lo que fue desplegar el antiguo virus de la carta bomba (letter bomb virus) en la clase de cómputo en la universidad (levante la mano si usted es tan viejo como yo, y para quienes no lo sean, se trataba de una broma común cuando yo era estudiante).
Luego todos crecimos, conseguimos un trabajo en el explosivo mercado de TI y algunos se disgustaron con su empleador. Fue ahí que las empresas comenzaron a darse cuenta de que las amenazas potenciales provienen del interior, así que mucha gente hizo cosas malas sólo porque estaban disgustados con el jefe. Esto era suficiente para justificar la molestia y el riesgo, pero el dinero ni siquiera estaba en la imagen. En esos casos, se extraviaron datos de manera irreversible, la compañía perdió millones y la persona fue a la cárcel; pero todo fue porque alguien estaba molesto.
Pero ahora, tener dinero involucrado cambia todo. Gracias al potencial rescate, de repente existe la verdadera razón para asumir ese riesgo. Y lo que es peor, usando el conocimiento íntimo del proceso de negocio de una empresa, los iniciados se pueden dirigir deliberadamente a los sistemas que contienen los datos más preciosos para la organización y, de esta forma, garantizar que la compañía no tendrá más remedio que pagar un rescate de siete cifras porque, al final, será la forma más barata de recuperarse.
Entonces, ¿qué significa Ransomware como Amenaza de Servicio?
Por un lado, los CIOs ya no pueden confiar en nadie. El dicho de que “todos tenemos un precio” es lamentablemente cierto. Incluso las personas con los más altos estándares morales a veces no pueden resistir a cometer un crimen cuando la recompensa es potencialmente alta o necesitada (porque su hijo está muriendo y le urge la información), de forma que ningún negocio puede hoy día arriesgarse a tener “confianza” como parte de su estrategia de TI. Hay que estar preparados para las peores cosas, potencialmente ejecutadas por sus propios empleados, por una razón muy simple: dinero.
Pregúntese a sí mismo: ¿Cuál es su plan si un colega que acaba de salir de vacaciones se registra remotamente en su red desde algún país del Medio Oriente, elimina todos los respaldos en línea (tanto los primarios como sus copias) y pega el instalador en los servidores de producción? Sin duda, esto es mil veces más fácil de hacer en su entorno que robar un banco. Y por desgracia, realmente no se puede evitar que esto pase sin limitar al personal de TI a realizar sus actividades de trabajo.
Entonces, ¿cómo pueden las empresas protegerse contra las amenazas internas? Garantizando la disponibilidad. Tres palabras son la clave: air gapped backups (respaldos offline que no pueden ser manipulados o eliminados remotamente). Los permisos estrictos no ayudarán, ya que las credenciales correctas se pueden obtener con un keylogger o mediante ingeniería social. Sin embargo, algo tan simple como discos duros externos o cintas en la caja fuerte del ejecutivo resuelven el problema completamente.
¿Qué pasa si tiene un gran número de datos y odia las cintas? Hay sistemas de almacenamiento “read-only-ness” implementados en el firmware, pero también es necesario garantizar su seguridad física. O simplemente puede ir con el proveedor de servicios que mantendrá una copia de sus respaldos de forma que las haga no manejables remotamente (por ejemplo, en la red privada sin conexión a Internet o en cintas), y esto asegurará que nadie de su empresa pueda eliminar sus datos.
Realmente debería actuar e implementar ahora, porque mañana, ¡podría ser demasiado tarde!
____________
Por Anton Gostev, vicepresidente de Producto en Veeam Software.
