zephyr_p - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Cómo estar mejor preparados ante una nueva ola de ransomware

Contra el ransomware, no basta solo tener una estrategia de ciberseguridad enfocada en la prevención; hay que invertir también en la de detección y en reaccionar de forma rápida.

El ransomware es, de todos los diversos tipos de malware existentes, el que más repercusión mediática ha tenido en los últimos años debido a que diversas empresas y gobiernos de todo tamaño, a nivel global, han sido sus víctimas. En varias ocasiones, las organizaciones criminales han logrado impactar en las operaciones de sus objetivos, que debieron pasar distintas áreas de negocio a un estado de contingencia operativa. Solo basta con leer los casos en los periódicos de Argentina, Chile o México, por mencionar solo algunos países de la región.  

El ransomware es un tipo de software malicioso que tiene como objetivo apoderarse de la información que reside en la computadora de la víctima, solicitando un pago de rescate a cambio de liberarla. La técnica utilizada por el ransomware es encriptar la información de la computadora de la víctima, volviéndola inaccesible. Tras el pago del rescate, que es típicamente en criptoactivos, la víctima recibe la clave para desencriptar la información. O no.

Inicialmente, los ciberdelincuentes apuntaban al público general; sin embargo, han mutado a atacar a empresas y organismos de gobierno en busca de mayor rentabilidad de su actividad criminal. Ya no solo se limitan a secuestrar la información, también realizan extorsiones al amenazar con divulgarla públicamente.

Detrás de los ataques de ransomware hay organizaciones criminales, incluso algunas con afiliaciones de distintas personas en múltiples países, que cuentan con recursos para financiar sus operaciones y están muy bien capacitadas. Se estima que, para 2021, los costos por los daños de ransomware a escala global van a ser de USD 20.000 millones de dólares, incrementándose un 5.700 % comparado con el 2015, de acuerdo con Cybersecurityventures.

La elección del blanco de un ataque no es azarosa: es un proceso con inteligencia previa. Incluso existen criminales que brindan servicios de ransomware, facilitando conocimiento, herramientas, infraestructura y otros componentes necesarios para llevar a cabo esta modalidad criminal a gran escala en modo de campañas.

¿Cómo se lleva a cabo un ataque de ransomware?

Técnicamente, un ataque tiene distintas fases, cada una de ellas con un propósito específico:

1. Infección: Los atacantes intentarán engañar a un empleado de la organización para que ejecute un programa malicioso. La forma más común es a través de un correo electrónico de phishing, o explotando alguna vulnerabilidad conocida no corregida para ejecutar su malware. También existe la posibilidad de la participación deliberada de algún empleado de la organización víctima.

2. Movimiento lateral: Una vez controlando un dispositivo de la organización, los atacantes pondrán en marcha la segunda fase, que denominamos “movimiento lateral”, y que consiste en propagarse a la mayor cantidad de computadoras posible. Si bien intentarán hacer esto lo más rápido posible, puede tomar largos períodos de tiempo, pudiendo llegar a varios meses. Los criminales trabajarán con mucho sigilo, utilizando técnicas de evasión, para pasar lo más desapercibidos posibles. Durante esta etapa, buscarán vulnerar los servidores de autenticación para poder crear usuarios con privilegios administrativos, instalar masivamente software para controlar los servidores de gestión de actualizaciones y destruir los mecanismos de respaldo para que, cuando se secuestre la información, no sea posible recuperarla. La finalización de esta segunda fase dependerá de cuándo los criminales decidan que pueden causar el suficiente daño a la víctima para inducirla a pagar un rescate. En paralelo, los cibercriminales estarán robando la mayor cantidad de información posible a fin de usarla luego de forma extorsiva y/o venderla a otros actores criminales.

3. Cifrado de datos: En esta etapa se da la instrucción al software malicioso previamente instalado para cifrar la información mediante una clave que hasta ese momento solo los atacantes conocen. Se ejecuta muy velozmente y es muy difícil de mitigar llegado a este punto, por lo que se dará notificación a la víctima y se le exigirá el rescate. Lo siguiente es muy similar a la operatoria de un secuestro extorsivo convencional, pues los delincuentes abren canales de comunicación y negociación con la pretensión de obtener el pago a cambio de entregar la clave de descrifrado.

La prevención no basta, es necesario poder detectar y reaccionar

Gonzalo García

La seguridad es un proceso, no es una única acción. Por tanto, es necesario encarar el problema del ransomware con decisión e inversión. Tener solo una estrategia de prevención no basta; hay que invertir tanto en la capacidad de prevenir, como en la de detectar y reaccionar. Es aconsejable privilegiar tener una visión central y unificada de toda la superficie de ataque, así como incorporar capacidad de análisis y reacción a velocidad digital, asistida por inteligencia artificial, para poder tener una detección temprana y una respuesta automatizada, las cuales se vuelven críticas por el volumen de información.

Algunas recomendaciones de por dónde empezar:

  • Realice entrenamientos para concientizar acerca de esta problemática y tener una fuerza de trabajo ciberconsciente en su empresa u organismo público. Una práctica habitual es realizar campañas de phishing de prueba, buscando identificar a los empleados que son engañados y así profundizar el entrenamiento de estas personas.
  • Mantenga la higiene digital de los dispositivos, instalando las actualizaciones de seguridad provistas por los fabricantes lo más rápido posible para reducir la brecha de exposición.
  • Despliegue confianza cero en la red por medio de segmentación, robusteciendo la autenticación y el manejo de identidad, implementando firewalls de nueva generación y políticas de mínimo privilegio, y analizando los eventos de seguridad en busca de indicadores de compromiso.
  • Implemente soluciones de detección y respuesta. La prevención basada en firmas que tienen los antivirus en la actualidad para los dispositivos no basta y por eso es necesario sumar software de detección y respuesta (EDR, por sus siglas en inglés), que se focalizan en la posejecución.

A medida que las redes se vuelven más complejas, también lo es defenderlas. Ya no es un trabajo de una solución puntual. Las soluciones que permiten no solo prevenir, sino también detectar y responder de forma integrada y automatizada, pueden aliviar la carga del equipo de TI y ayudar a cerrar las puertas al ransomware.

Sobre el autor: Gonzalo García es vicepresidente de Fortinet para Sudamérica.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close