¿Es posible prevenir un ataque de ransomware?

Los ataques de ransomware han alcanzado niveles récord. No solo están aumentando en frecuencia, sino que también están volviéndose más sofisticados, exitosos y dañinos. El ransomware es un arma digital peligrosa debido a sus muchas variantes y al impacto tanto económico como en la continuidad del negocio de cualquier compañía. Ninguna empresa o individuo es demasiado pequeño o demasiado grande para ser un objetivo de ransomware. 

Pero además del riesgo económico, también hay un gran daño a la reputación, tanto de una empresa privada como de una organización pública. Quizá por eso y por la posibilidad de recuperar los datos, el año pasado el 57% de las víctimas pagaron los rescates solicitados por los ciberdelincuentes. Pero, a pesar de pagar, no todos recuperan sus datos robados. Por eso nunca se debe pagar un rescate de ransomware. Desde 2019, han aumentado estos ataques un 13% en todo el mundo, pasando de un 56% en 2019 a un 69% en 2021. 

¿Cómo funciona un ataque de Ransomware?

En un ataque sofisticado, el ciberdelincuente primero investiga una lista de potenciales objetivos y reúne la información que necesita sobre sus sistemas y usuarios para detectar una debilidad. Puede buscar en las cuentas de las redes sociales, ofertas de empleo, foros u otras comunicaciones. Cuando encuentran una debilidad, su siguiente paso es franquear el perímetro de seguridad cibernética que, en la mayoría de los casos, se hace fácilmente.

Los ataques de ransomware a menudo aprovechan las estrategias de phishing que inducen a las víctimas desprevenidas a hacer clic en un correo electrónico de apariencia legítima. Y ese clic es el que libera el malware que compromete el puesto de trabajo de la víctima. Una vez que los atacantes obtienen acceso a ese puesto de trabajo, sus objetivos son elevar sus derechos de acceso, para poder moverse con libertad. Aprovechan cuentas privilegiadas en los endpoints para extender su alcance al resto de una organización. Incluso pueden instalar herramientas que les permitan regresar cuando lo deseen.

La clave para detener un ataque es ser capaz de detectar cuándo se están produciendo este tipo de actividades para poder reducir el «tiempo de permanencia». Este es el período previo a la detección del incidente. Un tiempo en el que el atacante pudo haber obtenido acceso, evitado la detección, robando datos sin dejar rastro. Los atacantes suelen utilizar credenciales de administrador para infectar tantos sistemas como sea posible, incluidos los digitales. Roban datos confidenciales y bloquean sistemas críticos, deteniendo completamente una empresa.

En algunos incidentes, el ransomware causa tanta interrupción que puede poner en riesgo la vida de las personas, por ejemplo restringir el acceso a registros médicos o sistemas de comunicación de emergencia. Una vez que una organización está a su merced, los atacantes suelen amenazar con bloquear el acceso a la información y a los sistemas de la empresa, a menos que se les pague un rescate.

Claves para reducir riesgos y responder al ransomware

Las soluciones tradicionales de ciberseguridad no han logrado evitar que el ransomware infecte a las organizaciones y creen una disrupción masiva. Los programas de antivirus no pueden prevenir y detectar este tipo de ataques, debido a las variantes únicas y de rápido crecimiento del ransomware

Para combatir el ransomware, se debe ir más allá de las soluciones de ciberseguridad tradicionales basadas en la red. En primer lugar, es necesario asumir que tarde o temprano se va a sufrir un ataque de ransomware, por lo que hay que trabajar en la prevención, más que en su contraataque. Es necesario incorporar estrategias de seguridad que ayuden a que la organización esté preparada y sepa responder adecuadamente, como por ejemplo contar con un protocolo de respuesta a incidentes. 

Por ejemplo, la intromisión en un solo sistema no tiene por qué permitir a un atacante contar con un acceso privilegiado y sin restricciones a toda una organización. ¿Cómo se consigue? Con segmentación de la red, soluciones de detección de amenazas y soluciones de gestión de accesos privilegiados (PAM) para evitar que el atacante tenga acceso y se mueva fácilmente a través de la red de la organización. 

Por su parte, El Instituto Nacional de Ciberseguridad, INCIBE, ha elaborado una guía para el Empresario sobre la prevención del Ransomware. Esta guía detalla varias recomendaciones para la prevención y respuesta de malware, para conocer, prevenir y mitigar esta amenaza.Entre algunas de las claves, están las siguientes:

• Realizar al menos dos copias de seguridad de toda la información y activos críticos
• Navegar de forma segura: Utilizar redes privadas virtuales siempre que sea posible.
• Mantener los sistemas y software actualizados
• Aplicar el principio del mínimo privilegio para evitar que los usuarios tengan más privilegios de los que necesitan y puedan acceder a información crítica. 
• Utilizar contraseñas robustas y políticas de bloqueo de cuentas ante un número determinado de intentos de acceso.
• Eliminar o deshabilitar aquellas cuentas de usuario que no sean necesarias. 
• Configurar el correo electrónico: Evitar habilitar macros de archivos adjuntos de correo electrónico, Contar con filtros de spam, Escanear los correos entrantes y salientes, etc. 
• Contar con un plan de respuesta a incidentes
• Realizar auditorías periódicas. 
• Establecer un programa de ciberconcienciación para los empleados

Hoy en día, invertir en ciberseguridad y en formación para que los trabajadores sepan aplicar las medidas correctas para proteger su compañía no es una opción, sino una necesidad. La prevención es una de las piedras angulares de la estrategia de ciberseguridad de cualquier empresa pero, una vez que el ransomware llama a tu puerta, es imprescindible saber cómo responder adecuadamente para mitigar el daño lo máximo posible. 

 

Firmado: Carlos Ferro, vicepresidente de ThycoticCentrify para el Sudeste de Europa, Medio Oriente y África (SEEMEA)

La entrada ¿Es posible prevenir un ataque de ransomware? es original de MuySeguridad. Seguridad informática.