Octubre es el mes de la concientización sobre ciberseguridad  y aprovecho para compartir un tema que ya se ha discutido mucho, pero que últimamente se ha ido abriendo camino fuera del espacio de la ciberseguridad: El Ransomware.

Es posible encontrar en todas partes debates en torno a esta amenaza, desde noticias en los principales vehículos de prensa hasta la cumbre del G7. Cada vez más, este tipo de estafa está afectando a las empresas de infraestructura crítica que no pueden permitirse ningún tiempo de inactividad o interrupción de un incidente cibernético.

Recuerde que el ransomware es un tipo de malware o software malicioso que cifra los datos de una víctima y luego el atacante exige un rescate. Una vez que se paga el rescate, el atacante envía una clave de descifrado para restaurar el acceso a los datos de la víctima, el rescate puede variar desde unos pocos cientos de dólares hasta millones. Por lo general, el pago se requiere en forma de criptomonedas, como bitcoins.

¿Cómo funciona exactamente? ¿Qué lo hace tan destructivo? ¿Y cómo pueden las organizaciones detenerlo?

Aunque los gobiernos ha declarado recientemente que jugará un papel más importante en la mitigación del ransomware y otros ciberataques, también ha enfatizado la importancia de colaborar con el sector privado para combatir este problema generalizado. El ransomware ahora es un problema para todos, desde gobiernos, corporaciones e incluso individuos. La pandemia ha aumentado aún más las oportunidades para los atacantes cibernéticos, ya que los empleados acceden a los recursos de la empresa desde una multitud de dispositivos y redes no administrados por el personal de TI corporativo.

¿Por qué el ransomware es tan peligroso, especialmente ahora?

Los datos son el elemento vital de todas las organizaciones y, a menudo, detienen las operaciones cuando no están disponibles. Históricamente, el ransomware se dirigía a sistemas individuales y solicitaba unos cientos de dólares para recuperar datos en esa máquina en particular. Ahora, a través de la “caza mayor”, los actores de amenazas persiguen objetivos más grandes y se mueven lateralmente por un entorno para llegar a sistemas más críticos para la misión. Una vez que obtienen acceso, implementan ransomware en múltiples puntos de la red para que la víctima esté más dispuesta a pagar un rescate muy alto.

También se están utilizando otras tácticas más agresivas para aumentar las posibilidades para que los operadores de ransomware ganen dinero. Por ejemplo, comprometen los sistemas de respaldo para que los administradores no puedan usarlos para restaurar datos. Algunos operadores de ransomware también están empleando la “doble extorsión”, amenazando con divulgar información confidencial al público al mismo tiempo que interfieren con las operaciones diarias de la víctima.

Además, el modelo de ransomware como servicio hace que la barrera de entrada para lanzar ransomware sea muy baja. A través de estos servicios, los actores de amenazas que no tienen las habilidades o los recursos para crear su propio ransomware pueden simplemente comprar kits de otros actores de amenazas. Esto le da a cualquiera, que desee llevar a cabo un ciberataque, la oportunidad de obtener fácilmente código malicioso que se sabe que funciona para explotar vulnerabilidades sin parchear.

¿Y por qué no simplemente pagar el rescate?

Aunque los pagos de rescate de hoy son a menudo de millones de dólares, pagar para restaurar datos a veces es aún menos costoso que los impactos operativos de una empresa completa que se desacelera o se detiene, especialmente cuando se trata de infraestructura crítica. Entonces, ¿por qué no pagar el rescate?

Los expertos en seguridad y gobierno desalientan a las empresas a pagar un rescate, ya que simplemente esta actividad continúa alimentando el ciclo de ataque. Si un atacante recibe el pago de rescate de su objetivo, eso lo motiva aún más para atacar a la organización nuevamente, sabiendo que es probable que si pague. Y, por supuesto, el hecho de que una organización decida pagar un rescate no siempre significa que sus datos se restaurarán o que su información confidencial no se divulgará a personas ajenas.

¿Qué podemos hacer para detener el ransomware?

Dado que el ransomware se ha vuelto tan multifacético, nuestras protecciones también deben hacerlo. Ninguna tecnología o las mejores prácticas por sí solas pueden prevenirlo. Debemos pensar en la defensa contra ransomware como un proceso continuo en capas. Las mejores tecnologías están actualizadas para detectar las amenazas más recientes y están bien integradas para que una solución pueda continuar donde la otra termina.

La educación del usuario final también debe desempeñar un papel clave en la lucha contra el ransomware, de modo que los empleados sepan lo que está en juego cuando navegan y hacen clic sin pensar. Sin embargo, según Wendy Nather, CISO de Cisco, hay una forma correcta y una forma incorrecta de hacerlo.

Wendy compartió que, por ejemplo, cuando se llevan a cabo ejercicios de phishing dentro de su unidad de negocio, se celebra a los empleados que lo denuncian, en lugar de castigar a los que caen en la trampa. “Es una excelente manera de enfatizar y motivar el tipo de comportamientos que queremos ver”, agregó.

Los mejores consejos para la defensa contra ransomware

Si no está seguro por dónde empezar con la defensa contra ransomware, comience con la higiene cibernética básica. Si bien parte de esto puede parecer simplista, a menudo se pasa por alto debido a limitaciones de recursos, un enfoque en proyectos de alto nivel, etc. Los atacantes son conscientes de esto y, a menudo, aprovechan estas vulnerabilidades y debilidades comunes.

1. Mantenga los sistemas parchados y actualizados. La aplicación de parches automatizada, puede ayudar a garantizar que nada se escape y también puede reducir la carga de sus equipos de seguridad y TI. De las 25 mejores prácticas que analizamos en nuestro Estudio de Resultados de Seguridad de 2021, se encontró que la tecnología de actualización proactiva tuvo el efecto más fuerte en la mejora de las defensas generales.
2. Realice siempre una copia de seguridad de los datos para poder recuperarlos en caso de emergencia. Almacene las copias de seguridad fuera de línea para que los intrusos cibernéticos no las encuentren. Desarrolle un plan de recuperación de datos que pueda ayudarlo a lograr la restauración a escala y, al mismo tiempo, garantizar la continuidad del negocio.
3. Mantenga un inventario preciso y actualizado de sus activos. Las máquinas más antiguas y olvidadas a menudo proporcionan una entrada para los atacantes.
4. Realice evaluaciones de riesgos continuas para descubrir cualquier vulnerabilidad en su infraestructura.
5. Cifre los datos confidenciales y segmente su red para que los ciberdelincuentes no puedan acceder fácilmente a los sistemas críticos.
6. Asegúrese de que sus empleados estén familiarizados con la ciberseguridad y el ransomware. Enséñeles la importancia de las contraseñas seguras, cómo detectar un correo electrónico de phishing, qué hacer si reciben una comunicación sospechosa, etc.
7. Manténgase informado sobre los últimos riesgos y tácticas defensivas, y tenga un plan sólido de respuesta a incidentes para manejar amenazas inesperadas. Organizaciones como Cisco Talos ofrecen servicios de respuesta a incidentes para ayudarlo a prepararse, responder y recuperarse de infracciones.
8. Preste atención a la guía de ransomware de entidades gubernamentales como CISA y NIST.

Ghassan Dreibi, Director de Seguridad para Cisco América Latina.