La realidad es que los ataques de ransomware siguen vigentes hoy en día y cada vez se vuelven más sofisticados y agresivos. Según un reporte de FortiGuard Labs, a la semana se detectan 150,000 intentos de ataque de este tipo y las dobles extorsiones son más comunes que antes.
El Ransomware claramente no está desapareciendo, en esta primer parte el CISO de campo de Fortinet Joe Robertson ofrece una perspectiva sobre dónde estamos con el ransomware y qué es lo próximo.
¿Por qué sigue siendo una amenaza de primer orden? 
El ransomware sigue siendo un tema de actualidad porque se ha convertido en un negocio. Se ha convertido en algo mucho más allá de lo que era hace diez años. Al principio, era sólo el ámbito de unos pocos hackers, pero a medida que ha crecido hasta convertirse en una industria, el volumen de los ataques ha aumentado drásticamente. Desde la pandemia, más gente ha tomado conciencia ya que porque los hospitales fueron blanco de ataques, porque las vidas estaban amenazadas y los hospitales no podían atender a los pacientes, lo que centró la atención de los medios de comunicación en el problema.
Es importante recordar que el ransomware comenzó como una industria artesanal dirigida por individuos, pero ha evolucionado hasta convertirse en un negocio dirigido por organizaciones criminales que ahora han construido su propio ecosistema de ciberdelincuencia. No se limitan a crearlo y ponerlo en marcha. Ahora tienen líneas directas y salas de espera donde las víctimas pueden ponerse en contacto con ellos para obtener información sobre cómo pagar el rescate. Y ha crecido hasta como servicio (RaaS), por lo que ni siquiera se necesitan conocimientos técnicos para realizar un ataque. Simplemente puedes contratar a alguien para que te robe algo de dinero; ellos hacen todo el trabajo pesado por una tarifa.
El ransomware solía ser simplemente una táctica, pero ahora, con el ecosistema y el modelo de negocio que se ha desarrollado a su alrededor, puede ser utilizado como un arma de guerra. Los gobiernos han emitido advertencias sobre la posibilidad de que se produzcan más ataques, sobre todo porque cualquier organización puede acabar siendo un daño colateral en una guerra cibernética. El malware no presta atención a las fronteras de los países, y la realidad es que podría viajar por todo el mundo en segundos.
¿En qué deberían pensar ahora los CISO para protegerse de las amenazas de ransomware?
En primer lugar, es importante destacar la ciberhigiene. Es fácil decir que el personal es el eslabón más débil porque hace clic en los enlaces de los correos electrónicos de phishing, pero no necesariamente. El personal puede y debe ser su primera línea de protección. Toda organización debería contar con programas de formación para empleados que sean interesantes y fáciles de usar. Con un conjunto de empleados alerta, se pueden evitar muchos de los ataques que intentan entrar al entorno.
Cuando la gente habla de seguridad, suele centrarse en la tecnología, pero también es una cuestión de psicología. Es esencial conseguir que todos se den cuenta de que son víctimas potenciales de la ciberdelincuencia en cualquier momento. Así podrán reconocer más fácilmente las actividades y los correos electrónicos sospechosos.
Por supuesto, las organizaciones también necesitan establecer una barrera tecnológica. La mayor parte del ransomware entra en el entorno a través del correo electrónico. Aunque el personal esté capacitado, es posible que algún tipo de correo electrónico de phishing o, más probablemente, de spear-phishing pueda entrar. El spear phishing es más difícil de detectar porque parece algo de alguien conocido. Las organizaciones deberían invertir en protección del correo electrónico para respaldar al personal y actuar como una sólida segunda línea de defensa.
¿Cómo pueden la inteligencia artificial (IA) y el aprendizaje automático (ML) ayudar a luchar contra el ransomware?
Hoy en día las organizaciones necesitan mucho más que soluciones antivirus. Los equipos de TI deben adoptar un enfoque proactivo con la protección, detección y respuesta en tiempo real del sistema Endpoint protection, Detection, and Response (EDR), junto con el acceso de confianza cero, la segmentación y el cifrado. Un buen sistema EDR puede analizar lo que ocurre con un portátil y detectar anomalías, como lecturas adicionales en el disco que podrían ser un malware que intenta cifrar el disco. La solución EDR puede entonces ponerlo en cuarentena para que no pueda cifrarse. Gracias a la inteligencia artificial (IA) y al aprendizaje automático (ML), el EDR puede detectar este tipo de actividad anómala que podría ser malware o fuga de datos de personas internas que están copiando y eliminando archivos.
Los malos no se quedan quietos, así que usted tampoco puede hacerlo. Dado que los ataques de ransomware son cada vez más rápidos, las organizaciones deberían considerar la posibilidad de cambiar las colecciones de productos por soluciones integradas que estén diseñadas para trabajar juntas y que puedan tomar la inteligencia sobre amenazas en tiempo real. Una plataforma de ciberseguridad integrada puede detectar patrones y huellas de amenazas, correlacionar cantidades masivas de datos para detectar anomalías e iniciar automáticamente una respuesta coordinada.
La gestión centralizada y la amplia visibilidad que proporciona este tipo de plataforma pueden ayudar a garantizar que las políticas se apliquen de forma coherente, que las configuraciones y actualizaciones se entreguen con prontitud y que se pueda lanzar una respuesta coordinada a las amenazas cuando el sistema detecte una actividad sospechosa. Y si se dispone de un sistema, es necesario actualizarlo constantemente con un servicio de inteligencia sobre amenazas.
¿Cuál es la clave que los CISOs deberían conocer para entender cómo protegerse mejor contra el ransomware?
Las organizaciones deben analizar las tácticas que utilizan los atacantes. Los analistas formados tienen instintos que las máquinas no tienen. Todas las organizaciones deberían tener un plan de respuesta a los ciberataques. Y una vez que se tiene un plan, hay que practicarlo. Lo último que quieres es abrir el plan por primera vez cuando estás en medio de un ataque. Lo veo como la reanimación cardiopulmonar. Es conveniente haber recibido una clase y haber practicado RCP hace poco tiempo para poder entrar en acción en caso de emergencia. Cuando se trata de un ciberataque, hay que saber cómo apagar los sistemas y realizar operaciones de copia de seguridad y restauración. No querrás realizar estas tareas por primera vez cuando estés presionado para que tu negocio vuelva a funcionar.
FUENTE
Robertson, J. & Ferreira, R. (202219. CISO Q&A: Ransomware: A Top of Mind Threat Still Today. Fortinet. https://www.fortinet.com/blog/ciso-collective/ciso-ransomware-top-of-mind-threat?utm_source=social&utm_medium=linkedin-org&utm_campaign=sprinklr
📩: mktadmin@bg2.com.mx
📞: (81) 8123 3730
📆📌: https://bit.ly/3PEchs7
