Si hay una cosa que se repite constantemente en las conversaciones con directores de seguridad de la información (CISO) acerca de cuáles son sus preocupaciones y prioridades, esa es el ransomware. Este escenario supone una auténtica pesadilla para ellos, ya que se trata de un evento de seguridad de carácter público que daña la capacidad operativa de las organizaciones a la vez que les hace perder datos. Todo ello, con un coste muy elevado.
En un informe reciente sobre ransomware, el 66 por ciento de las empresas españolas encuestadas afirmó haber sufrido un ataque de este tipo durante 2020. Un porcentaje de por sí alarmante dado que esta amenaza tiene un importante impacto. Además, un 25 por ciento de estas organizaciones decidió pagar el rescate para poder recuperarse de dicha situación.
Curiosamente, el 96 por ciento de las empresas que pagó el rescate pudo recuperar sus datos. Esto es, además, un indicativo de cierta «profesionalidad» de los atacantes, los cuales saben que una forma de aumentar estos pagos es que las organizaciones confíen en que esa transacción de dinero hará que recuperen sus datos.
El 66% de las empresas españolas afirmó haber sufrido un ataque de ransomware en 2020. Y un 25% de ellas decidió pagar el rescate
Por ejemplo, en un reciente ataque a una marca de moda, el atacante estudió los datos robados para conocer los detalles de la política de responsabilidad cibernética de la empresa. Así pudo fijar el precio del rescate y negociar la cantidad con la víctima en base a la salud financiera de la organización hasta que recibió el pago acordado.
Esa «profesionalidad» lleva también a los ciberdelincuentes a tener un «compromiso con el cliente», dando apoyo técnico a las víctimas para hacer posible esa recuperación una vez que han pagado el rescate. Pero lo más interesante de este caso es que el atacante, tras la negociación, ofreció a la compañía una serie de consejos para evitar que se produjese un nuevo ataque de ransomware. Esto nos da una visión más precisa de lo que se puede hacer para proteger mejor a las organizaciones de verse en este costoso y difícil rifirrafe con los ciberdelincuentes.
Recomendaciones contra el ‘ransomware’
Las recomendaciones serían las siguientes:
1. Filtrar el correo electrónico: El primero de los consejos es que se active el filtro del correo electrónico, porque es ahí donde se inicia alrededor del 94 por ciento de los ciberataques en la actualidad. Pese a que los ataques de ransomware comienzan normalmente apalancándose en los puertos del protocolo de escritorio remoto, se ha visto un aumento de estos ataques mediante campañas de phishing por correo electrónico. Esto contrasta con años anteriores en los que los ciberdelincuentes utilizaban principalmente downloaders como carga útil inicial.
2. Realizar simulaciones de phishing y otras pruebas a los empleados: De los ataques que llegan a través del correo electrónico, más del 99 por ciento requiere la interacción humana para tener éxito, ya sea ejecutando un macro, entregando credenciales o simplemente pagando una factura fraudulenta. Los empleados son la principal superficie de ataque de cualquier empresa, siendo esencial que se les eduque y forme sobre cómo reconocer y abordar las amenazas. Todo esto debe respaldarse con pruebas periódicas para garantizar la detección y corrección de cualquier error de configuración en el perímetro o los dispositivos del perímetro no actualizados antes de que puedan ser explotados.
3. Revisar la política de contraseñas: El siguiente consejo de los ciberdelincuentes es que las organizaciones se aseguren de que su política de contraseñas sea lo suficientemente robusta. Habría que implementar una autenticación multifactor que se extienda desde los accesos externos hasta las contraseñas internas. Una parte de la cadena del ransomware consiste en ampliar los privilegios para que los atacantes puedan acceder y eliminar grandes volúmenes de datos críticos antes de un cifrado forzoso. Esto se consigue identificando contraseñas internas débiles o simplemente aprovechando un archivo XLS que los administradores puedan tener con una lista de todas las contraseñas clave dentro de su dominio.
4. Invertir en una mejor tecnología de detección y respuesta de endpoints: Los ciberdelincuentes cada vez son más creativos en sus ataques. Una de las últimas tendencias consiste en que usan herramientas instaladas legítimamente, como PowerShell, para lograr sus objetivos. De hecho, se ha visto cómo en ataques de ransomware los ‘malos’ emplean BitLocker para cifrar los dispositivos. La lección que se saca de todo esto es que detectar malware basado en firmas no es suficiente. Ahora se necesita contar con una protección más inteligente de los endpoints con capacidad de monitorizar continuamente comportamientos sospechosos y hacer posible la recuperación frente a un incidente.
Es esencial que exista un modelo claro para llevar las copias de seguridad a un almacenamiento en físico a fin de mantenerlas lo más alejadas posible de actores maliciosos externos
5. Proteger mejor la red interna y aislar los sistemas críticos: Las redes grandes y planas pueden ser más fáciles de gestionar, pero al mismo tiempo permiten que el atacante consiga sus objetivos. Las capas adicionales y concéntricas de segmentación y control de la red, que rodean a sistemas y datos críticos, hacen que sea menos probable que una infección de malware afecte a unos servicios críticos. Los sistemas informáticos de las empresas corren bastante riesgo, puesto que se envían y reciben correos electrónicos constantemente. De ahí que deban mantenerse segmentados de la infraestructura y de los datos más importantes de una organización.
6. Almacenar copias de seguridad offline: El concepto de «copia de seguridad» apenas se utiliza ya, y no es algo bueno. Hoy se tienen backups online y automatizados que cumplen su función a la perfección. Pero, por desgracia, estas copias de seguridad también son vulnerables a los ataques. Si un ciberdelincuente consigue robar las credenciales de un administrador, puede borrar o dañar esa copia de seguridad, dejando a su empresa sin posibilidad de recuperación. Por eso, es esencial que exista un modelo claro para llevar esas copias de seguridad a un almacenamiento en físico a fin de mantenerlas lo más alejadas posible de actores maliciosos externos.
Seguir estos seis consejos básicos recomendados por los propios ciberdelincuentes puede reducir las probabilidades de que una organización se vea envuelta en un ataque de ransomware. Muchas de estas amenazas son, asimismo, de lo más oportunistas. Y no hace falta contar con una seguridad perfecta, sino lo suficiente sólida como para que el atacante se dé cuenta de que es mejor buscarse la vida por otro lado. Aquí la experiencia de los atacantes es un grado. Ya lo dice el dicho: «Más sabe el diablo por viejo que por diablo».
