”Es un mito pensar que con antivirus y backup estás protegido contra el ransomware”

El pasado mes de junio, se celebró en Londres, Infosecurity Europe, una de las mayores citas del mundo relacionadas con la seguridad informática. En ese escenario, Richard de la Torre, Technical Product Marketing Manager en Bitdefender explicó como a día de hoy sigue habiendo una serie de mitos relacionados con el ransomware que hacen este tipo de ataques sigan teniendo un notable éxito en organizaciones de todos los sectores y tamaños. Sobre estos mitos y del panorama actual de las amenazas informáticas, hemos charlado hace unos días con este experto.

¿Qué balance haces de lo que ha sido la InfoSecurity de este año?

Richard de la Torre: Fue un evento muy productivo en el que pudimos hablar de todas las novedades que estamos viendo en la ciberseguridad. Tuve una conferencia hablando de los mitos que sigue habiendo en torno al ransomware. Creo que es un área en la que las personas tienen que tener información sobre cuáles son los verdaderos retos del ransomware moderno, que no es ya el cifrado de la información, sino también el extraer de datos de la compañía y de sus clientes. Es aquí donde ahora mismo creo que se encuentra el mayor peligro.

¿Cuáles dirías que son esos cinco grandes mitos que siguen persistiendo?

Richard de la Torre:El primero es pensar que para protegerse del ransomware basta con tener una solución de backup y un antivirus. Muchas personas siguen pensando que es un ataque en lo que se produce es un cifrado de la información y que incluso, esta se puede recuperar pagando al atacante.

Pero lo que estamos viendo es que el cifrado de los datos en realidad ahora es secundario. Lo que están tratando de hacer los atacantes en estos momentos es extraer información de las compañías y de sus clientes, para venderlas en el mercado negro o para extorsionar ellos mismos a las empresas.

Otro mito es pensar que esos grupos cibercriminales no están interesados en atacar a las empresas más pequeñas. Lo que hemos comprobado es justamente lo contrario: hay más ataques en compañías pequeñas porque en primer lugar, saben que no tienen los recursos de seguridad que pueden tener las empresas más grandes y en segundo lugar, porque muchas de ellas tienen algún tipo de relación con empresas más grandes, por lo que usan esta relación como puerta de entrada a sus sistemas.

También se piensa que no hay forma de combatir estas organizaciones de cibercrimen, pero hemos comprobado que trabajando con las autoridades, podemos desarrollar lo que se llama decryptors herramientas que consiguen que las amenazas no se ejecuten, o que incluso una vez que las empresas hayan sido atacadas, puedan recuperar su información con éxito.

¿Qué papel va a jugar o está jugando la Inteligencia Artificial en los nuevos ataques?

Richard de la Torre:Lo primero que hemos visto es que ha incrementado la sofisticación de los ataques de tipo phishing que llegan por correo electrónico. Los cibercriminales están utilizando las nuevas herramientas para crear mensajes que parecen más reales.

En el pasado, cuando uno recibía un correo electrónico de tipo phishing era a veces muy sencillo identificarlo porque por ejemplo, la gramática no era muy buena. Ahora en cambio estas herramientas son capaces de escribir correos de la misma forma en la que lo haría un ser humano real.

Por otro lado, también están democratizando los ataques. Si yo soy un hacker muy bueno entrando en las redes de las organizaciones pero no sé mucho de programación para escribir mi propio ransomware puedo utilizar estas herramientas para aprender cómo escribir mejor código o mejorar virus que ya existen. Se convierte así en una plataforma de educación para esos cibercriminales y la están utilizando de una manera muy eficaz. Por último, estamos viendo cómo se utilizan para la suplantación de identidad y cómo se utiliza voz o vídeo modificado por herramientas de IA para llevar a cabo todo tipo de estafas.

¿Al mismo tiempo, esas herramientas también se están utilizando para mejorar el cómo se defienden las empresas…?

Richard de la Torre: Sí, nosotros las utilizamos para poder dar mejor información a los equipos de seguridad. Por ejemplo cuando hay un ataque, podemos darle esa información de una manera en la que cualquiera dentro de la organización que esté revisando ese incidente, puede entender enseguida lo que está pasando.

Esto lo conseguimos con inteligencia artificial capaz de reconocer patrones en los ataques, que muestran por ejemplo qué organización está realizando el ataque o qué herramienta se está utilizando. Teniendo esa información disponible, la defensa que puedes llevar a cabo es mucho más eficaz.

Uno de los temas que abordaste en la conferencia es cómo han crecido los ataques dirigidos a las cargas de trabajo remoto

Richard de la Torre:Así es . Con tantas personas trabajando a distancia se ha disparado el número de ataques. Pero lo que estamos viendo es que los cibercriminales han desarrollado una técnica que consiste en infectar máquinas que se conectan remotamente a un servidor que ya ha sido comprometido dentro de la organización, de modo que pasan a robar las contraseñas y los tokens de seguridad de cada una de estas.

El servidor dentro de la organización se convierte en un Honey Pot que infecta a todas las máquinas se de forma remota se conectan desde cualquier otro espacio, fuera o dentro de la oficina. Esto es algo completamente nuevo. No habíamos visto este método de ataque hasta ahora y lo cierto es que se está convirtiendo en un fenómeno importante en Estados Unidos y creemos que va a seguir creciendo.

Otra cosa interesante es que estamos viendo cómo los atacantes cada vez más escriben ramsomware que son agnósticos en cuanto al sistema operativo en el que se ejecutan, por lo que pueden funcionar tanto en sistemas Windows, como Linux o Mac, al ejecutarse muchas veces en Python, que es universal a todos ellos.

¿Qué consejo le darías ahora mismo a un CISO, sobre todo en este momento donde parece que hay tanto que hacer y parecen cada vez más estresados y sobrepasados?

Richard de la Torre:Que sea consciente que la seguridad abarca más que proteger los sistemas que tiene, que va más allá de las redes, sino que también se encuentra en la nube o en aplicaciones de productividad como puede ser Office 365.

Muchos de estos ataques no se concentran en un único sistema, sino que a menudo abarcan las organización completa, porque cuando un atacante entra en la misma con credenciales que ha robado, resulta muy complicado de identificar, de entender que esa “persona” no debería estar ahí o hacer lo que está haciendo. En ese sentido para ellos les resulta muy fácil “trabajar” dentro de esa organización sin levantar sospechas.

Por eso para detectar ese tipo de comportamientos es muy importante contar con software de anomaly detection que sea capaz de identificar comportamientos que tal vez no son tan normales. Por ejemplo, si yo soy un administrador del sistema a lo mejor tengo la tarea de borrar los archivos más viejos todos los viernes del servidor y ese comportamiento es normal; pero si en vez de eso, esa cuenta está subiendo archivos a una dirección de FTP eso es sospechoso. Hay que tener la tecnología para detectar esos cambios de comportamiento que pueden indicar que hay un atacante dentro del sistema.

La entrada ”Es un mito pensar que con antivirus y backup estás protegido contra el ransomware” es original de MuySeguridad. Seguridad informática.