El pasado 27 de febrero, el Servicio de Alguaciles de Estados Unidos sufrió un ataque de ransomware. El incidente afectó sistemas que contienen declaraciones de procesos legales, información administrativa y de identificación personal del organismo que se encarga, entre otras funciones, de los prisioneros federales en EE.UU. A comienzos del mismo mes, el FBI también sufrió un ataque que afectó al sistema que se utiliza para investigaciones de imágenes de explotación sexual infantil. También en febrero La Segunda Seguros, una de las compañías aseguradoras más importantes de Argentina fue víctima de un ataque del ransomware LockBit. Este tipo de amenazas está teniendo un protagonismo creciente y estos casos lo evidencian con nombre y apellido.
¿Qué es el ransomware y cómo afecta el mercado global?
El ransomware es un tipo de ciberataque, uno de los ataques informáticos más comunes, que bloquea el acceso a recursos informáticos -información, sistemas o redes-, generalmente para extorsionar a la organización afectada y obtener algún beneficio económico. Ocasionalmente, se utiliza este recurso para interrumpir temporalmente la operación de empresas u organismos de gobierno como los mencionados en el párrafo anterior, o bien para afectar su imagen pública y su credibilidad.
Típicamente, comienza con un acción de phishing en la que un usuario sigue un link en un correo electrónico apócrifo o algún sistema de seguridad no logra impedir la acción de un virus u otro tipo de intromisión en la infraestructura de sistemas de la organización atacada.
Otros hallazgos significativos señalan que soluciones como Nessus, Nexus y Qualys, no pudieron identificar preventivamente 18 riesgos vinculados a ransomware. Este crecimiento de este tipo de ataques afecta significativamente al mercado global, ya que corta flujos comerciales, intercambios de información crítica, procesos productivos con alto impacto en cadenas de abastecimiento y, finalmente, obliga a destinar ingentes recursos en la prevención, el resguardo y las estrategias de disaster recovery que ocupan mucho presupuesto, tiempo y recursos humanos.
El ransomware en la política internacional
El 47,4% de las vulnerabilidades del ransomware afectan a los sistemas sanitarios, el 31,6% a los sistemas energéticos y el 21,1% a sectores industriales críticos. Estas tres zonas de ataque, que no son las únicas, tienen mucho que ver con áreas estratégicas que se ven involucradas en acciones de la ciberguerra como la que hoy involucra directamente a Rusia y Ucrania. Indudablemente, las redes de telecomunicaciones y servidores de sistemas informáticos son los frentes de guerra que se suman a otros escenarios tradicionales.
El actual conflicto armado afecta a muchos sectores económicos y abre las puertas a un sinnúmero de transacciones por vías informales, en la búsqueda por sortear las restricciones derivadas de las acciones políticas y militares involucradas. Todo esto brinda el sustrato para una intensificación de ciberataques, lo que obliga a reforzar también la gestión de vulnerabilidades y las estrategias de ciberseguridad incluso en las organizaciones que no están siendo partícipes. Entonces, las consecuencias del cruce entre la guerra y la ciberguerra terminan trascendiendo el conflicto para constituir un nuevo nivel de riesgos para las organizaciones en general.
Según el análisis de Recorded Future, Rusia está experimentando una oleada de fuga de cerebros informáticos que probablemente descentralizará el panorama de las amenazas de la ciberdelincuencia organizada, lo cual impactará de forma directa en los desafíos en materia de seguridad de la información en los próximos años.
Quizás te interese seguir leyendo
¿Cómo prepararse para un panorama de amenazas crecientes?
Estrategias defensivas contra estas amenazas
Para prevenir o reducir el impacto de ataques, es imprescindible desplegar una estrategia de higiene en ciberseguridad que incluya:
- Hacer copias de seguridad de los datos de manera frecuente. Una adecuada estrategia de disaster recovery que incluya procedimientos de backup acordes a las características y necesidades de cada organización, es fundamental para el caso en que todo lo anterior no sea efectivo. Aún hoy existen grandes compañías que hacen copias de respaldo una vez por semana… imagine un ataque que bloquea toda la información operativa del negocio. Si se decide no negociar con los atacantes, no aceptar la extorción, será necesario reconstruir manualmente lo sucedido durante 5, 6 ó 7 días. Muy probablemente se pierdan datos en el proceso, haya errores o inconsistencias que llevará mucho tiempo y esfuerzo compensar.
Al mismo tiempo, estar continuamente almacenando grandes volúmenes de información puede ser costoso e improductivo; por eso el diseño debe adaptarse a cada escenario en particular. - Mantener los sistemas actualizados. Los sistemas y equipos (informáticos y de redes, como así otros conectados a Internet que utilizan algún tipo de firmware) deben estar siempre actualizados porque los ciberatacantes que apelan al ransomware son lo suficientemente hábiles para utilizar cualquier back door o vulnerabilidad para ingresar e iniciar su intervención dañina.
- Implementar un conjunto de técnicas complementarias, como por ejemplo, manejar una política de gestión de identidades y accesos junto a una lógica de confianza cero (zero trust) ayudan a poner una buena barrera de entrada.
- Capacitar y entrenar al personal en materia de ciberseguridad para no caer en las trampas del phishing o de la inteligencia social aplicada a los ataques, las dos vías principales para el ingreso de ransomware. La conjunción del desconocimiento y las distracciones suele ser fatal ante la creciente sofisticación de este tipo de ataques.
Los viejos correos electrónicos no deseados, casi ilegibles de tan mal confeccionados, generalmente portadores de algún virus, han sido reemplazados por anzuelos muy elaborados, enriquecidos con técnicas de inteligencia social, que ponen en jaque hasta al más avezado usuario. Por eso la formación debe ir de la mano de la práctica, para que la protección sea más efectiva.
Sigue leyendo
Seguridad y resiliencia en la nube, de los riesgos a las oportunidades
¿Qué hacer ante un ataque efectivo?
Ante un ataque ransomware, hay dos caminos: negociar o ‘apagar todo’. El consenso mayoritario, y la recomendación de las agencias gubernamentales, es no negociar; sin embargo, ante la desesperación, hay quienes hacen pagos en criptomonedas confiando en que lograrán que se restablezca el acceso a su información o sus sistemas. A veces sucede, pero no siempre.
Cuando se tiene la evidencia de un incidente, es necesario desconectar de inmediato los equipos y redes de Internet. Esto lo podrá hacer el usuario, el administrador de redes o el encargado de seguridad informática, según cada caso. En función de las características que tenga el ataque, esto podrá reducir la superficie de daño y mitigará el impacto. Es muy importante que la estrategia de ciberseguridad incluya un protocolo correctamente diseñado y difundido entre todo el personal, en el que esté claramente pautado qué se debe hacer y quién tiene cada uno de los roles requeridos.
Tanto para la prevención como para la acción inmediata posterior ante un ataque, contar con las soluciones idóneas es una de las claves fundamentales para la continuidad operativa y la minimización de las pérdidas.
Soluciones de la industria
Son varias las opciones para prevenir y actuar frente al desafío que presenta ransomware como un tipo de malware. Acronis, por ejemplo cuenta con Active Protection, una solución que monitorea de forma constante patrones de comportamiento que afectan a los archivos de un entorno de sistemas determinado lo que constituye una herramienta muy poderosa para identificar este tipo de ataques. Esto se complementa con las capacidades de respaldo que ofrece la compañía (Acronis Cyber Backup) que actúan después de interrumpir ciertos procesos una vez detectados incidentes efectivizados.
Las buenas prácticas que recomienda Veeam incluyen la implementación de un plan de disaster recovery automatizado con V12. Luego, se impone la tendencia de establecer qué datos deben permanecer inmutables, sin ninguna modificación. Agrega los backups encriptados, que deben ser chequeados regularmente; Veeam Recovery Orchestrator es un complemento efectivo para poder actuar de forma proactiva. Cabe señalar que buenas prácticas de seguridad en general establecen la limitación de acceso a copias de respaldo, se implementarán múltiples factores de autenticación y habrá una arquitectura que segmente adecuadamente las redes de la organización. Asimismo, se mantendrán actualizados el software y los protocolos de seguridad. También aquí encontramos el concepto de monitoreo permanente, a través de la implementación de indicators of compromise (IoCs), es decir, marcadores que señalen escenarios de riesgo. Finalmente, afinar las estrategias de recuperación con el apoyo de Veeam Data Platform.
En cuando a Azure, la visión de Microsoft parte de incorporar a su plataforma cloud un conjunto de protecciones nativas para ransomware. Microsoft Defender for Cloud proporciona funcionalidades de detección y respuesta de amenazas de amplio espectro, en un escenario conocido también como detección y respuesta extendidas (XDR). La autenticación multifactor de Azure Active Directory, la aplicación Authenticator de Azure AD y Windows Hello son esenciales en la política de gestión de identidad y accesos. Además, la compañía ha creado mitigaciones de ataques DDoS nativos, funciones específicas de firewall, y un Web Application Firewall entre muchos otros controles.
¿Te ha gustado este artículo? Déjanos un comentario