Lo que aún tenemos que hablar sobre la lucha contra el ransomware
todavía tenemos que hablar de la lucha contra el ransomware

Lo que queda por hablar sobre la lucha contra el ransomware en la empresa

Sí, todavía tenemos que hablar de la lucha contra el ransomware en las empresas. Porque los creadores y operadores de ransomware han sido pioneros en nuevas formas de evitar los productos de seguridad para puntos finales en 2020. Y tienen creatividad y versatilidad para idear nuevas tácticas.

Solo en el último trimestre de 2020, el pago medio por rescate aumentó un 21%, según informes internacionales. Alcanzó los 233.817,30 dólares estadounidenses. Hace un año, el pago medio fue de 84.116 dólares. Está claro que los actores del ransomware entienden lo caro que puede salir el tiempo de inactividad y están probando el límite de lo que pueden extraer de las empresas en una petición de rescate.

Cada vez que una empresa sufre un atentado, las conclusiones de los análisis son similares a las de un accidente aéreo. Nunca se trata de un hecho aislado, sino de una combinación de factores. En un incidente de ransomware, el hacker utiliza diversas técnicas para acceder al entorno. Sin embargo, algo que todos los ataques tienen en común es la ingeniería social, en la que el atacante explota la vulnerabilidad humana. Esto, combinado con un entorno sin características de seguridad de la información, o con herramientas de protección mal configuradas y no gestionadas, abre la puerta al atacante.

Puede ser que el hacker mantenga los datos encriptados, sin tener ninguna copia de los mismos. O bien, pueden hacer una copia de los datos (Exfiltración) y luego comenzar a cifrar los archivos. En este segundo escenario, aunque la empresa disponga de un plan de continuidad de negocio y consiga restaurar el entorno, evitando un mayor impacto operativo, el atacante iniciará un proceso de chantaje para no filtrar o vender los datos en la darkweb. Esto puede provocar que la empresa acabe pagando el rescate.

Aunque el ransomware plantea tantos riesgos, todavía hay aspectos de este tipo de delito que las empresas siguen descuidando y que, mientras no haya una respuesta coherente, los ataques seguirán produciéndose.

El compromiso es tan importante como las herramientas de protección

La mayoría de las empresas no tienen visibilidad transaccional de los datos. Así, si los usuarios los trasladan a nubes no autorizadas por la corporación, o los envían por correo electrónico o en memorias USB, por ejemplo, los responsables de la ciberseguridad de la empresa no podrán identificar, en caso de ataque, si ha habido fuga o cifrado de datos.

Por eso es tan importante el compromiso. Como en un incidente cibernético intervienen varios factores, las contramedidas deben elaborarse en el contexto de un programa de ciberseguridad. El programa consiste en poner en marcha modelos de protección. Y es esencial que los empleados estén comprometidos. Para que sepan identificar el phishing, para que cuando detecten algo sospechoso por correo electrónico o incluso por una llamada, puedan alertar al equipo responsable de la empresa.

Centrarse en la detección y la respuesta

Además de centrarse en la protección, los equipos de seguridad deben centrar sus esfuerzos en la detección, asumiendo que, en algún momento, puede producirse un ataque. Los daños se minimizarán si se reduce el tiempo necesario para detectar y responder a ese incidente.

La respuesta a incidentes también es un tema que el equipo de SI debe tomarse en serio. Muchas empresas no tienen una instrucción de los pasos a seguir cuando se está produciendo un ataque. Y apagar el equipo acaba siendo la primera opción, lo que puede dificultar la investigación forense, las pruebas de memoria y la identificación del paciente cero. Se trata de información importante para corregir el vector del ataque y comprender el suceso. ¿Fue un ataque dirigido o simplemente la identificación y explotación de una vulnerabilidad?

Déficit de profesionales cualificados

La reducción de los equipos tecnológicos y la elevada demanda son factores que plantean el reto de mantener protegido el entorno corporativo y sus datos. El área de SI sufre una escasez de profesionales cualificados al mismo tiempo que la necesidad de seguridad no deja de aumentar.

No olvide

No existe una bala de plata. Las empresas necesitan adaptar su programa de ciberseguridad para aumentar la madurez de la protección y alinear la estrategia de seguridad con el negocio. Además, deben invertir en un plan de continuidad de negocio bien desarrollado, con medidas claras en caso de desastres, y una buena política de copias de seguridad offline, fuera de la red corporativa. Medidas esenciales para que las organizaciones no queden a merced de los delincuentes si fallan todas las medidas de seguridad y ocurre lo inevitable en el entorno.

Por Thiago Gonçalves

Tags: ,
Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.