La amenaza del ransomware sigue evolucionando y la defensa debe seguir su ritmo

Las noticias sobre ciberataques y robo de datos son diarias. Ilustran los graves daños causados por los ataques de ransomware y la urgencia de madurar las defensas en las organizaciones.

En julio, el grupo de medicina diagnóstica Fleury sufrió un ciberataque que dejó fuera de servicio parte de sus sistemas, poniendo en peligro las operaciones del laboratorio. Y ocurrió poco después de que viéramos paralizadas las fábricas de JBS en Estados Unidos y prácticamente cerrado el oleoducto Colonial Pipeline. Este último bloqueó el 45% del suministro de combustible de la costa este estadounidense.

La presión sobre los equipos de seguridad ha aumentado. El ransomware adquiere modalidades cada vez más destructivas. Las medidas defensivas y proactivas deben evolucionar a la misma velocidad y nivel de complejidad.

Las primeras medidas

Básicamente, en el ransomware, los delincuentes instalan malware en los ordenadores de una empresa y luego exigen un pago, a través de bitcoin, para devolver lo que fue cifrado y robado. E incluso si se paga el rescate, no hay garantía de que se devuelvan los datos.

Muchas organizaciones se negaron a pagar, optando en su lugar por intentar restaurar sus ordenadores o sistemas de acuerdo con sus planes de respuesta a incidentes. Otras decidieron pagar y acabaron siendo víctimas por segunda vez.

Pero sabíamos que el volumen, el alcance y el coste de los ataques de ransomware en 2021 serían aún mayores. En Brasil, por ejemplo, las cifras han crecido por encima de la media mundial, con un aumento del 92 % en el volumen de incidentes de ransomware desde principios de 2021.

Para evitar que los ataques tengan éxito, las empresas pueden empezar con estas medidas:

  • Refuerce la formación de los usuarios y los programas de concienciación sobre seguridad para ayudarles a evitar ser presa de estafas de phishing;
  • Despliegue controles de correo electrónico utilizando filtros antispam potentes y un método de autenticación conocido como DomainKeys Identified Mail para limitar la suplantación de identidad en el correo electrónico;
  • Implantar procesos empresariales que limiten o incluso eliminen las transacciones por correo electrónico;
  • Desarrollar y probar planes de respuesta a incidentes;
  • Siga las mejores prácticas de seguridad establecidas, como la implantación de un sólido programa de gestión de parches;
  • Mantener todos los sistemas actualizados, utilizando programas antivirus y antimalware y aplicando el principio del menor privilegio para el control de acceso.
  • Implantar nuevas tecnologías para limitar aún más las vulnerabilidades;
  • Adoptar la autenticación multifactor, la confianza cero y los marcos de seguridad como parte de una defensa por capas;
  • Realice una supervisión más agresiva con detección de amenazas consolidando estas actividades en un centro de operaciones de seguridad, ya sea interno o subcontratado, que disponga de los recursos necesarios para responder a amenazas sospechosas.

Cualquier infección puede ser desastrosa para una organización y la restauración, un reto que, si no se ejecuta con una combinación de profesionales cualificados, procesos bien diseñados y tecnología, puede poner en peligro la existencia de cualquier empresa.