¿Por qué el ransomware sigue teniendo tanto éxito?




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000


En los últimos meses, el ransomware ha pasado de ser un riesgo moderado para las empresas a un peligro generalizado que acapara las noticias de los medios de comunicación de todo el mundo.

Esta ciberamenaza puede infectar a un usuario y derribar una organización en solo minutos. En este sentido, muchas empresas no cuentan con los controles de seguridad, la capacitación adecuada o las políticas y procedimientos necesarios para prevenir, monitorear, detectar y responder.

Con pagos de decenas o cientos de miles de dólares, esta forma de ataque es una oportunidad para que los ciberdelincuentes paralicen las operaciones de una organización y, con ello, generar una cantidad significativa de dinero en muy poco tiempo.

Cabe mencionar que el ransomware es independiente de la empresa, la industria, el sector o la ubicación y el cambio repentino al trabajo remoto ha brindado a los ciberdelincuentes más oportunidades de aprovechar un ataque de ransomware, ya sea a través de un sistema mal configurado, una menor visibilidad operativa y de seguridad o una falta de conocimiento y formación de los empleados en temas de ciberseguridad.

Es importante enfatizar que defenderse con éxito contra las crecientes amenazas cibernéticas requiere preparación, así como una comprensión profunda de qué hacer en caso de que comience un ataque.

¿Es efectivo el ransomware? Basta decir que un ataque de ransomware se puede ejecutar en tan solo 15 minutos y sus efectos pueden afectar a una organización y detener sus operaciones y su generación de ingresos. Y como se ha mencionado, estos ataques abarcan todas las industrias y se pueden utilizar contra cualquier empresa o gobierno.

Además, el ransomware representa un vector de ataque único que puede ser usado por casi cualquier persona, independientemente si se trata de un delincuente individual, criminales de un grupo delictivo o atacantes de un Estado-nación.

Existe toda una industria de ransomware como servicio (RaaS) en la que los desarrolladores pueden vender o alquilar sus variantes a los ciberdelincuentes, incluidos los kits pre armados. Esto significa que llevar a cabo un ataque no requiere necesariamente de un entrenamiento o de una habilidad para tener un arma extremadamente efectiva.

Ransomware en México

Este tipo de ciberataques son cada vez más numerosos, sofisticados, peligrosos y masivos. De acuerdo con la unidad de investigación de SILIKN, en México, más de la mitad de las organizaciones privadas y públicas sufrieron un ataque de este tipo durante 2020. Se calcula que durante 2020 se presentó un ataque de ransomware cada 14 segundos. Para inicios de 2021, se estima que estos ataques aparecerán cada 10 segundos.

En México el costo promedio de remediación para las organizaciones por un ataque de ransomware es de $470 mil US dólares y si se paga el rescate, es de $940 mil US dólares.

En 2021 el ataque con mayor crecimiento en México será el ransomware y menos del 50% de las organizaciones cuentan con personal capacitado para enfrentarlo.

En 2020, el ransomware se dirigió principalmente al sector manufacturero, las organizaciones de atención médica y las empresas de construcción, y el rescate promedio alcanzó los $500 mil US dólares, de acuerdo con datos de la unidad de investigación de SILIKN.

¿Cómo se le puede hacer frente al ransomware?

Para mantenerse un paso adelante de los ataques, las organizaciones deben adoptar un enfoque proactivo en su estrategia de ciberseguridad, entrenar a todo su personal e invertir en soluciones que puedan identificar el comportamiento malicioso, así como facilitar una respuesta rápida dentro de la infraestructura de red para prevenir el ransomware y limitar la propagación de un ataque si ocurre.

Propuestas como la de Avanan, una solución única de seguridad de correo electrónico basada en la nube que se implementa desde Gmail, Microsoft o cualquier SaaS que desee proteger. Una vez que se autoriza la aplicación desde la cuenta del administrador, Avanan encuentra ataques de phishing, completamente fuera de banda, sin necesidad de un proxy, dispositivo o agente de punto final.

Avanan no solo puede ver cada correo electrónico, sino que supervisa todo el paquete (cada usuario, configuración, cambio de permisos, actualización de archivos y mensaje interno) para identificar comportamientos maliciosos y cuentas comprometidas.

Debido a su posición única dentro de la nube, Avanan constantemente da información de ataques innovadores diseñados para evadir la seguridad de los líderes de la industria, como Advanced Threat Protection para Office 365 y, además, el software anti-phishing de Avanan también protege sus otras aplicaciones en la nube, como OneDrive, Slack y Dropbox.

Pero además, las organizaciones deben parchear agresivamente, establecer copias de seguridad completas, preparar un plan de respuesta integral y enfocarse en la capacitación educativa de cada empleado para asegurarse de que estén preparados para administrar los ataques y continuar con pocas interrupciones.

De igual forma, las empresas de todas las industrias deberían practicar su respuesta a un ataque de ransomware simulado como parte de una estrategia integral de prevención.

Pagar el rescate podría ser la opción correcta si la vida de las personas pudiera correr peligro o existe la posibilidad de perder decenas de millones de dólares en un período muy corto. Sin embargo, las organizaciones deben comprender que no es necesariamente un movimiento acertado en la mayoría de los casos, pues pagar un rescate tampoco garantiza que los sistemas se restaurarán sin problemas o que las organizaciones no serán vulneradas nuevamente por el mismo ciberatacante.

Los grupos criminales se han aprovechado de la falta de seguridad cibernética y estrategias débiles para llevar a cabo innumerables ataques de ransomware durante el último año. Defenderse con éxito contra estas amenazas cibernéticas exige preparación y una comprensión profunda de las alertas y comportamientos poco comunes para monitorear e identificar aquellos que significan el inicio de un ataque.

Esta amenaza debe ser una prioridad para todas las empresas, quienes deben implementar las herramientas adecuadas para monitorear sus sistemas y detectar, apagar y contener actividades sospechosas, al mismo tiempo que desarrollan programas de capacitación en temas de ciberseguridad que ayuden a los empleados a fungir como primera línea de defensa.

Para mayor información, visite: https://www.silikn.com/