Pérdidas millonarias y daño reputacional, entre las afectaciones
más severas que sufren las organizaciones por ransomware. Algunas
organizaciones pagan las tarifas de rescate en su totalidad, solo que
nunca reciben los medios para descifrar sus datos. Acciones para
contrarrestar el pago de un rescate por ransomware.
De acuerdo al último reporte del Foro Económico Mundial
(WEF), el 85 % de la Comunidad de Liderazgo en Seguridad Cibernética de
éste ha subrayado que el ransomware se está convirtiendo en una
amenaza que crece peligrosamente y representa una gran preocupación para
la seguridad pública. El informe subraya que tan solo en 2020, los
ataques de ransomware aumentaron un 435 % , y están superando la
capacidad de las sociedades para prevenirlos o responder a ellos de
manera eficaz.
A decir de Oswaldo Palacios, Senior
Account Executive para Guardicore (ahora parte de Akamai), las demandas
de los ciberatacantes están creciendo junto con un aumento en los
ataques de ransomware, con un rescate promedio de $84 mil dólares. Sin
embargo, el efecto negativo del ciberataque puede ir más allá del
meramente funcional, generando pérdidas económicas relacionadas con
aspectos financieros, legales, contractuales y reputacionales.
Asimismo, Palacios afirma que existen varios parámetros para medir la
afectación por ransomware, sin embargo el más importante será
preguntarse: ¿cuánto dinero perdería por minuto, hora o día si mis
sistemas informáticos dejan de funcionar? Pueden considerarse
aplicaciones críticas tales como pagos, el portal transaccional,
facturación, etcétera.
Luego de que un ransomware haya cifrado la
información de la máquina donde se activó, no es posible recuperar
dichos datos; con lo cual, la pérdida de información y afectación en la
operación del activo son los daños más importantes. Dejar de operar
puede traer pérdidas millonarias a las compañías dependiendo de qué
sistemas se hayan visto afectados, sin contar el daño reputacional
respecto de la interrupción de las aplicaciones involucradas, destacó el
directivo.
Otro parámetro a considerar es el tiempo
que llevaría a una compañía restaurar la operación de sus sistemas, o el
costo de implementación de un sistema de recuperación de desastres que
puede incluir, sitios alternos, programas de concientización y educación
del personal, sistemas de respaldos, etcétera.
En marzo de 2021, el proveedor
estadounidense de servicios gestionados CompuCom, confirmó que esperaba
perder hasta 8 millones de dólares en ingresos por la suspensión
temporal de ciertos servicios tras el ataque de ransomware DarkSide,
además de un gasto total anticipado de 20 millones de dólares para
restaurar completamente los servicios y abordar otros problemas causados
por el ataque.
A pesar de que los expertos recomiendan no
pagar un rescate exigido por la ciberdelincuencia para recuperar la
información, algunas empresas pagan las tarifas de rescate en su
totalidad, solo que nunca reciben los medios para descifrar sus datos.
En estos casos, una organización gasta mucho tiempo y dinero para
recrear o reconstruir lo que se perdió.
Acciones para contrarrestar el pago de un rescate por ransomware
Dado que el incidente de ransomware promedio dura 16,2 días, la creación de una estrategia de defensa que evite el movimiento lateral al
principio de un ataque puede ayudar a una organización a evitar la
pérdida generalizada de datos, los altos costos y el tiempo de
inactividad si ocurriera lo peor.
Algunos atacantes pueden exfiltrar
materiales sensibles para venderlos o aprovecharlos. Una vez que los
datos de propiedad de la empresa se filtran o se ponen en peligro, el
daño a una marca y la pérdida de lealtad del cliente suelen estar muy
cerca. Según una encuesta de 2020, el 80% de las filtraciones de datos
incluían la PII (Información de Identificación Personal) del cliente; la
propiedad intelectual se vio comprometida en el 32% de las
infracciones; los datos anónimos de los clientes se vieron comprometidos
en el 24% de las infracciones.
Una vez descubierto un ataque de ransomware
en un ambiente de TI, Oswaldo Palacios recomendó a los líderes de
seguridad asegurarse de que no existan más activos infectados, lo cual
se puede lograr con una herramienta de visibilidad a
nivel de proceso de comunicación dentro de un servidor, de esta forma se
neutralizará la activación del malware y sabrá con exactitud donde se
encuentra. Otro punto importante es que no se pueda propagar en la red,
algo fundamental para que esto no suceda es contar con una herramienta de microsegmentación que permita aislar los activos críticos de la compañía.
Una estrategia para evitar nuevos ataques de ransomware es tener visibilidad y segmentación a nivel de proceso en los servidores o activos dentro o fuera del centro de datos. “No
podemos proteger lo que no podemos ver” de esta forma es posible
asegurarse de crear una lista blanca de procesos de comunicaciones, así
sabremos cuando un activo infectado intente comunicarse con el servidor
controlador y bloquear dicha petición; con esto se estará mitigando la
amenaza de manera proactiva”, explicó el directivo.
La planificación de una estrategia de
mitigación y defensa contra ransomware debe comenzar mucho antes de que a
una organización se le exija el pago de rescate. Mediante el
uso de políticas de segmentación de red, las organizaciones pueden
bloquear técnicas de propagación de ransomware comunes. Al
utilizar microperímetros de confianza cero alrededor de aplicaciones
críticas, copias de seguridad, servidores de archivos y bases de datos,
los equipos de seguridad de TI también pueden crear políticas de
segmentación que restrinjan el tráfico entre usuarios, aplicaciones y
dispositivos, lo que también reducirá drásticamente la superficie de
ataque, finalizó Palacios.