Pagar por el ransomware es financiar el crimen

Los ataques de ransomware han acaparado los titulares durante los dos últimos años y seguirán controlando la agenda de la ciberseguridad de cara a 2023. Mientras que los atacantes de ransomware siguen teniendo éxito a la hora de extorsionar a las empresas, aquellas que pagan estas demandas están financiando la industria del ransomware y fomentando la delincuencia. Con el aumento de los ataques en áreas como las infraestructuras críticas y la sanidad, se ha convertido en algo más que un problema empresarial. ¿Cómo hemos llegado hasta aquí, cuáles son las implicaciones más allá del mundo empresarial y qué deben hacer las organizaciones para romper el ciclo?  

Cómo el ransomware democratizó el robo de datos 

La ciberdelincuencia existe desde los años 80, y desde entonces la industria de la ciberseguridad no ha dejado de evangelizar (o "meter miedo", según a quién se pregunte) sobre las ciberamenazas. En los últimos cinco años, sin embargo, las cosas se han puesto realmente difíciles, con un asombroso 90% de organizaciones afectadas por ransomware sólo en el último año. Aunque la creciente digitalización del mundo ha sido un factor clave, el principal factor es que los delincuentes han encontrado una forma eficaz de rentabilizar la ciberdelincuencia: el ransomware. Los métodos para instalar ransomware en un dispositivo, como el phishing o las URL maliciosas, no han cambiado mucho. 

El beneficio económico siempre ha sido uno de los principales motivos de los ciberdelincuentes, así que ¿por qué se ha tardado tanto en llegar a este punto? La respuesta pone de relieve las implicaciones más oscuras de las nuevas innovaciones digitales, ya que las nuevas tecnologías digitales han proporcionado a los grupos de piratas informáticos el vehículo de escape perfecto para sus delitos. Las criptomonedas como el bitcoin, y la tecnología blockchain que las asegura, proporcionan un método fiable y casi imposible de rastrear para extorsionar dinero. Esto ha convertido a los grupos de ciberdelincuentes en máquinas de hacer dinero y, en empresas por derecho propio. El término "banda" oculta lo sofisticadas que pueden llegar a ser estas organizaciones. Es más, documentos filtrados a principios de año mostraban cómo Conti, uno de los grupos de ransomware más notorios del planeta, tiene un departamento de RRHH, evaluaciones de rendimiento e incluso un "empleado del mes".

Una visión más amplia       

Más allá del daño financiero y reputacional de primera mano causado por los ataques de ransomware, hay que tener en cuenta un panorama más amplio. La ciberdelincuencia es una industria que cuenta con profesionales experimentados y proveedores especializados de herramientas y servicios, e incluso se ha modernizado hasta el punto de que los productos RaaS (Ransomware-as-a-Service) pueden adquirirse por suscripción. Como cualquier industria, necesita beneficios para crecer, expandirse y desarrollarse. Pagar las exigencias del ransomware echa más leña al fuego, y no sólo las empresas se verán envueltas en las llamas. 

Gobiernos, hospitales e infraestructuras críticas como los transportes y la educación son cada vez más víctimas de los ataques de ransomware. Los ataques a hospitales se están volviendo alarmantemente comunes en Estados Unidos y Europa. No se trata sólo de ciberataques de estados-nación (una cuestión aparte, aunque las líneas se están difuminando cada vez más), sino de los mismos ciberdelincuentes que atacan a las empresas. Dos bandas afiliadas a Conti, el grupo mencionado anteriormente, han atacado sectores de infraestructuras críticas en Europa, como el energético y el farmacéutico. 

Aunque muchos grupos afirman que no atacan infraestructuras críticas por razones éticas o por miedo a repercusiones diplomáticas, el ransomware es indiscriminado: los métodos utilizados pueden ser de gran alcance, y los servicios públicos pueden verse fácilmente atrapados en él.  De hecho, el volumen y la gravedad de los ataques de ransomware están alcanzando un punto crítico. Dado que afectan a organizaciones grandes y pequeñas, públicas y privadas, de todo el mundo, protegerse y no pagar el rescate son decisiones fundamentales para poner fin a la crisis. También es justo decir que las organizaciones tienen la responsabilidad corporativa de evitar pagar las peticiones de rescate y financiar nuevos delitos. Pero, ¿cómo pueden abordarlo las empresas?   

Qué deben hacer las empresas 

Podría parecer que el peso del mundo recae sobre los hombros del equipo de ciberseguridad de una organización, y aunque no se puede negar que están sometidos a una enorme presión debido al ransomware, no podemos detenerlo en su origen. En su lugar, las organizaciones deben protegerse a sí mismas y ayudar a detener el flujo de dinero (criptográfico) de esta industria criminal.  

La prevención del ransomware requiere de una combinación de personas, procesos y tecnología. También es importante destacar que, a pesar de lo que la gente pueda pensar, el mundo digital y el mundo real no son tan diferentes. Las ventanas abiertas deben cerrarse con llave por la noche (sistemas de parcheo), dos cerraduras son mejor que una (autenticación multifactor), los objetos o la información vitales deben guardarse bajo llave (protección de datos) y los mayores riesgos de seguridad suelen ser las personas y el personal (amenazas internas o incumplimiento de los procesos). 

No obstante, aunque la prevención es un elemento clave en esta misión, y evitar por completo un ataque siempre será más barato que hacerle frente, tampoco es realista esperar que las empresas eviten todos los ataques a escala. La responsabilidad de las empresas no reside en que eliminen por completo los ataques de ransomware exitosos, sino llegar a un punto en el que, incluso en el caso de un ataque exitoso, la empresa se encuentre en una posición en la que no necesite pagar las demandas: poder decir "no" al ransomware.  

Esta última línea de defensa son los procesos de copia de seguridad y recuperación. Se puede hacer caso omiso de las exigencias del ransomware cuando una organización dispone de una copia de seguridad de los datos críticos con la que restaurar el sistema cifrado. Sin embargo, no todas las copias de seguridad son iguales. A medida que el ransomware y los ciberdelincuentes se han vuelto más sofisticados, éstos atacan ahora activamente los repositorios de copias de seguridad. Según un estudio realizado este año, el 94% de los ataques de ransomware iban dirigidos a los repositorios de copias de seguridad, y el 68% de ellos tuvieron éxito.

La antigua regla de las copias de seguridad era mantener tres copias de los datos, en dos tipos diferentes de soportes, con una almacenada fuera del entorno actual de trabajo (la conocida como regla 3-2-1). Esa copia externa se utilizaba en caso de desastre físico, como un incendio o una inundación. Pese a ello, el ransomware es mucho más común hoy en día, por lo que, además de una copia externa, las estrategias de copia de seguridad modernas deberían incluir una copia offline, air-gapped (inalcanzable) o inmutable (inalterable). Con esto y un sólido proceso de recuperación (diseño para la recuperación), una empresa puede resistir y recuperarse de forma fiable de los ataques de ransomware sin ni siquiera plantearse pagar un rescate. 

Poner fin al ciclo   

El ransomware ha democratizado el robo de datos y ha convertido la ciberdelincuencia en una industria rentable y en desarrollo, como nunca antes habíamos visto. Aunque no es responsabilidad de las empresas abordar o resolver activamente este problema en su origen, sí tienen el deber de cuidar a otras organizaciones e infraestructuras críticas de todo el mundo para no avivar el fuego. Los organismos gubernamentales trabajan ahora para encontrar soluciones al problema (si es que se puede encontrar alguna), pero las empresas deben invertir en la prevención del ransomware para protegerse de enormes daños económicos y de la posibilidad de financiar nuevos delitos.

Opinión

Add a comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *