Con el foco puesto en la emergencia sanitaria, la ciberseguridad parece haber pasado a un segundo plano. Pero los ciberdelincuentes no olvidan y han seguido activos atacando a los teletrabajadores que, hasta ahora, solían estar protegidos por el perímetro de la red. Durante este tiempo han estudiado estos nuevos entornos en busca de vulnerabilidades con la esperanza de que con la urgencia no se hayan implementado las protecciones y controles de seguridad adecuados. ¿Estamos ante el caldo de cultivo para un nuevo WannaCry? 

Los laboratorios FortiGuard han estado vigilando cómo evolucionaban las amenazas durante la pandemia, siendo testigos de un aumento significativo del malware dirigido a los trabajadores a través del phishing y de sites infectados. El contenido malicioso en los correos electrónicos ha provocado un aumento del 131% en los virus registrados por Fortinet en marzo de este año. También explica por qué se ha producido una reducción de los ataques tradicionales a medida que los ciberdelincuentes modificaban su estrategia.

En estas circunstancias, es probable que el ransomware aumente, ya que los criminales buscan utilizar los dispositivos comprometidos del usuario final como un conducto para acceder a una red central que puede que no esté siendo vigilada tan cuidadosamente como lo estaba en su día.

Nuestros expertos destacan que entre los tipos de ataque que mantienen a los profesionales de la seguridad en vilo – el ransomware y las amenazas no muestran signos de desaceleración. Y cuando se trata de defenderse de ellos, las herramientas de seguridad son tan buenas como el equipo que las gestiona. Todo, desde los errores de configuración hasta la proliferación de soluciones, puede debilitar el poder de las defensas de ciberseguridad de las empresas para detectar y prevenir los ciberataques. Sin embargo, especialmente cuando se trata de ransomware, el mayor problema es el factor humano.

Hay otros elementos a considerar, como la falta de visibilidad y control generalizado que experimentan la mayoría de las empresas que han sido víctimas de estos ataques. Con el número de nuevas vulnerabilidades de día cero que hay, y el número de ataques water-hole que se aprovechan de las mismas, el próximo gran hackeo podría producirse en una visita a una web. Incluso con los últimos controles de seguridad, si sufrimos una brecha de día cero vamos a tener que confiar en los tres pilares de un robusto programa de seguridad – personas, procesos y tecnología – para identificar la amenaza tan pronto como se produzca.

«En un nuevo entorno de teletrabajo es cuando las organizaciones tienen muchas probabilidades de ser atacadas»

Las soluciones anti exploit y EDR (detección y respuesta en los endpoints) son excelentes herramientas para identificar el malware en un endpoint antes de que migre a la red y luego comparta esa información con los demás. El ISFW (firewall de segmentación interna) puede entonces aplicar una segmentación dinámica para poner en cuarentena el host. Y SOAR (orquestación de seguridad, automatización y respuesta) puede crear rápidamente remedios en torno a esa inteligencia recién recogida. Esta estrategia no solo funciona para el ransomware, sino que es extrapolable para la detección de los ataques más avanzados

La realidad es que el ransomware no es un malware complejo y sofisticado. Pero precisamente eso lo hace mucho más peligroso ya que el umbral de conocimiento que deben poseer los atacantes es bajo, lo que significa que los kits de herramientas de ransomware descargables en internet se modifican fácilmente con un mínimo de conocimientos de programación.

Es cierto que la mayor parte de este software probablemente no funcionará con las grandes organizaciones porque los dispositivos de seguridad lo identificarán y bloquearán. Pero en un nuevo entorno de teletrabajo – con trabajadores sin experiencia en trabajar fuera de la oficina, equipos de TI sobrecargados de tareas y políticas de seguridad nuevas y en gran parte no probadas – es cuando las organizaciones de repente tienen muchas probabilidades de ser atacadas. En cuanto al volumen, hay otras amenazas que pueden ser más frecuentes. Pero el ransomware es una de las principales por el impacto que tiene en la organización, ya que puede provocar incluso el cierre de un negocio.

Bit Life Media ciberataques

En este contexto, las compañías se preguntan cómo pueden blindarse frente estos ataques. La triste realidad es que la mayoría de los ataques pueden evitarse. A las organizaciones les cuesta mucho trabajo parchear los dispositivos. Por supuesto, no siempre es su culpa. Los parches deben ser probados, y eso puede requerir cierto tiempo.

A menudo, los usuarios tienen derechos administrativos en su sistema para aliviar la carga y los costes del personal de gestión y de apoyo informático, lo cual impide la verificación previa de los parches y las actualizaciones al tiempo que hace más vulnerable el dispositivo. En los grandes entornos móviles, conseguir que los usuarios apliquen parches puede ser difícil debido a factores como la disparidad geográfica. Sin embargo, si estos problemas se resolvieran, la mayoría de los programas de ransomware perderían su efectividad. 

«Todos somos susceptibles de recibir un correo electrónico cuidadosamente elaborado cuando estamos más desprevenidos» 

Por otro lado, no estamos ante un problema de conocimiento sino más bien de comportamiento. El conocimiento y la acción son dos cosas muy diferentes. Además de los ataques generales que se dirigen a todo el mundo, los correos electrónicos también se escriben de forma inteligente para dirigirse a perfiles específicos de individuos en una organización, ya sea directamente o a través de una nueva técnica en la que insertan correos electrónicos de phishing en un hilo de correo electrónico activo para aumentar la probabilidad de que se haga clic en él. Este tipo de ataque se conoce como “spearfishing”, y cuando el objetivo es un miembro del consejo de dirección, se llama «whale phishing«. Pero independientemente de quién sea el objetivo, todo el mundo es susceptible de recibir un correo electrónico cuidadosamente elaborado en el momento en el que estamos más desprevenidos. 

Y cuando decimos factor humano, no solo estamos señalando a los incautos que hacen clic en los enlaces o abren documentos maliciosos. Nos referimos también a aquellos que no entienden las amenazas o cómo detenerlas. Las tecnologías del cibercrimen avanzan mucho más rápido de lo que la mayoría de nosotros somos capaces de consumir, entender y aplicar. Y la brecha de habilidades también sigue creciendo. Es un desafío difícil de superar.

La evolución hacia un ransomware más selectivo y dirigido: hacia un nuevo WannaCry

Lo que ha ido en aumento, y que desde Fortinet preveíamos que empeoraría en 2020, son los ataques con ransomware más selectivos que suponen un gran coste para las empresas desde una perspectiva operativa y normativa. Los ataques de malware y de ransomware han cambiado su foco dirigiéndose y siendo diseñados para ciertos sistemas internos.

Otro factor que contribuye a los crecientes ataques contra las empresas y las organizaciones empresariales es la fácil disponibilidad de las ofertas de programas de ransomware como servicio (RaaS). Y en 2020 ya estamos viendo otro cambio, con el ransomware de software que aprovecha la oportunidad cibercriminal en torno a COVID-19, lo que demuestra que la evolución del ransomware no se trata solo de ataques dirigidos, sino que tiene un enfoque múltiple, mucho más complicado de defender.

Todavía veremos otro exploit de ransomware masivo, como el que sufrimos con WannaCry, debido a las múltiples vulnerabilidades «wormable» que hay, como BlueKeep y la más reciente en SMBv3, que ha sido apodada SMBGhost. Es solo cuestión de tiempo.

La pandemia ha producido cambios en muchos proyectos de TI, pero también ha causado urgencia en los plazos. Esto incluye la migración a la nube, el acceso remoto y una mayor dependencia de las aplicaciones basadas en la web. Mucho personal de TI se encuentra trabajando bajo presión. A ello se suman otras industrias, como la de la salud y algunos tipos de fabricación y logística, que también se encuentran con grandes niveles de estrés para mantener sus redes en funcionamiento. Los atacantes entienden que estas industrias prefieren pagar un rescate en lugar de lidiar con cualquier desaceleración o cierre de sus operaciones.

«Veremos otro exploit de ransomware masivo como el que sufrimos con WannaCry. Es cuestión de tiempo»

Si el dispositivo de un teletrabajador puede verse comprometido, puede convertirse en una puerta de acceso a la red central de la organización, permitiendo la propagación del malware a otros trabajadores remotos. La interrupción del negocio puede ser tan efectiva como un ataque de ransomware que apunta a los sistemas de red internos al desconectar un negocio.

Dado que los servicios de asistencia técnica son ahora remotos, los dispositivos infectados por el ataque o un virus pueden incapacitar a los trabajadores durante días. En la prisa por asegurar la continuidad del negocio, aspectos como los protocolos de seguridad pueden pasarse por alto, y los criminales buscan aprovecharse de cualquier brecha de seguridad inadvertida.

Nos encontramos en un momento especialmente vulnerable en nuestra transición a la economía digital. Si bien cada entorno de red es diferente, he aquí 20 iniciativas que cualquier organización puede comenzar a implementar hoy para reducir el riesgo de los programas de ransomware y otras amenazas avanzadas.

  1. Siempre que sea posible, parchear y actualizar los sistemas operativos, dispositivos y software. Haga de esto una prioridad para sus teletrabajadores – especialmente con aquellos que usan dispositivos personales para conectarse a la red corporativa. 
  2. En el caso de los dispositivos que no se pueden parchear, asegúrese de que los controles de proximidad y las alertas adecuadas estén en su lugar.
  3. Asegúrese de que todos los endpoints tengan instalada una seguridad avanzada, como soluciones anti exploit y EDR.
  4. Asegúrese de que aplicar mecanismos de control de acceso, como la autenticación multifactor e incluso las soluciones de control de acceso a la red. 
  5. Utilice un sistema NAC para inspeccionar y bloquear los dispositivos que no cumplan con la política de seguridad.
  6. Segmente su red en zonas de seguridad para evitar la propagación de la infección y vincule los controles de acceso a la segmentación dinámica.
  7. Utilice herramientas de inventario y las listas de IOC para priorizar cuáles de sus activos están en mayor riesgo.
  8. Actualice sus firmas de los sistemas de protección de intrusión (IPS) en la red, así como las de los dispositivos antivirus y antimalware.
  9. Utilice sistemas de copias de seguridad y almacene estas en otra ubicación- junto con cualquier dispositivo y software que pueda necesitar en caso de tener que llevar a cabo el plan de recuperación-
  10. Asegúrese de que la recuperación del ransomware es parte de su BCDR (Plan de continuidad de negocio y recuperación de desastres) , identifique su equipo de recuperación, realice pruebas y preasigne responsabilidades para que los sistemas puedan ser restaurados rápidamente en caso necesario.
  11. Actualice sus sistemas de seguridad de correo electrónico y de acceso a la web para comprobar y filtrar los archivos adjuntos de correo electrónico, sitios web y archivos en busca de malware y otro tipo de amenazas 
  12. Asegúrese de que las soluciones CDR (content disarm and recovery) están correctamente configuradas para desactivar el contenido malicioso de los los archivos adjuntos.
  13. Utilice un sistema de sandboxing para descubrir, ejecutar y analizar cualquier documento, programa desconocido o URI en un entorno controlado.
  14. Bloquee los anuncios publicitarios y las redes sociales que no tengan relevancia para su negocio.
  15. Utilice un modelo de acceso a la red de confianza cero que incluya análisis de malware para que los usuarios no puedan infectar aplicaciones, datos o servicios críticos para la compañía.
  16. Utilice listas blancas de aplicaciones para evitar que se descarguen o ejecuten aplicaciones no autorizadas. 
  17. Evite las aplicaciones SaaS no autorizadas con una solución CASB.
  18. Utilice las herramientas de análisis forense para que en caso infección, poder identificar de dónde procede, cuánto tiempo ha estado en su entorno, asegurar que ha sido eliminada completamente de cada dispositivo y que no vuelva a aparecer.
  19. Establezca un plan para los usuarios que utilizan sus dispositivos y aplicaciones. La formación es esencial. 
  20. Aproveche las personas, la tecnología y los procesos para recopilar rápidamente información sobre las amenazas de los ataques activos a sus redes y actuar en consecuencia, utilizando la automatización siempre que sea posible. Esto es crucial para detener un ataque avanzado.

Aunque todos estamos corriendo lo más rápido posible para mantener nuestros negocios en marcha, también estamos más expuestos que nunca a los criminales que quieren aprovecharse de esta crisis. Los programas de ransomware y otras amenazas avanzadas no han disminuido su velocidad mientras nosotros estamos ocupados. De hecho, según nuestro análisis del panorama de amenazas, es lo contrario.

La mayoría de las organizaciones deberían tener su estrategia de teletrabajo en marcha. Ahora es el momento perfecto para llevar a cabo una revisión exhaustiva de las políticas de seguridad y hacer los ajustes necesarios. Priorice sus desafíos y céntrese en cada uno de ellos. Cada paso que dé ahora para endurecer sus políticas y prácticas es una amenaza evitada. Y a todos nos vendría bien una cosa menos de la que preocuparnos ahora mismo.

Jose Luis Laguna tiene más de 17 años de experiencia en ingeniería, ha sido director de sistemas y CISO en el Grupo Técnicas Reunidas, una de las mayores ingenierías del mundo, especializada en la construcción de plantas petrolíferas y de energía. Actualmente lidera el equipo de ingenieros de Fortinet para España.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre