Según Gartner, “el análisis de la preparación del ransomware de los clientes muestra que más del 90% de los ataques de ransomware se pueden prevenir”. Y, sin embargo, cada día más organizaciones, desde marcas de alto perfil hasta pequeños negocios, no logran detener el ransomware. Muchos de estos compromisos ocurren debido a errores humanos. Hemos compilado una lista de los errores más comunes que conducen al arrepentimiento del ransomware. ¿Reconoces alguno?

Creer que una copia de seguridad es suficiente

El consejo de la mayoría de los expertos para detener el ransomware repite este refrán: “asegúrese de realizar copias de seguridad periódicas”. Y, sí, esta es una buena práctica, pero el problema es que nos han dicho que tener una copia de seguridad es suficiente para evitar que el ransomware afecte a nuestras organizaciones. La mala noticia es que los adversarios saben que la mayoría de las empresas tienen un plan de respaldo. Ahora, estos actores de amenazas exigen dinero a cambio de no vender los datos personales que roban. Sin duda, la mejor estrategia es prevenir el ataque antes de que cause un daño real. Si el atacante está solicitando un rescate, ya es demasiado tarde.

No rastrear señales de ransomware

La red es el camino del ransomware, lo que significa que es imprescindible monitorear los contactos con la infraestructura del adversario. Muchas empresas y profesionales de la seguridad tratan el ransomware como una fuerza de la naturaleza que no se puede prevenir, y eso está lejos de ser cierto. Puede aprovechar sus propios metadatos de red para detectar rastros del adversario y detener el ransomware antes de que se produzca un daño real. Si espera a que aparezca la evidencia del ransomware, ya es demasiado tarde. Debe comenzar a rastrear las conexiones a la infraestructura adversaria en las primeras etapas de la cadena de muerte cibernética.

Suponer que mi organización, sector o geografía no es un objetivo

Ninguna industria, geografía o empresa es inmune. Varios informes muestran un aumento de los ataques a todo tipo de industrias, como la fabricación, el gobierno, la salud, la agricultura e incluso los servicios religiosos. También podemos observar que aunque EE. UU. Tiene la mayoría de los ataques, el resto se distribuye uniformemente en prácticamente todos los países. Entonces, si cree que su organización no pertenece a un grupo que sea un área de enfoque para los adversarios, nuestra inteligencia muestra que tal suposición no es correcta. Puede ver más detalles en nuestra Flashcard de ransomware.

Solo monitoreando las “joyas de la corona”

Tendemos a pensar que los atacantes solo se enfocan en nuestros sistemas más críticos. La realidad es que esto rara vez sucede, la mayoría de las veces el compromiso comienza con un simple correo electrónico con un enlace o ejecutable. En un mundo cada vez más conectado, esta es la receta perfecta para el desastre. Por esta razón, no solo se deben monitorear los activos críticos, sino toda la organización, incluidos los entornos OT e IOT.

Pensar que las evaluaciones de vulnerabilidad y las pruebas de penetración son suficientes para detener el ransomware

El objetivo de las pruebas de penetración y la evaluación de vulnerabilidades es probar la seguridad de la red, que es solo una parte del problema. Estas son buenas prácticas, pero por sí solas, son insuficientes para detener el ransomware. El primer problema es que estas prácticas parten de una falsa hipótesis: es que el sistema es seguro. Sin embargo, en el momento en que haces estas pruebas no sabes si el adversario ya está dentro.

 

Conclusión

El ransomware no es una fuerza de la naturaleza, es algo que podemos evitar y prevenir. No cometa los mismos errores que han cometido otras organizaciones con resultados devastadores. La buena noticia es que puede evitar todos estos errores y detener los ataques de ransomware ejecutando una Evaluación de compromiso continua.