Ransomware: cuatro cosas que debe saber sobre los nuevos peligros y cómo enfrentarlos

Los ataques de ransomware se están volviendo más comunes, más efectivos y más costosos. ¿Tu compañía ha estudiado las amenazas, fortalecido sus defensas y desarrollado un plan en caso de que ocurra un ataque?

 

 

Los ataques de ransomware están encabezando los titulares, pero la realidad es aún más complicada.  La mayoría de las víctimas no aparecen en los medios, ya que pagan para hacer que el problema desaparezca. El peligro se está intensificando a medida que las amenazas se multiplican, su sofisticación aumenta y las exigencias de los hackers son más altas. 

¿Qué haría si el día de mañana los hackers irrumpen en su sistema y bloquean el acceso a sus propios datos y sistemas?

Hemos aportado positivamente a los sistemas de seguridad de organizaciones de diversos sectores, comprendiendo su vulnerabilidad ante estas amenazas e implementando herramientas para reducir el riesgo. La implementación de sistemas y programas estratégicos son fundamentales para atacar los problemas de raíz, creando sistemas de ciberseguridad sostenibles y constantes

Daniel Ortiz, Director Ciberseguridad PwC Colombia

Pueden secuestrar activos como los números de tarjeta de crédito de sus clientes o procesos de negocios críticos de los que dependen las operaciones, o datos sensibles protegidos por ley. Los piratas informáticos dan su golpe cuando dicen: pague para que le desbloqueemos sus datos y/o pague o publicamos todos sus datos en Internet. Un bloqueo permanente podría paralizar las operaciones. Una divulgación de información podría afectar a los clientes, perjudicar a las marcas y provocar escrutinios legales y grandes multas.  

 

Los cuatro nuevos peligros

Los riesgos se pueden reducir pero hay que actuar rápido. Estas son las cuatro cosas que debe saber acerca de los crecientes peligros informáticos. 

1. Mientras lee estas palabras, los hackers de ransomware están investigando su compañía

Hay un hecho difícil de aceptar acerca del ransomware: generalmente es recompensado. Como resultado, está atrayendo cibercriminales altamente sofisticados e impulsando a organizaciones criminales. Están invirtiendo tiempo y dinero para elegir los objetivos más lucrativos y evaluar cómo superar sus defensas.

¿Qué hace que una empresa sea un objetivo? Los delincuentes de ransomware se fijan en tres factores. 

  • Consideran la capacidad de pago. Suelen realizar análisis financieros (tal como haría un analista del mercado de valores), investigan los sueldos de los principales ejecutivos (sí, saben cuánto ganan) e intentan determinar si tienen un ciberseguro. 

  • Evalúan la calidad de las defensas. Pueden monitorear la ciberseguridad durante meses antes de decidirse finalmente por un ataque. 

  • Consideran cuánto daño pueden causar rápidamente. Si pueden paralizar rápidamente las operaciones críticas, saben que no tendrán más remedio que pagar un rescate mayor.

 
 

2. El ransomware como servicio está facilitando y multiplicando ataques sofisticados. 

El concepto de “todo como un servicio”  también funciona para los criminales: existen por lo menos 12 ofertas de servicio bien establecidas donde los desarrolladores de ransomware arriendan su malware a cambio de una parte de los ingresos de los ataques criminales (normalmente pueden oscilar entre el 25% de pequeños rescates hasta el 10% de los que superan los 5 millones de dólares). Incluso es posible medir la participación en el mercado y los ingresos por los proveedores de Ransomware-as-a-service (RaaS), quienes pueden ofrecer sus servicios a los hackers y promover sus mesas de soporte a los clientes criminales.

El ransomware como servicio (RaaS) disminuye las barreras para los ataques, ya que los cibercriminales no necesitan desarrollar su propio malware. Muchos se especializan en extender e implementar el ransomware a escala en su entorno de TI.

 

3. Los nuevos esquemas son más lucrativos para los criminales y más costosos para las empresas. 

Los actores de ataques ransomware están encontrando nuevas formas de monetizar sus datos. Muchos descargan (extraen) datos de los sistemas de sus víctimas, encriptan estos archivos y anuncian su ataque en sitios públicos. Luego establecen una fecha límite de pago por el rescate de la información. Si las empresas se rehúsan, publican los datos robados. La amenaza de perjudicar a los clientes, las marcas y el cumplimiento regulatorio, pueden presionar y obligar a las empresas a pagar por recuperar sus datos de vuelta. 

La doble extorsión se ha vuelto cada vez más frecuente en las prácticas de los hackers de ransomware. Exigen doble rescate: primero exigen dinero por una clave digital para desbloquear los archivos para que las empresas puedan acceder a sus datos nuevamente.  Luego, exigen más dinero a cambio de la promesa de destruir las copias de los datos robados.  

En el 2020, la mayor demanda de rescate pagado a los cibercriminales en EE.UU, Canadá y Europa se duplicó hasta los 10 millones, y los pagos promedio incrementaron un 171%.  El récord se rompió en marzo de 2021, cuando se reportó que el pago de un rescate por el que exigían 40 millones de dólares quedó en 60 millones de dólares. El pago medio por ransomware aumentó un 43% en el primer trimestre de 2021.

 

4. Los hackers de ransomware probablemente no recibirán un castigo, incluso si son atrapados.

Muchos grupos criminales de ransomware operan con la protección, al menos tácita, de su gobierno local. Es muy común que las autoridades estadounidenses identifiquen, sancionen y procesen criminales en otros países. Sin embargo, estos países suelen rechazar los procesos de extradición de este tipo.

Se adelantan esfuerzos para ponerle fin a esta impunidad.  La Ransomware Task Force, por ejemplo, recomienda desmantelar los sistemas de pago de rescates y presiona a los gobiernos para que adopten medidas contra los actores de estos ataques. El ataque ransomware a Colonial Pipeline, que amenazó las provisiones de combustible en EE.UU., puede motivar al gobierno a actuar firmemente contra los países que protegen a estos perpetradores de ataques. De hecho, la Casa Blanca anunció que en octubre del 2021 convocaría a 30 países con el objetivo de intensificar los esfuerzos globales frente a las amenazas del ransomware, que ponen en riesgo la seguridad económica y nacional.

 

 

Protección contra esquemas de ransomware costosos y sofisticados

 

Tu primera defensa: ser mejor que tus pares

Los criminales de ransomware elegirán los blancos más lucrativos y delicados, por lo que es aconsejable fortalecer las defensas y animar a los hackers a buscar en otra parte. Hacer que la ciberseguridad de la empresa sea de primera categoría, con autenticación de factores múltiples en todas las cuentas (incluyendo el acceso a VPN), una sólida gestión de parches y vulnerabilidades, sistemas antivirus y detección de intrusos actualizados, y protocolos de escritorio remoto (RDP) desactivados o no accesibles desde Internet. 

Entender dónde se ubican los datos sensibles, las implicaciones (incluidos los requisitos normativos) en caso de cualquier fuga de información, y lo necesario para recuperarse y crear una “compañía mínimamente viable”. Crear y revisar las copias de seguridad en desconexión, junto con un procedimiento sólido de restauración. Definir y probar qué tantas alteraciones puede tolerar si sucede un ataque y estar preparado para tomar la decisión correcta sobre el rescate de la información y los datos.

 

Planea con anticipación cómo recuperarse de un ataque. 

Si su empresa se ve afectada por uno, tenga un plan listo que pueda contrarrestar sus pérdidas y le permita salir adelante rápidamente. Tener copias de seguridad completas y segregadas disponibles para restauración puede ayudarle a retomar sus negocios y reducir el impacto operacional. De lo contrario, aún si paga un rescate, la recuperación puede ser lenta y costosa ya que los ambientes de TI son complejos y la información acerca de los sistemas críticos puede ser confusa. Después de que los criminales de ransomware regresan los datos y proporcionan claves de descifrado de información, también es muy común que las compañías que no tiene un plan para enfrentar este tipo de ataques se vean enfrentadas a una recuperación lenta: las herramientas de ransomware pueden contener datos corruptos y los equipos de TI pueden ser poco hábiles al intentar descifrar los datos. 

Hay que desarrollar y poner en práctica la respuesta a incidentes y planes de crisis. Probar estos planes en escenarios catastróficos de ransomware, donde las herramientas comunes de seguridad de TI pueden no estar disponibles y los esfuerzos de recuperación pueden tomar semanas o meses. Asegurar de que cuenta con un equipo experto y técnico para responder a un ataque determinando su causa, investigando su alcance, conteniendo la fuga y expulsando al atacante de su ambiente.

Conclusión

El ransomware es un peligro y amenaza en constante crecimiento, es necesario fortalecer las defensas y los sistemas de ciberseguridad y privacidad, y desarrollar un plan de respuesta ágil y efectivo.  Los criminales que hacen este tipo de ataques se están multiplicando, atrayendo nuevos talentos cibernéticos, innovando el malware y actuando con impunidad. Para reducir los riesgos, mejorar sus defensas y consolidar un plan de respuesta a incidentes es necesario contar con sistemas de alta calidad y constante evolución.  Un plan de defensa adecuado debe ser único para cada organización: considerar las necesidades esenciales, los sistemas de defensas actuales y potenciales, la vulnerabilidad y la filosofía organizacional. En PwC disponemos de una amplia tipología de soluciones adaptadas a nuestros clientes que cubren los principales problemas y amenazas, donde la ciberseguridad abarca la protección de personas, información, sistemas, procesos y el negocio en general. Es un recurso prioritario dentro de las organizaciones.



Nota:

La traducción del texto original en inglés publicado en pwc.com es organizada y revisada por PwC Colombia.

 

Síguenos PwC Colombia