En los últimos años, los ataques de ransomware han aumentado significativamente, perturbando el sueño y la tranquilidad de los CISOs, CEOs y todos los responsables de la administración de entornos y superficies de TI.
En términos estadísticos, solo en los primeros seis meses de 2022, se registraron más de 236 millones de ataques de ransomware a nivel mundial. Según el Informe de Investigación de Violaciones de Datos (DBIR), hemos experimentado un aumento del 13% en los ataques año tras año desde 2021.
Las técnicas de los atacantes son cada vez más elaboradas, y si antes tenían un objetivo específico dirigido a un cierto nicho de mercado, en la actualidad, todos los sectores industriales se han convertido en objetivos. Podemos afirmar categóricamente que es la oportunidad y el incumplimiento por parte de las empresas de algunas buenas prácticas en ciberseguridad lo que determina el éxito o fracaso del ciberdelincuente.
Pero, ¿qué es el ransomware?
La palabra «rescate» significa ransom, y ese es el principal objetivo de este tipo de malware. Una vez que el ransomware ha infectado los sistemas principales de la empresa, cifra los datos y luego exige el pago de un rescate. El no pago del rescate puede llevar a la pérdida permanente de los datos o a la exposición de información confidencial, afectando la imagen de la empresa en el mercado.
Principales tipos de ransomware
- Ransomware de bloqueo (Lockers): restringen el uso de la computadora, portátil o servidor;
- Ransomware de criptografía: es el tipo más utilizado actualmente por los criminales. Actúa cifrando los archivos principales de las empresas.
Principales vectores de ataque y cómo protegerse
Protegerse contra este tipo de ataque requiere una visión holística de las mejores prácticas de ciberseguridad por parte de las empresas. Podemos enumerar algunos de los principales vectores de ataque y cómo las empresas deben prepararse contra esta amenaza:
- Sistemas operativos desactualizados: Mantenga su parque tecnológico al 100% endurecido. Esto reduce las posibilidades de que los infractores exploren vulnerabilidades ya resueltas. Mantener una política de gestión de postura y exposición alineada con las mejores prácticas de seguridad es fundamental para combatir este tipo de vector. Cuando hablamos de entornos en la nube, es de suma importancia que esta superficie sea analizada mediante una solución de CSPM (Gestión de la Postura de Seguridad en la Nube). Muchas veces, el entorno en la nube se descuida en este sentido.
- Proteja el (los) perímetro(s): Se entiende por perímetro una división lógica o física que separa los dispositivos de red de otras redes o de Internet. Para ello, debe utilizar una buena solución de NGFW (Firewall de Próxima Generación), tener políticas de acceso lo más restrictivas posible, proteger aplicaciones web con una solución de WAF (Firewall de Aplicaciones Web) e implementar una solución de VPN o ZTNA para empleados y colaboradores externos.
- Proteja a su usuario: Se sabe que el usuario es el principal objetivo de los malintencionados. Un intento de phishing exitoso puede exponer el entorno de TI y facilitar la tan temida movilidad lateral. Mantenga una rutina interna con respecto a campañas de concientización contra el phishing. Para la protección de los dispositivos de estos usuarios, tenga siempre una solución de EDR & XDR además de una solución con características de DLP y que sea capaz de monitorear y alertar cualquier acción que caracterice un tipo de ataque. Implementar una política de autenticación multifactor es un gran aliado contra este tipo de vector.
- Realice una gestión adecuada de contraseñas y accesos privilegiados: El 75% de las violaciones de seguridad en TI provienen del compromiso de cuentas privilegiadas. Mantenga políticas de acceso lo más restrictivas posible e implemente una solución de Gestión de Identidad. Estas soluciones son capaces de proteger a sus colaboradores, proveedores, cualquier tipo de carga de trabajo, dispositivos, aplicaciones, proporcionan la protección del tipo Zero Trust además de brindar visibilidad, cumplimiento y auditoría.
- Ejecute pruebas regulares de seguridad: Cuente siempre con la experiencia de un Equipo Rojo y realice pruebas balísticas regulares en su estructura web, aplicaciones móviles, API, infraestructura externa e interna, redes Wifi y campañas puntuales de phishing. Las vulnerabilidades encontradas en estas superficies deben corregirse inmediatamente, ya que son las principales puertas de entrada para los malintencionados.
- Monitoree su marca y sus usuarios VIP: A través de una solución de Inteligencia de Amenazas, su empresa puede monitorear datos filtrados en la Deep & Dark Web, el uso abusivo o indebido de la marca o perfiles falsos en redes sociales, además de monitorear información personal filtrada de ejecutivos y VIPs.
- Cree una política de Backup consistente: Mantener una rutina de respaldo consistente e inmutable es fundamental para la continuidad de los negocios. Cree la estrategia 3x2x1, es decir, tenga al menos tres copias de respaldo separadas sin influencia entre sí, utilice dos tipos de medios de almacenamiento distintos y mantenga una copia externa de esos datos. Cree también una estrategia de Recuperación ante Desastres que cumpla con el RPO y el RTO de su negocio. Realice pruebas y revisiones mensuales de esta estructura.
- Mantenga una política de gobernanza alineada con los negocios: El mapeo y la gobernanza de los procesos en ciberseguridad son fundamentales y ayudan a los gestores a mapear riesgos y oportunidades. Abordar la ciberseguridad de manera práctica y objetiva es una obligación y esta iniciativa debe partir de los niveles más altos de la organización. La gobernanza es la herramienta mediante la cual una organización dirige y controla la seguridad, especifica la matriz de responsabilidad y proporciona supervisión para garantizar que los riesgos se mitiguen, mientras que la administración garantiza que los controles necesarios se implementen, corrijan, revisen y mejoren continuamente.