Hace apenas unos días el FBI comunicó que uno de los grupos de ransomware más activos, BlackByte, había logrado infiltrarse con éxito en al menos tres entidades relacionadas con infraestructuras críticas de Estados Unidos.

El modus operandi habitual consistente en hacerse con el control de información crítica de la empresa para, a continuación, cifrar y bloquear su acceso, parece ser que es también el que se ha seguido en este caso. Efectivamente, es cada vez más habitual que los ataques de ransomware contemplen una doble extorsión en la que no solo se bloquea el acceso a información y servicios críticos de la empresa, sino que los atacantes se hacen con datos relevante de clientes, proveedores, bases de datos, etc…  que les permite poner un mayor grado de presión sobre la empresa atacada y lograr mayores réditos de dicho ataque.

Adicionalmente esta información sustraída les permite atacar con mayor facilidad a otros objetivos pues en muchas ocasiones incluye detalles sensibles sobre las relaciones comerciales y técnicas entre empresas, AAPP y usuarios. Es evidente que el ransomware se ha consolidado en los últimos años como la herramienta preferida de ataque por su excelente ratio de coste beneficio para el atacante por lo que tenemos que ser conscientes de que tanto empresas como administraciones públicas y usuarios debemos prepararnos para enfrentarnos a ello más temprano que tarde. Entre las recomendaciones más habituales para enfrentarse a esta amenaza podríamos citar:

  • Dotarse con herramientas técnicas de protección informática capaces de detectar y prevenir la infección por ransomware. En esta categoría entrarían tanto los sistemas de seguridad perimetral como cortafuegos hasta sistemas anti malware integrados en las pasarelas de correo electrónico y los dispositivos por poner algunos ejemplos.
  • Incorporar tecnologías basadas en inteligencia artificial a los elementos de protección mencionados anteriormente para mejorar su ratio de detección.
  • Contar con herramientas de análisis forense y respuesta ante incidentes que posibiliten que ante una infección por ransomware en la red es posible identificar y aislar, de manera inmediata, a los dispositivos y usuarios afectados antes de que puedan contribuir a extender el ataque.
  • Diseñar planes de recuperación ante desastres que permitan prever los diferentes escenarios que pueden darse ante distintos tipos de ataques e incluyan los protocolos y herramientas necesarios para recuperar los servicios y la información que haya podido ser dañada.
  • Establecer una estrategia de backup seguro que tenga en cuenta que no basta con contar con una copia de seguridad de los datos sino que es preciso almacenar estas copias en diferentes ubicaciones de forma simultánea. Además la tecnología de backup utilizada debe ser capaz de hacer frente específicamente a los ataques de ransomware, los cuales habitualmente suelen dirigirse de forma preferente a cifrar dispositivos de almacenamiento… Nuestro backup debe tener esto previsto y contar con tecnologías que aíslen el backup de la red y aseguren que los datos no pueden ser borrados o sobre-escritos en caso de ataque
  • Mejorar la formación de los usuarios tanto de dispositivos móviles como de PC para enseñarles a identificar éste y otros tipos de ataque y poder auto-protegerse frente a ellos.
  • No contemplar el pago del rescate ni siquiera como opción…

Si tuviéramos que señalar cuál de los puntos anteriormente mencionados es el más importante probablemente destacaríamos el último de ellos. Tanto empresas como administraciones públicas e incluso usuarios pueden sentir la tentación de correr el riesgo y no tomar las precauciones anteriormente mencionadas bajo el planteamiento de “si finalmente me entra un ransomware pago el rescate y ya está…”. Esto es un gran error principalmente por:

  • El pago del rescate no garantiza en absoluto que podamos restaurar la información y recuperar nuestros servicios. En muchas ocasiones los ciber delincuentes no proporcionan las claves de descifrado o, incluso después del pago, éstas ni siquiera funcionan correctamente por un fallo en el desarrollo del ransomware (tengamos en cuenta que el objetivo del desarrollador del malware es hacer daño y, en muchas ocasiones, el proceso de descifrado y recuperación de información no ha sido correctamente desarrollado o probado).
  • En los casos de doble extorsión (bloqueo + robo de la información) aunque paguemos, y el delincuente nos proporcione la clave de desbloqueo/descifrado, nada le impide volvernos a chantajear con la amenaza de utilizar la información robada para perjudicarnos o atacar a proveedores o clientes que en última instancia podrían ejercer acciones legales contra nosotros.
  • Incluso si tenemos una póliza de seguros que nos pudiera compensar por el coste del pago, es siempre recomendable estudiar detenidamente su clausulado ya que en casos de negligencia o de no contar con las medidas de seguridad necesarias la compañía podría no hacer frente al pago. Además, hay que tener en cuenta que si no desplegamos un nivel adecuado de elementos de protección la prima de la póliza irá subiendo o incluso pueden no renovárnosla para otros años. Tengamos presente también que para los ciber delincuentes atacar compañías que cuenten con pólizas de ciber-riesgo c Síon protección frente al ransomware es un aliciente pues suelen ser más proclives a efectuar el pago del rescate de manera inmediata y sin negociaciones… mejor no dar demasiada publicidad al hecho de que contemos con este tipo de garantías.
  • Al pagar el rescate le estamos indicando al ciber delincuente que estamos dispuestos a ceder a la extorsión lo que marca a la empresa como un objetivo prioritario… Son cada vez más habituales las infecciones recurrentes en una misma entidad tras haber pagado ante un ataque de ransomware.
  • Cada vez que se cede a la extorsión y se paga al ciber delincuente por recuperar unos datos lo que se está haciendo es incentivar este tipo de actividades y dotar de mayor cantidad de recursos a la industria del cibercrimen. Tenemos que tener claro que el ransomware no desaparecerá mientras siga siendo lucrativo y desde un punto de vista social nunca deberíamos ceder al chantaje.

Protegerse frente al ransomware puede parecer complicado y costoso sin embargo apoyándose en las tecnologías adecuadas no lo es en absoluto y de hecho constituye la mejor inversión posible.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre