El secuestro de datos de un negocio exigiendo un rescate (en inglés, “ransom”) se ha vuelto
una forma de ataque cada vez más común. Un estudio de Kaspersky mostró que el volumen
de ese tipo de amenazas aumentó 25% en los últimos tres años. En 2019, el Breach
Investigations Report, un estudio realizado por la compañía Verizon, también reafirmó esa
información: “Los ataques de ransomware se han vuelto tan comunes que ya ni siquiera
llaman la atención de los medios especializados, a menos de que ocurran con compañías
del rango más alto”.
Essa estranha familiaridade pode fazer com que as pessoas deixem de se preocupar com
eles, mas, na verdade, este é o momento ideal para que você comece a se planejar e pensar
o que sua empresa pode fazer para prevenir e lidar com esse tipo de ataque tão comum.
¿Qué son los business ransomware?
No, no son aquellos correos electrónicos de spam que afirman tener tus datos personales. Los ransomware son un tipo de ataque sofisticados y que ocurre en una serie de etapas.
Primero los criminales encuentran una forma de acceder a un endpoint, que es una puerta de entrada para el sistema. Generalmente, esos criminales utilizan métodos como la ingeniería social o el phishing para obtener las credenciales y contraseñas de alguien de tu equipo, o logran invadir por medio de un pen drive infectado. Después, insertan un malware en tu sistema, que encripta archivos y carpetas. Finalmente, el malware envía un aviso al usuario diciendo que su máquina está infectada y exigiendo un rescate en cambio de la devolución de los archivos.
Para aumentar aún más la presión, generalmente el invasor le da un plazo limitado al usuario para que haga el pago.
Los criminales tienen la costumbre de estudiar la infraestructura de sus blancos para comprender qué bases de datos y directorios son los más importantes. Luego, combinan múltiples productos y servicios maliciosos para hackear el sistema poco a poco, en una orden determinada. Y cuando no les pagan de inmediato, suelen publicar rápidamente los datos secretos secuestrados.
Las industrias más vulnerables al ransomware
No existe la seguridad perfecta. Incluso existe la posibilidad de que alguien ya haya invadido tu infraestructura de TI, pero aún no haya atacado. Toda compañía es un blanco en potencial.
Pero las lagunas causadas por un ransomware no suelen ser incidentes aislados. Es muy común que ese tipo de ataque ocurra cuando hay una serie de errores de seguridad de TI o prácticas no recomendadas en el sector. Si tu negocio no ofrece entrenamientos y programas de concientización sobre seguridad digital o tiene retrasos en sus sistemas de actualización y patching, los riesgos se vuelven aún más grandes.
Ataques al rango más alto: los ransomware high-profile
Los criminales digitales han utilizado el ransomware para atacar compañías gigantes en los últimos años.
Eliminando datos
El ataque más grande de todos los tiempos, o al menos el más caro, ha sido el ataque a las gigantes de la logística Maersk y FedEx, llamado “NotPetya” (también conocido como ExPetr). La invasión derrumbó los sistemas de ambas empresas por semanas y fue hecho a través de un worm, una especie de virus que borra datos, causando cientos de millones de dólares en daños.
Ahora me ves, ahora ya no
El ransomware “LockerGoga” fue otro ataque famoso y tuvo la compañía noruega de aluminio y energía renovable Norsk Hydro como víctima. El malware utilizado tenía una estructura muy avanzada, con la habilidad de auto borrarse cuando fuera detectado, para prevenir que los especialistas pudieran analizarlo.
Según Norsk Hydro, las pérdidas no fueron tan grandes porque la empresa mantenía un buen sistema de backups, pero aún así se estiman que llegaron a cerca de US $90 millones.
Un cuento de 174 ciudades. Y contando…
Ataques por ransomware a sistemas gubernamentales también han crecido. Solamente en el 2019, criminales digitales atacaron aproximadamente 174 alcaldías en los Estados Unidos por medio de ransomware, cerca de 60 ciudades más que en año anterior. La ciudad de Baltimore, por ejemplo, una de las más grandes del país, sufrió dos ataques en 2018 y 2019 que juntos le costaron más de US $18 millones a los cofres del Estado. Uno de los ataques incluso derribó el sistema de respuestas de emergencia de la ciudad.
No todos los pacientes se recuperan
La compañía californiana de seguros de salud Wood Ranch Medical anunció que estaba cerrando sus operaciones a finales de 2019 como resultado de un ataque por ransomware. Eso porque el ataque había encriptado no solo los registros médicos de sus pacientes, como también los backups de la empresa.
Como evitar un ataque de ransomware
1. Necesitas las herramientas correctas para entender tus vulnerabilidades
Tu departamento de seguridad de TI necesita de herramientas para investigar qué pasó en cada ataque y qué partes de infraestructura tienen que ser actualizadas o sustituidas. ¿No está ejecutando una aplicación o endpoint suelto?¿Tienes puntos de red abiertos y no monitoreados? ¿Los accesos escalonados a contenidos restringidos son monitoreados?
Entender y verificar las raíces de problemas significa saber tu postura de defensa, o sea, el status de seguridad de tu red y de tus datos y la capacidad que tienes de defenderlos, reaccionar a cualquier tipo de cambios y monitorear tu respuesta a incidentes.
2. Mantente atento al patching y a las actualizaciones
Los invasores de hoy en día buscan por toda la internet para encontrar servidores y aplicaciones desactualizadas. Con eso, muchos ataques de ransomware ocurren rápidamente, solo días después de que esas vulnerabilidades sean atacadas por esos criminales.
Los retrasos son invitaciones a los invasores. Por eso, para evitar ataques, asegúrate de que tus programas de patching cubran todos los endpoints, sean físicos o en la nube.
3. Pon a prueba regularmente tus procedimientos de recuperación y respuesta
Crea un backup con tus datos esenciales y asegúrate de que ese backup esté intacto y que sea recuperable. Practica los procedimientos de recuperación y desarrolla una orden correcta para restablecer los datos en caso de que haya problemas e invasiones. Identifica tus archivos más valiosos y garantiza que estén resguardados. Por fin, revisa regularmente esta lista para asegurar que no te olvidaste de nada.
Los backups de datos y los procedimientos de recuperación deben ser el punto de partida para cualquier plan de respuesta de emergencia. Ese plan debe incluir ejercicios y entrenamientos regulares y programados, desde el
“table top” (reuniones organizadas donde cada persona cumple un determinado rol) hasta la resolución de problemas organizacionales y la simulación de ataques. Todo eso puede ser utilizado para encontrar enlaces débiles y obstáculos que puedan bloquear la vuelta de la infraestructura.
Además de todo eso, tu plan de respuesta también debe considerar un seguro digital para protegerse en casos de filtración. Analiza con cuidado todas las opciones para saber cuál es el seguro ideal para tu negocio.
4.Mejora tu programa de seguridad y el nivel promedio de tus contraseñas
Las contraseñas débiles han sido la causa de cerca de un tercio de todos los intentos de ataques de ransomware en el 2019. Hacer entrenamientos regulares sobre ciberseguridad es la mejor manera de ayudar a los usuarios a mejorar la intensidad de sus contraseñas. Instala un gerente de contraseñas para toda la empresa o una herramienta de verificación personal y activa un sistema de multiplicación de múltiples factores (MFA) para que los usuarios manejen datos privados y tareas relacionadas con dinero.
Qué hacer si tu negocio es atacado por un ransomware
Al aumentar tu seguridad, será más difícil que quedes vulnerable a un secuestro de datos. Aún así, al prepararte para ese tipo de incidente le estás haciendo un favor a tu empresa y a tus clientes.
1. Planear medios de comunicación alternativos
Las víctimas de ransomware muchas veces se quedan incomunicables porque sistemas como el correo electrónico (e-mail), las llamadas telefónicas y los mensajes de texto pueden fácilmente ser afectados por una invasión. Por eso, es ideal incluir formas alternativas de comunicación en tu empresa dentro de tu plan de emergencia, como WhatsApp, Skype o SMS, pero ten en mente que esos tipos de sistema tampoco suelen ser los más seguros.
2. Definir si estás dispuesto a pagar un posible rescate
Caso tu respuesta sea “Sí”:
En los EEUU, el FBI viene suavizando su política contra el pago de rescate en los últimos años. Dos ciudades
de Florida, por ejemplo, votaron a favor del pago de rescates de algunos valores entre US $500 y 600 mil, pérdidas probablemente mucho menores que los costos para restaurar sus respectivos sistemas.
Caso la respuesta sea “No”:
Pagar el rescate no significa que el criminal va a cumplir su palabra. Nada impide que esa personas haga otras exigencias o que el virus ya esté instalado dentro de tu sistema.
Pero aunque el término “rescate” nos lleve a la idea de un secuestro, donde existen riesgos reales para la integridad y la vida de personas, a menos de que operes un hospital, es muy poco probable que un ransomware tenga consecuencias físicas. Al final pagar el rescate puede ser barato a la primera, pero también hace que tu compañía se vuelva un blanco más fácil para futuros ataques.
El proyecto “No More Ransom”, cuyos miembros incluyen a la Europol y a Kaspersky, aconseja las víctimas de ese tipo de ataque a no pagar el valor exigido. Al mismo tiempo, el proyecto trabaja para reducir el impacto de los ataques de ransomware al proveer herramientas gratis para retirar la encriptación de algunos archivos.
O sea, aunque esa sea una amenaza creciente, es posible evitar impactos mayores y pérdidas causadas por esos ataques si mantienes una seguridad bien alineada y una planificación previa. Entender el alcance de los ransomware y establecer entrenamientos y ejercicios regulares para prevenirlos es lo que va a determinar si tu negocio podrá responder bien o no a un ataque.
