Una estrategia que otorgue la oportunidad de enfrentar esta amenaza debe incluir diversos aspectos que van desde procesos preventivos, implementación de la tecnología apropiada, capacidades de detección temprana, contención eficaz, ejercitación de mecanismos de respuesta y respaldos fuera de línea.
Los ataques cibernéticos que hacen uso del Ransomware como mecanismo de infección se basan en código malicioso que secuestra la información de sus víctimas para extorsionar y exigir el pago de una suma de dinero, ya sea para recuperarla o prevenir su divulgación.
Este tipo de ataque se ha convertido en uno de los principales medios de generación de recursos para grandes bandas de cibercriminales donde cada día se puede ver como la efectividad de esta técnica les trae grandes retornos. Durante el último año el valor del rescate promedio por ataque de Ransomware se ubicó en los US$170mil y el valor completo del impacto para la recuperación del ataque, incluyendo la parada de servicios, costo de personal, costo de dispositivos, costo de red, pérdida de oportunidad, y rescate estuvo en los US$1,85 millones, según Sophos State of Ransomware Report 2021.
¿Cómo resguardarse?
¿De qué forma pueden las organizaciones y sus colaboradores protegerse de este tipo de amenazas? Para una protección efectiva se requiere diseñar una estrategia puntual que aborde los diferentes aspectos tanto tecnológicos como procedurales, con el apoyo de todos los colaboradores y funcionarios de la organización. Esta estrategia debe abarcar principalmente los siguientes puntos:
• Establecer buenas prácticas de gestión de infraestructura de red:
Esto significa que se debe conocer en detalle cuáles son los elementos que componen la actual infraestructura y validar que se estén aplicando las protecciones necesarias a todos esos componentes. A medida que una organización crece, la infraestructura se hace más compleja y distribuida, por lo que es clave mantener la visibilidad sobre todos los elementos, más aún cuando muchos de estos se están yendo hacia entornos remotos en la nube. Logrando esta visibilidad se pueden identificar aquellos elementos que no son parte de la infraestructura oficial o que necesitan medidas de protección que no están siendo aplicadas. Adicionalmente es importante saber en todo momento qué servicios se están ejecutando y quiénes los están utilizando, lo cual implica tener claridad de los usuarios que se conectan a esos servicios, los recursos y los perfiles que utilizan, siendo los usuarios administradores el objetivo predilecto debido al nivel de acceso que tienen. Para los usuarios de la organización se debe asegurar que se implementen las mejores prácticas en el uso de credenciales, con contraseñas fuertes y fomentando la utilización de tecnologías que implementen mecanismos de autenticación multifactorial, así como mantener un monitoreo permanente por anomalías en el uso de las credenciales y los recursos.
• Implementar o reforzar la seguridad del correo electrónico:
El vector de entrada predilecto de los ataques de Ransomware en la actualidad se basa en los ataques de phishing que logran llegar a la víctima, a través de un correo que contiene un enlace o URL malicioso que, cuando es invocado por el usuario, permite descargar el malware al computador del usuario. Debido a esto se hace esencial poder implementar soluciones de protección de correo electró- nico que puedan inspeccionar el contenido de los correos para filtrar links, URL y adjuntos utilizando también mecanismos de “sandboxing” que buscan evitar que correos con contenido malicioso lleguen a la bandeja de entrada del usuario. También es importante evitar o bloquear el envío de adjuntos en formato ZIP con contraseña que no puedan ser inspeccionados.
• Securitizar las estaciones de trabajo y notebooks:
Proteger todos los dispositivos de usuario final con soluciones de última generación tipo EDR y desarrollar e implementar un programa consistente de actualizaciones y parchado de estos dispositivos que pueda mantener actualizados tanto el sistema operativo como las aplicaciones instaladas en los dispositivos. En muchos casos la explotación de vulnerabilidades existentes es el principal mecanismo para aumentar los privilegios dentro del sistema o para realizar movimiento lateral en la red en búsqueda de información más valiosa, o para afectar otros servicios importantes.
• Proteger la información y datos importantes contra eventos de ransomware por intermedio de copias de respaldo offline:
Al final los incidentes de infección podrán llegar a ocurrir, por lo que es muy importante poder contar con respaldos que no queden accesibles en línea y corran el riesgo de ser encriptados al mismo tiempo que los datos productivos. Para ello se deben inventariar los datos que se están respaldando, mantener un estricto control de acceso a esos repositorios y que se manejen en un entorno independiente del productivo.
• Tener un plan de respuesta y ejercitarlo regularmente:
Ante un incidente de esta naturaleza siempre será fundamental contar con un plan previamente diseñado y probado para poder contener el impacto y neutralizar el ataque de la manera más eficiente posible. Adicionalmente las pruebas deben involucrar ejercicios simulados que pueden incluir diferentes niveles en la organización, tanto a nivel operativo como ejecutivo, para validar la eficiencia de los planes, así como identifi- car oportunidades de mejora y aumentar el nivel de preparación. Para este tipo de pruebas se puede acceder a servicios de empresas especializadas en llevar a cabo simulacros con niveles de realismo que incluyan parada de servicios, contacto con la prensa y otras entidades y salas de crisis, entre otros aspectos.
• Contar con aliados a quienes contactar para apoyo especializado:
Los incidentes por ataques cibernéticos pueden variar e incluir aspectos tecnológicamente muy avanzados para los cuales es indispensable contar con apoyo especializado para auxiliar en las actividades de contención, erradicación e investigación forense, a fin de indagar por las causas del ataque y las técnicas, tácticas y procedimientos utilizados para perpetrar el ataque.
Por último, existen algunos otros aspectos que pueden apoyar en la prevención, contención y erradicación ante incidentes de Ransomware asociados a la gestión de identidades y el monitoreo de seguridad, que van de la mano de cualquier programa de seguridad de la información y ciberseguridad. Con esto se plantea, entonces, que este tipo de amenaza se aborda con aspectos específicos que requiere toda organización para enfrentarla de la mejor manera, pero también es parte integral de la gestión de la seguridad de la información y la ciberseguridad, como soporte fundamental para permitir alcanzar las metas y objetivos trazados en alineamiento con el propósito de toda compañía.
