Edwin
Weijdema, Tecnólogo Global, Veeam
Los ataques de ransomware han dominado los
titulares en los últimos dos años y seguirán controlando la agenda de la
ciberseguridad en 2023. Mientras que las bandas de ransomware siguen teniendo
éxito a la hora de extorsionar a las empresas, las que pagan las demandas están
financiando la industria de este tipo de ciberataques y fomentando la
delincuencia. Con el aumento de los ataques en áreas como las infraestructuras
críticas y la salud, se ha convertido en algo más que un problema de las
organizaciones. ¿Cómo hemos llegado hasta aquí, cuáles son las implicaciones
más allá del mundo corporativo y qué deben hacer para romper el ciclo?
Cómo
el ransomware democratizó el robo de datos
La ciberdelincuencia existe desde la
década de 1980 y, desde entonces, la industria de la ciberseguridad no ha
dejado de evangelizar (o " sembrar el miedo", según a quién se
pregunte) sobre las ciberamenazas. En los últimos cinco años, sin embargo, las
cosas se han puesto realmente difíciles, con un asombroso 90% de organizaciones
afectadas por ransomware sólo en el último año. Aunque la creciente
digitalización global ha sido un factor clave, el principal factor es que los
delincuentes han encontrado una forma eficaz de rentabilizar la
ciberdelincuencia: el ransomware. Los métodos para instalar ransomware en un
dispositivo, como el phishing o las URL maliciosas, no han cambiado mucho.
Pero el beneficio económico siempre ha
sido uno de los principales motivos de los ciberdelincuentes, así que ¿por qué
se ha tardado tanto en llegar a este punto? La respuesta pone de relieve las
implicaciones más oscuras de las nuevas innovaciones digitales, ya que las
nuevas tecnologías han proporcionado a los grupos de piratas informáticos el
vehículo de escape perfecto para sus delitos. Las criptomonedas como el bitcoin,
y la tecnología blockchain que las asegura, proporcionan un método fiable y
casi imposible de rastrear para extorsionar dinero. Esto ha convertido a los
grupos de ciberdelincuentes en máquinas de hacer dinero, en empresas por
derecho propio. El término "banda" oculta lo sofisticadas que pueden
llegar a ser estas organizaciones; documentos filtrados a principios de año mostraban
cómo Conti, uno de los grupos de ransomware más notorios del planeta, tiene un
departamento de RRHH, evaluaciones de rendimiento e incluso un "empleado
del mes".
Una
visión general
Más allá del daño financiero y
reputacional de primera mano causado por los ataques de ransomware, hay que
tener en cuenta un panorama más amplio. La ciberdelincuencia es una industria
que cuenta con especialistas experimentados y proveedores especializados de
productos y servicios, e incluso se ha modernizado hasta el punto de que los
productos RaaS (Ransomware-as-a-Service) pueden adquirirse por suscripción.
Como cualquier industria, necesita beneficios para crecer, expandirse y
desarrollarse. Pagar las exigencias del ransomware echa más leña al fuego, y no
sólo las empresas se verán envueltas en las llamas.
Gobiernos, hospitales e infraestructuras
críticas como transportes y escuelas son víctimas cada vez más de ataques de
ransomware. Los ataques a hospitales se están volviendo alarmantemente comunes
en Estados Unidos y Europa, y el mes pasado el gobierno de Estados Unidos
convocó a más de 30 países a unirse para hacer frente a los continuos ataques
de ransomware a infraestructuras críticas. No se trata sólo de ciberataques a
naciones (un tema aparte, aunque las fronteras son cada vez más difusas), sino
de los mismos ciberdelincuentes que atacan a las empresas. Dos bandas afiliadas
a Conti, el grupo mencionado anteriormente, han atacado sectores de
infraestructuras críticas en Europa, como el energético y el farmacéutico.
Aunque muchos grupos afirman que no atacan
infraestructuras críticas por razones éticas o por temor a repercusiones
diplomáticas, el ransomware es indiscriminado: los métodos utilizados pueden
ser de gran alcance, y los servicios públicos pueden verse fácilmente atrapados
en él. De hecho, el número y la gravedad
de los ataques de ransomware están alcanzando un punto crítico. Dado que
afectan a organizaciones grandes y pequeñas, públicas y privadas de todo el
mundo, protegerse y no pagar el rescate son pasos fundamentales para poner fin
a la crisis. También es justo decir que las organizaciones tienen la
responsabilidad corporativa de evitar pagar las peticiones de rescate y
financiar nuevos delitos. Pero ¿cómo pueden abordarlo las compañías?
Qué
deben hacer las empresas
Podría parecer que el peso del mundo recae
sobre los hombros del equipo de ciberseguridad de una organización, y aunque no
se puede negar que están sometidos a una enorme presión debido al ransomware,
no podemos detenerlo en su origen. En cambio, las organizaciones deben
protegerse a sí mismas y ayudar a detener el flujo de dinero (criptográfico) de
esta industria criminal.
La prevención del ransomware requiere una
combinación de personas, procesos y tecnología. También es importante destacar
que, a pesar de lo que la gente pueda pensar, el mundo digital y el mundo real
no son tan diferentes. Las ventanas abiertas deben cerrarse con llave por la
noche (sistemas de parcheo), dos cerraduras son mejor que una (autenticación
multifactor), los objetos o la información vitales deben guardarse bajo llave
(protección de datos) y los mayores riesgos de seguridad suelen ser las
personas y el personal (amenazas internas o incumplimiento de los procesos).
Sin embargo, aunque la prevención es un
elemento clave en esta misión, y evitar por completo un ataque siempre será más
barato que hacerle frente, tampoco es realista esperar que las empresas eviten
todos los ataques a escala. La responsabilidad no es que las empresas eliminen
por completo los ataques de ransomware exitosos, sino llegar a un punto en el
que, incluso en el caso de un ataque exitoso, la compañía se encuentre en una
posición en la que no necesite pagar las demandas: pueden decir "no"
al ransomware.
Esta última línea de defensa son los
procesos de backup y recuperación puestos en marcha. Las amenazas de ransomware
pueden ignorarse cuando una organización dispone del backup de los datos
críticos con la que restaurar el sistema cifrado. Sin embargo, no todas las
copias de seguridad son iguales. A medida que el ransomware y los
ciberdelincuentes se han vuelto más sofisticados, éstos atacan ahora
activamente los repositorios. Según un estudio realizado este año, el 94% de
los ataques de ransomware iban dirigidos a estos, y el 68% de ellos tuvieron
éxito.
La antigua regla del backup era mantener
tres copias de los datos, en dos tipos diferentes de soportes, con una
almacenada fuera de las instalaciones (la conocida como regla 3-2-1). Esa copia
externa se utilizaba en caso de desastre físico, como un incendio o una
inundación. Sin embargo, el ransomware es mucho más común hoy en día, por lo
que, además de una copia externa, las estrategias de backup modernas deberían
incluir una copia offline, air-gapped (inalcanzable) o inmutable (inalterable).
Con esto y un sólido proceso de recuperación (diseño para la recuperación), una
empresa puede resistir y recuperarse de forma segura de los ataques de
ransomware sin ni siquiera plantearse pagar un rescate.
Poner
fin al ciclo
El ransomware ha democratizado el robo de
datos y ha convertido la ciberdelincuencia en una industria rentable y en
desarrollo como nunca habíamos visto. Aunque no es responsabilidad de las
empresas abordar o resolver activamente este problema en su origen, sí tienen
el deber de cuidar a otras organizaciones e infraestructuras críticas de todo
el mundo para no avivar el fuego. Los organismos gubernamentales trabajan ahora
para encontrar soluciones al problema (si es que se puede encontrar alguna),
pero las empresas deben invertir en la prevención del ransomware para
protegerse de enormes daños económicos y de la posibilidad de financiar nuevos
delitos.
No hay comentarios:
Publicar un comentario