Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal
Fernando Anaya* Responsable de Desarrollo de Negocio Proofpoint

Ransomware a través de phishing: ¿Qué es, por qué resurge en 2020 y conviene o no pagar?

ransomware ciberataque phishing

El panorama de las ciberamenazas evoluciona continuamente, al tiempo que aumenta su sofisticación. Sin embargo, los autores de amenazas mantienen en su caja de herramientas ataques de eficacia probada. Uno de esos métodos es el ransomware a través de phishing. De hecho, el phishing es prácticamente un anciano, si pensamos en años de la ‘Era Digital’, pero sigue siendo tan popular como siempre. De hecho, el informe State of the Phish 2020  de Proofpoint concluye que más de la mitad de las organizaciones detectaron al menos un ataque de phishing exitoso el año pasado, un dato que ilustra que es una herramienta que aún forma parte del arsenal de los ciberdelincuentes.

En 2019, el modus operandi de los atacantes siguió siendo variado:

  • El 88% de las organizaciones de todo el mundo informaron de ataques de spear-phishing.
  • El 86% informó de ataques de BEC (compromiso de cuentas de correo empresariales)
  • El 86% informó de ataques en redes sociales.
  • El 84% informó de phishing a través de SMS o mensajes de texto (smishing).
  • El 83% informó de phishing de voz (vishing).
  • El 81% detectó USB con contenido malicioso.

Sin embargo, independientemente del método de ataque, como adelantábamos, la carga maliciosa distribuida era, una y otra vez, la misma: el ransomware. De hecho, el 65% de las organizaciones globales reportaron una infección por ransomware durante el pasado año.

Los ataques de ransomware a través de phishing aumentaron notablemente en 2019, gracias en parte a la popularidad de GrandCrab, un servicio de ransomware como servicio (RaaS), que se estima que ha generado más de 2.000 millones de dólares en rescates.

El hecho de que estos métodos «tradicionales» de ataque aún tengan éxito debe ser tratado con gran preocupación en la industria de la ciberseguridad. ¿Por qué siguen causando tanto daño, cuando nuestros sistemas de vigilancia colectivos están especialmente atentos a estas tácticas y son conscientes de sus consecuencias?

La respuesta puede estar en una sorprendente falta de conocimiento, tanto sobre cómo defenderse de un ataque como sobre qué hacer cuando se produce uno.

Informe State of Phishing de Proofpoint

Cuánto sabemos realmente sobre el ransomware

Cuando se trata de los usuarios finales, la respuesta puede ser inaudita: muy poco. De hecho, de 3.500 trabajadores encuestados en siete países, sólo el 31% entendió correctamente la definición de ransomware. Esta cifra es más baja cuanto más joven es quien responde. Sólo el 28% de los que tenían entre 18 y 22 años entendieron el término, mientras que el porcentaje aumentaba hasta el 24% en los que tenían entre 23 y 38 años, al 33% en los que tenían entre 39 y 54 años y al 43% en los mayores de 55 años.

En general, el conocimiento de los términos comunes de ciberseguridad es preocupantemente bajo

Esta potencial barrera lingüística supone un reto importante a la hora de educar a los usuarios finales sobre cómo detectar y defenderse contra estas amenazas tan comunes.

La seguridad de nuestras organizaciones depende de que los usuarios finales tomen buenas decisiones. A menudo son la última línea de defensa entre un intento de ataque de ransomware exitoso y una infección de ransomware exitosa. El hecho de que haya tantos no familiarizados con lo que puede considerarse un término relativamente básico es algo que nos hace reflexionar.

Claramente, los equipos de ciberseguridad no pueden basar su trabajo en conjeturas. La formación y educación de los empleados debe ser habitual y completa, incluyendo no sólo la última amenaza del día, sino también temas como el ransomware, de los que puede haberse asumido un conocimiento previo.

¿Pagar o no pagar?

Desafortunadamente, esta falta de conocimiento sobre el ransomware no se queda solo en la forma de detectar un ataque. Existe la misma confusión sobre qué hacer si un ataque tiene éxito.

Los gobiernos y las fuerzas del orden a menudo emiten consejos contradictorios. Aunque reconocen que la decisión final recae en la víctima, la Policía Nacional y la Guardia Civil, en línea con el European Cybercrime Centre de Europol, alientan a las organizaciones a no pagar rescates. También es la línea oficial del FBI, aunque reconocen que, en algunos casos, se aconsejó a las organizaciones realizar el pago del rescate. La idea es que los ciberdelincuentes no pondrían en peligro un modelo de negocio tan lucrativo engañando a las víctimas una vez pagados los rescates.

Dicho esto, cualquier decisión de pagar un rescate recae en última instancia en la víctima. Hay una corriente de pensamiento que opina que pagar un rescate es una decisión empresarial como cualquier otra. Debe hacerse habiendo sopesado todas las opciones posibles y evaluando el riesgo frente al coste.

Para organizaciones de servicios críticos, como hospitales o ayuntamientos, por ejemplo, el pago de un rescate puede parecer la solución más rápida y eficaz. Sin embargo, se trata de una solución que depende de la voluntad de los ciberdelincuentes de mantener su palabra. Y, como vieron muchas empresas el año pasado, esto rara vez es así.

De las organizaciones infectadas por ransomware en 2019, el 33% optó por pagar el rescate. Y los resultados fueron dispares. Más de dos tercios (69%) recuperaron el acceso a los datos y sistemas después del pago. Del resto, el 22% no recuperó el acceso, el 7% recibió peticiones de rescate adicionales y no recuperó el acceso, y el 2% pagó rescates adicionales antes de recuperar el acceso a los datos y sistemas.

Cómo combatir el ransomware – antes, durante y después

Tanto ataques como defensas de eficacia probada siguen teniendo éxito, cuando se aplican con eficacia. Como siempre, prevenir es mucho mejor que curar. Es vital contar con una estrategia de ciberdefensa amplia y profunda. Y esto comienza con la educación y la formación a todos los niveles. El objetivo no es crear equipos de usuarios finales que puedan citar la definición de ransomware del diccionario, sino construir una cultura en la que la ciberseguridad esté siempre presente.

Esto significa una formación completa y continuada que va mucho más allá de cómo detectar un ataque. Los empleados deben comprender los motivos de un ataque de ransomware, qué hacer si sospechan de uno, cómo puede influir su comportamiento en los índices de éxito y cómo recuperarse en caso de que el ataque se convierta en una infección.

Cuando se trata del espinoso tema de los rescates, no hay una respuesta sencilla. Antes de tomar cualquier decisión sobre el pago de un rescate, agote todas las demás opciones, consulte con los profesionales de ciberseguridad, restablezca las copias de seguridad y sepa que pagar un rescate no es garantía de nada. A pesar de la frase que dice lo contrario, hay muy poco honor entre los ladrones.