En esta serie de dos partes, Olivier Spielmann, Vicepresidente de servicios de seguridad administrados para Europa, Oriente Medio y África de Kudelski Security, analiza por qué se debe ampliar el alcance de la respuesta ante incidentes y qué puede hacer cada líder en seguridad para que esto suceda.
A pesar de las recientes buenas noticias sobre el desmantelamiento que el F.B.I. hizo de la banda de ransomware REvil, cuyos socios probablemente fueron responsables de varios ataques cibernéticos de gran importancia durante el último año, la amenaza de ransomware continúa representando un riesgo comercial y financiero considerable para todas las organizaciones, independientemente de su magnitud.
Mientras que las operaciones de los ciberdelincuentes sigan siendo rentables, continuarán creciendo en magnitud y alcance. Si bien los recientes esfuerzos de colaboración intergubernamental y entre el sector público y privado para luchar contra el Ransomware son prometedores, los interesados no deben asumir que la amenaza desaparecerá por sí sola. Tampoco deben suponer que sus pólizas de seguro para riesgos cibernéticos cubrirán el alcance total de las pérdidas en las que incurriría la organización si llegara a suceder un ataque real.
En cambio, es vital recordar que la preparación es la mejor defensa. Se aproxima la temporada festiva, momento en el cual la actividad de los ciberdelincuentes tiende a alcanzar su pico anual, por lo que las organizaciones deben esperar ser un blanco. Las juntas directivas, los altos líderes y los gerentes de riesgos deben pensar de forma integral acerca de los riesgos que enfrenta la organización y planificar en consecuencia. Crear procesos sólidos de respuesta ante incidentes es clave para mitigar el riesgo que de otro modo sería inevitable.
Tendencias en el panorama actual de amenazas
Los ataques de Ransomware siguen atrayendo la atención mediática, pero también siguen siendo enormemente rentables para los delincuentes. Las investigaciones indican que más de la mitad de las víctimas de ataques de Ransomware hacen, finalmente, un pago a los delincuentes, con un monto promedio por rescate que se disparó hasta alcanzar los 250,000 USD a principios de 2021. Los operadores de Ransomware dirigen cada vez más sus ataques a empresas más grandes, adoptando un método preciso y altamente profesionalizado que les permite extraer las mayores ganancias posibles de sus víctimas.
Por supuesto, el Ransomware no es de ninguna manera la única amenaza cibernética de importancia que enfrentan las organizaciones de hoy en día. Los ataques tradicionales de malware siguen siendo predominantes, al igual que los esquemas de ingeniería social y de compromiso de correo electrónico comercial (Business Email Compromise, BEC) en los que los malhechores intentan engañar a las víctimas para que inicien transferencias de fondos fraudulentas. El malware de criptominado, en el que los ciberdelincuentes roban el acceso a servidores y la capacidad de procesamiento para minar criptomonedas de manera ilegal, también está en aumento. En particular, se vuelve frecuente cuando las tansacciones de las criptomonedas alcanzan nuevas alzas en el mercado, ya que esto proporciona un mejor margen de ganancias para los delincuentes.
Los ciberdelincuentes siempre han sido oportunistas y la pandemia global de coronavirus les ha proporcionado varios vectores de ataque nuevos para explotar. Cuando el trabajo remoto se convirtió repentinamente en una necesidad para una gran cantidad de empleados en todo el mundo, los perpetradores buscaron abordar las vulnerabilidades en Office 365 y en herramientas de colaboración como Zoom, WebEx o Microsoft Teams. También hubo un aumento inmediato en los intentos de suplantación de identidad (phishing) relacionados con la pandemia.
Las últimas tácticas de ataque exigen un enfoque proactivo con respecto a la respuesta ante incidentes de CiberAtaques
La realidad es que una vez que codifican sus archivos y usted recibe una demanda de pago de rescate, por lo general es demasiado tarde para evitar una interrupción operativa importante. Incluso las organizaciones con copias de respaldo incorruptas experimentan comúnmente un tiempo de inactividad considerable durante el proceso de restauración de esas copias de respaldo, y aun así enfrentan importantes desafíos con respecto a la gestión de incidentes como resultado del ataque. Todas las víctimas de Ransomware experimentarán estrés e incertidumbre mientras se desarrolle la secuencia del ataque. Muchos tendrán que lidiar con la atención mediática, así como con preguntas de los socios y proveedores, además de los clientes, empleados y otros interesados.
En general, los Ciberdelincuentes intentan lanzar ataques en los momentos más inoportunos e inadecuados. Ya sea la solicitud de una transferencia de fondos de emergencia que tiene lugar a última hora del viernes por la tarde o una infección con Ransomware que aparece justo antes del Black Friday, los atacantes programan su actividad para maximizar las presiones que experimentarán sus víctimas. Por este motivo, es fundamental capacitar a los equipos a fin de que estén listos para responder ante un ataque de Ransomware u otros ataques Cibernéticos, y de manera proactiva hacer ejercicios de simulación de escenarios posibles de CiberAtaques.
En todos los casos, es clave estar preparados y adoptar un enfoque integral ante los CiberAtaques. Recomendamos que las organizaciones sigan un enfoque de tres partes que incluyan lo siguiente:
- limitar ser expuesto al Riesgo;
- ejercer una buena gobernanza; e
- implementar la infraestructura técnica y los controles de seguridad ideales, con mejoras continuas.
Por ejemplo, las investigaciones indican que el protocolo de escritorio remoto (Remote Desktop Protocol, RDP) sigue siendo el vector más utilizado en los ataques de Ransomware actuales, mientras que el phishing por correo electrónico y los archivos adjuntos maliciosos ocupan un segundo lugar. Puede limitar su exposición al riesgo al eliminar el uso de RDP dentro de su entorno. Debe usar este tipo de inteligencia contextual contra amenazas para evaluar sus sistemas actuales y su presencia digital de manera más amplia.
La buena gobernanza incluye la práctica de un escenario de ataque de Ransomware mediante la realización de simulaciones y ejercicios teóricos, así como la creación de planes, políticas y libros de estrategias para manejar cualquier incidente de seguridad importante. Desde el punto de vista técnico, una infraestructura de seguridad adecuada ayudará a mejorar la capacidad de su equipo para detectar ataques de manera rápida (lo que, a su vez, permitirá una respuesta rápida). También debe mantener copias de respaldo inalterables que estén aisladas de su red para que ni siquiera un atacante con credenciales administrativas pueda eliminarlas o ponerlas en riesgo.
Un enfoque proactivo requiere un abordaje más amplio. En la parte dos de esta serie, Olivier Spielmann habla sobre las cinco acciones que usted puede adoptar para reforzar las capacidades de respuesta ante CiberAtaques.
Aumente su capacidad de respuesta ante ciberataques con los equipos de soporte de emergencia locales avanzados de NAGRA y Kudelski Security. Se beneficiará de una amplia experiencia en seguridad, así como de técnicas avanzadas de respuesta para una resolución rápida de incidentes basada en las mejores prácticas para la ciberseguridad. Descargue el portafolio de herramientas para obtener más información.