El ransomware se ha convertido en una de las principales fuentes de ingresos de la economía sumergida que está haciendo ricos a los ciberdelincuentes. De hecho, este malware sigue representando una grave amenaza para las empresas, y se espera que genere más de 265.000 millones de dólares en ingresos para los «malos actores» en la próxima década.
Por lo tanto, no es de extrañar que los ciberdelincuentes hayan convertido sus habilidades en materia de ransomware en un servicio para maximizar el retorno de la inversión. Saben cómo construir un negocio próspero reclutando los mejores «talentos» y desarrollando entornos versátiles con herramientas que abarcan las diferentes piezas que comprende un ataque de ransomware. Entre ellas, el reconocimiento, el movimiento lateral, la exfiltración de datos, el cifrado y los sistemas de pago y descifrado, que son esenciales para que les paguen.
Pero las víctimas que reciben un ataque de esta clase no pueden permitírselo. Es decir, no pueden permitirse el tiempo de inactividad y el perjuicio que supone para su productividad o simplemente no disponen del dinero necesario para pagarlo. Entonces, ¿qué medidas pueden tomar las organizaciones para reducir el riesgo de violación y mitigar el impacto en caso de un ataque?
No todo empieza con el ‘ransomware’
A pesar de que el ransomware es el término que suele aparecer en los titulares, la ingeniería social, el phishing y los enlaces maliciosos de correo electrónico son los principales vectores que utilizan las organizaciones criminales para infiltrarse y desplegar su malware. Es más, el informe Verizon 2021 Data Breach Investigation Report señala el phishing como la causa principal del 36 por ciento de todas las filtraciones.
Después de hacer clic en un enlace, los usuarios son dirigidos a un sitio web que buscará cosechar sus credenciales para, a continuación, soltar, instalar y ejecutar un script de exploit malicioso en su dispositivo móvil o dentro de la memoria de acceso aleatorio que utiliza el malware sin archivos. Conforme el malware se va infiltrando en una empresa mediante la escalada de privilegios, puede obtener el control de archivos más sensibles y de la infraestructura más crítica, desencadenando incidentes como el ataque de Colonial Pipeline.
Las vulnerabilidades sin parches en el software son otro punto de entrada común en los ecosistemas de las organizaciones. Mantener el software actualizado forma parte de la higiene de la ciberseguridad, frecuentemente olvidada o ignorada, debido en parte a lo que supone tener que parchear cada vulnerabilidad manualmente. Las vulnerabilidades no parcheadas dejan a las organizaciones desprotegidas frente a los actores de ciberamenazas maliciosas, los cuales explotan vectores de confianza para introducirse en los dispositivos conectados. Como siguiente paso, ascienden lateralmente en la cadena de la ciberamenaza hasta convertirse en una amenaza persistente avanzada (APT). Estas APT suelen pasar desapercibidas y permanecen en estado latente dentro de la red de la empresa amenazada antes de iniciar el ataque.
La ingeniería social, el phishing y los enlaces maliciosos de correo electrónico son los principales vectores de los cibercriminales para infiltrarse y desplegar su malware
Medidas de prevención
Los usuarios finales suelen ser el eslabón más débil de la ciberseguridad. La implementación de una estrategia de «confianza cero» multinivel descarga la responsabilidad a los usuarios finales y a los equipos de TI, ofreciendo un enfoque de seguridad de «nunca confíe, verifique siempre».
En un modelo de seguridad de «confianza cero», el método más eficaz para controlar las credenciales de los usuarios es eliminar por completo las contraseñas del entorno de las amenazas. En su defecto, resulta necesario invertir en la «autenticación multifactor» que utiliza las capacidades biométricas de un dispositivo. Vincular un atributo físico de un usuario al proceso de gestión del acceso ayudará a garantizar que el usuario es quien dice ser.
Como parte de una estrategia de «confianza cero» multinivel, las organizaciones deben mejorar la higiene de los dispositivos mediante la gestión de parches y vulnerabilidades. Las tecnologías de hiperautomatización, como el aprendizaje profundo, el supervisado y el no supervisado, permiten a los equipos de TI controlar lo que se va a parchear en tiempo real, ya que la información se recoge de una serie de recursos online.
Además, la combinación de la gestión de parches y de privilegios en una sola solución permite parchear dispositivos y aplicaciones a través de un componente en la nube cuando están fuera de la red de la empresa, permitiendo a los departamentos de TI seguir controlando el proceso. La hiperautomatización también puede ayudar a garantizar que los dispositivos y los datos se descubran, se gestionen y se protejan.
Por último, las organizaciones deben combinar estas medidas de higiene de los dispositivos y de seguridad de la identidad de los usuarios con una solución eficaz de detección y respuesta. Así identificarán comportamientos dudosos y permitirán la caza de amenazas con éxito.
Los empleados son la primera línea de defensa
La formación también desempeña un papel fundamental en la prevención de infracciones, especialmente en lo que respecta al phishing por correo electrónico. El informe de Verizon destaca el factor humano como responsable del 85 por ciento de los ataques. Aunque las pasarelas de correo y soluciones similares filtran como spam muchos email de phishing, un trabajador involuntario puede hacer clic en un enlace y comprometer sus credenciales. Ofrecer sesiones de formación para que los empleados reconozcan las señales de advertencia de un correo electrónico malicioso es, sin duda, una forma de «educar»; pero puede que no sea la más atractiva.
El envío de campañas falsas de phishing a los empleados ha demostrado su eficacia en Ivanti. Este ofrece a los equipos de TI la oportunidad de educar al personal durante el día, cuando es más probable que bajen la guardia. Si un empleado hace clic en un enlace de phishing, se le dirigirá a una página en la que se le explicará qué ha hecho mal y qué señales puede haber pasado por alto. Si los empleados empiezan a estar atentos a los correos electrónicos de sus propios equipos informáticos, adoptarán la misma vigilancia que necesitan para evitar las amenazas reales.
¿Pagar o no pagar el rescate de un ‘ransomware’?
Pagar el rescate no garantiza la recuperación de los archivos ni la eliminación del código de los sistemas corporativos. Por eso, las organismos nacionales de ciberseguridad, como el National Cyber Security Centre, no son partidarios de hacerlo. Además, al pagar el rescate, la codicia de los ciberdelincuentes les alentará para continuar con sus ataques. Una estrategia contra el ransomware que priorice la defensa y una completa recuperación evitará la necesidad de pagar el rescate.
Si una organización no cuenta con un plan de recuperación, la capacidad de no pagar el rescate se ve en cierto modo comprometida. Es crucial prepararse para los ataques de ransomware con simulacros para asegurarse de que se dispone de un plan de recuperación exhaustivo. Limitarse a restaurar los datos de una copia de seguridad en los sistemas dañados no es una opción válida; es preciso «reimaginar» cientos o miles de sistemas antes de volver a ubicar los datos. Es necesario llevar a cabo un plan para poder afrontar lo que puede llegar a ser una operación de inmensa magnitud.
Aquí es donde cobra una especial importancia la estrategia de «confianza cero», que se compone de tres elementos clave: acceso, usuario y dispositivo. A la hora de analizar qué herramientas desplegar para protegerse contra el ransomware, estos elementos deben ser prioritarios. Hoy en día, el factor más crítico es la solicitud de acceso, que es el núcleo de la «confianza cero». Reforzar las fuertes medidas de autenticación con la hiperautomatización, la formación y un plan de recuperación ayudará a las organizaciones a evitar el pago de un ransomware y proporcionará la mejor estrategia de seguridad contra futuros ataques.
