beebright - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Las consecuencias de un ciberataque: Caso Pemex

El impacto de un negocio presa de este tipo de amenazas puede ser tan grande que las empresas piensen en la posibilidad de negociar con el atacante; sin embargo, el pago de un rescate no garantiza la recuperación de la información.

Hace unos días, Petróleos Mexicanos (Pemex), un importante conglomerado de petróleo y gas del estado mexicano, fue golpeado por un ataque de ransomware. Está considerado como el último ataque cibernético conocido a una empresa mexicana.

Ante esto debemos de entender a lo que nos estamos enfrentando. El ransomware se trata de una variante de malware, el cual tiene como objetivo entrar a un sistema a través de una vulnerabilidad y realizar actividades que pueden ser de espionaje, robo de información, uso de recursos del equipo host, o simplemente el monitoreo de la actividad del usuario. En el caso del ransomware, el objetivo principal es el secuestro de la información del usuario o del ambiente en el cual se instala; la manera de llevar a cabo este secuestro de información es por medio del cifrado de la misma con algoritmos diseñados por los propios atacantes, los cuales les permitirán tener acceso a la información en caso de ser necesario.

De igual forma el ransomware utiliza una vulnerabilidad en los sistemas para poder instalarse, al hacerlo, buscan conexión al centro de control y comando del atacante para dejar las “llaves o semillas” que serán utilizadas para poder tener acceso a la información cifrada y, una vez realizado esto, el ransomware comienza a encriptar todos los archivos que se encuentren en el sistema.

Normalmente está configurado para cifrar archivos de Office, imágenes, diagramas, diseños, etcétera. Sin embargo, existen variantes que inclusive afectan archivos de procesos industriales (SCADA).  Lo crítico en este caso es que está enfocado a realizar un secuestro de la información y/o equipos de cómputo en los cuales se instala, pudiendo diseminarse de manera automática a otros equipos de la misma institución, incrementando con esto el impacto tanto por equipos afectados como por la información comprometida. 

Las consecuencias de un ataque de ransomware varían de acuerdo con el nivel de madurez de la estrategia de ciberseguridad y de continuidad de cada empresa. Las amenazas de esta naturaleza existen y evolucionan segundo a segundo; como ejemplo, el ransomware que afectó a PEMEX fue descubierto en septiembre del 2018, sin embargo, la variante que afectó los ambientes de la institución tuvo modificaciones, las cuales pudieron hacer la amenaza indetectable para los esquemas de ciberseguridad tradicionales. Y por ello una estrategia de ciberseguridad debe de estar basada bajo la visión de PREVENCIÓN, y no de detección, como hoy día lo hacen muchas empresas.

En general, cuando una empresa es afectada por este tipo de amenazas, el procedimiento normal para la recuperación de los ambientes afectados es el llevarlos a la última configuración estable conocida. Desafortunadamente, como fabricante de ciberseguridad hemos visto, particularmente en Latinoamérica, que muchas de las empresas no cuentan con políticas o procedimientos de respaldo de información, o estos, nunca han sido probados, lo cual dificulta el poder hacer una recuperación de los ambientes afectados. Asimismo, hemos observado que las estrategias de ciberseguridad de las empresas no cuentan con planes de acción en caso de un incidente de esta naturaleza, debido a que las mismas están basadas en tecnologías de detección.

Por lo anterior, el impacto al negocio al ser presa de este tipo de amenazas puede ser tan grande a tal grado que las empresas piensen en la posibilidad de negociar con el atacante; sin embargo, debemos de considerar que el realizar el pago de un rescate no garantiza el poder recuperar la información, además, realizar el pago en bitcoins, hace imposible la trazabilidad de pago.

Algunas consideraciones

Debemos de considerar que en un mundo conectado como en el que vivimos, hoy día todas las organizaciones están expuestas a este tipo de ciberataques, ya sea ransomware u otra variedad de ataques desconocidos.

Tan solo el 7% de las empresas cuentan con protecciones para poder hacer frente a amenazas de nueva generación basadas en tecnologías preventivas. Y esto se debe a que las áreas de ciberseguridad de las empresas siguen creando estrategias basadas en un esquema de detección (firewalls, antivirus, IPS, etc.). Las herramientas basadas en tecnologías de detección son necesarias, protegen la red y los componentes de esta contra las amenazas que actualmente se conocen, aunque son ineficientes a la hora de enfrentarse a ataques desconocidos o de segundo cero, como lo es el ransomware.

Nuestra recomendación es hacer una revisión a la estrategia, validar que la misma esté preparada para temas de prevención de amenazas avanzadas, y contar con planes de recuperación en caso de contingencia.

Tanto corporaciones como instituciones deben de establecer de primera línea una estrategia de seguridad basada en prevención de amenazas desconocidas, la cual deberá de contemplar la identificación de zonas críticas dentro de la red de la empresa y llevar a cabo una correcta segmentación para aislar dichas zonas de recursos públicos, o de redes de usuarios. Esto aplica no solamente para la red corporativa, sino también para los recursos que pueden estar en nubes ya sea públicas, privadas o híbridas.

Adicionalmente, es necesario crear planes de contingencia, respaldos periódicos de la información tanto de los usuarios como de servidores, aplicativos, etcétera; considerar estrategias de DRPs o BCPs, las cuales deben de ser probadas periódicamente para garantizar su efectividad en caso de un evento.

Pero lo más importante se llama concientización, las empresas deben de tener políticas y procedimientos de seguridad los cuales enseñen al usuario las cosas que puede y no hacer dentro de la red; una buena política de uso correcto del correo electrónico debería de enseñar al usuario a no abrir adjuntos de remitentes desconocidos, por ejemplo. Las herramientas son fundamentales pero el ciclo no está completo sin una verdadera cultura en ciberseguridad.

Sobre el autor: Emmanuel Ruiz es Country Manager de Check Point México.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close