No existe una compañía o herramienta que pueda romper el código de cifrado ante un ataque de secuestro de información, por lo cual la estrategia de ciberseguridad se debe basar al 100 % en prevenir un evento de este tipo.
Ante un ataque por ransomware los responsables de la seguridad deben ayudar a sus organizaciones a recuperar rápidamente la resiliencia. Requieren comprender y contrarrestar los nuevos desafíos que plantea esta amenaza, fortalecer las defensas en los recursos humanos, los procesos y la tecnología. Además, quieren demostrar por qué la seguridad es esencial para la estrategia de los negocios. ¿Cómo prevenir un ataque de ransomware?
Oswaldo Palacios, director de Ingeniería de Ventas para México y LATAM de Guardicore, destacó que tras haberse confirmado un ataque de ransomware, el Chief Information Security Officer (CISO) debe evitar que se propague en la red. De igual manera, necesita enfocarse en verificar el tipo de variante (los principales de este año son DoppelPaymer, Sodinokibi, Hades, Ryuk y Conti), aislar lo más posible los activos infectados e investigar cómo ocurrió el incidente, y comprender cabalmente la intrusión y la medición del impacto.
El pago de los rescates puede abrir la puerta a una mayor criminalidad. Por ello es recomendable no hacerlo; desafortunadamente no existe la seguridad de que los datos se puedan recuperar.
“Es una moneda al aire hacer un pago y además se estaría alentando la ya creciente ola de delitos de este tipo”, comentó Palacios. “Existe una cifra negra respecto de las compañías que decidieron pagar para recuperar la información y, por el daño reputacional que añade, no existe un registro de dicha actividad”.
Te puede interesar: Ransomware exhibe debilidades del internet
El documento Respuesta y recuperación ante el ransomware1 destacó que el secuestro de información puede crear una crisis de riesgo sistémico en los negocios y en la confianza del consumidor. Los impactos típicos incluyen:
- Disrupción en la producción, la entrega o los servicios al cliente.
- Pérdida de datos comerciales sensibles o información protegida.
- Costos directos de reparación, recuperación o potencial pago de rescate.
- Costos asociados a litigios, que suelen ser demandas colectivas.
- Sanciones legales y regulatorias.
- Daño a la reputación.
El directivo reiteró que el ransomware trae consigo un grave daño en la reputación de una empresa, ya que en algunos países es obligatorio el dar a conocer cuándo se ha sido víctima de esta clase de acontecimientos. En determinados casos, se paga una multa, con lo cual queda entredicho la capacidad de las compañías para hacerles frente.
Esta clase de ataques van desde encriptar bases de datos, respaldos y demás información crítica, complicando su acceso. En otros casos, el daño involucra servidores y aplicaciones de producción con lo cual la afectación es aún mayor, ya que la compañía podría dejar de operar y deberá asumir las pérdidas financieras que esto implica.
A decir de Oswaldo Palacios, desafortunadamente no existe una empresa o herramienta que rompa el cifrado de un ransomware, por lo cual la estrategia de ciberseguridad se debe basar al 100 % en prevenir estos incidentes.
“Una opción para adelantarnos a estos eventos maliciosos es el crear microsegmentos de comunicaciones con lo cual podemos asegurarnos de que nuestras joyas de la corona digitales serán accedidas por quien de verdad lo necesite y nos permite conocer al 100 % la interacción de nuestro centro de datos”, detalló Palacios. “Es importante tener visibilidad sobre todos nuestros activos, ya que no se puede proteger lo que no se puede ver”.
¿Cómo prevenir un ataque de ransomware?
Reducir el riesgo de ransomware mediante el uso de una política de segmentación adecuada proviene de su simplicidad: un bit puede viajar por el cable (o un Vswitch) a una máquina diferente (o una VM/contenedor) o puede bloquearse.
Lo anterior ocasiones que el intento de los atacantes por alcanzar más recursos en la red sea inútil, dando al equipo más tiempo con el fin de responder al ataque y actualizar a las partes interesadas para que puedan tomar decisiones informadas sobre el daño de dicho ataque.
El directivo reiteró que los encargados de ciberseguridad deben implementar soluciones enfocadas a tener una completa visibilidad a nivel de proceso de comunicación de cómo interactúan entre sí los servidores, aplicaciones y ambientes dentro del centro de datos.
A su vez, les facilita crear segmentos definidos por software para aislar aplicaciones críticas y de esta manera estar preparados ante cualquier amenaza, no solo de ransomware.
La segmentación de la red no es una alternativa a un firewall o a una plataforma Endpoint Detection Android Response (EDR), es un enfoque complementario que ha demostrado reducir significativamente, o eliminar por completo, el riesgo de ataques basados en movimientos laterales a gran escala en las organizaciones.
Inclusive la Orden Ejecutiva de Ciberseguridad, recientemente emitida por el presidente Joe Biden, destaca la importancia de la segmentación de la red para la reducción significativa de los ataques de secuestro de información.
Lee también: Hackers contratan a negociadores de ransomware
La segmentación de la red ayuda no solo a mitigar el peligro en algunos casos, sino también a reducir en gran medida el riesgo de un ataque de doble extorsión si se implementa correctamente, al contener y minimizar el “radio de explosión” de un ataque de ransomware.
Incluso si los firewalls y los EDR no lograron evitar la ejecución del ransomware, la segmentación adecuada mantendrá ese daño contenido y no permitirá que los atacantes se muevan lateralmente a través de la red, robando más datos y cifrando más archivos.
“La implementación de soluciones preventivas como la segmentación de la red maximizan la seguridad de las organizaciones ante la posibilidad de sufrir un ciberataque, ya sea de ransomware o de cualquier otra índole, que causaría, además del gran costo económico, un enorme daño a su marca y a su reputación¨, finalizó Oswaldo Palacios.
Referencias: 1Accenture
