Silencioso e inteligente, el ransomware es una amenaza que no pasa de moda. Se moderniza gracias a una ingeniería social que permite que sus ataques no sean al azar, sino más bien, estudiados y con un fin claro: secuestrar datos e información para obtener dinero.
En la mayoría de sus acciones, cuentan con facultades que les permiten ocultar robos, información o simplemente, borrar evidencia. Si bien es cierto que suelen ir variando en métodos y formas, el fin siempre es el mismo: atacar al sector empresarial.
Para hacerse una idea, a través de un ransomware se puede paralizar la operación de una empresa por tres-cuatro días o hasta semanas, con grandes pérdidas: sin facturar, poder emitir órdenes de compra, acceso a correos y, en el peor de los casos, perder información de años si no se cuenta con un buen programa de backups y recuperación de desastres.
Ahora bien, imaginen este mismo escenario en industrias de infraestructura crítica o servicios de salud tales como clínicas o redes asistenciales donde, además del secuestro de datos (que nadie garantiza su recuperación o comercialización), el efecto mismo puede atentar contra la vida de ciudadanos.
La vulnerabilidad de las compañías obedece, entre otros factores, al nulo control adecuado de las actualizaciones y/o parches de su infraestructura crítica. Además de la falta de protección y mantenimiento de sus sistemas. Si observamos los ataques que han ocurrido, muchas de las empresas no estaban parchadas.
De hecho, algunas organizaciones que han tenido este tipo de vulnerabilidades, han optado por informar a sus colaboradores colocando avisos en las oficinas: “Mantente seguro y sano: no pinches cualquier link y lávate las manos”. Y no es al azar, es parte de la educación que deben tener las compañías con sus colaboradores. La seguridad parte en casa.
¿Cómo ataca un ransomware?
Con características de gusano por su capacidad de replicación, el ransomware puede buscar dentro de la red computadores que estén accesibles para poder infectar. Su principal objetivo es cifrar datos, bloquear archivos, y dejar sin acceso a ellos. En palabras simples, secuestra los datos y para recuperarlos pide un pago a través de la moneda digital bitcoins.
Los vectores de ataque pueden variar, pero usualmente eligen funcionar mediante correo electrónico. También, se puede dar el caso que esté disponible en internet a través de Torrent como algún crack de algún software que esté de moda o algún juego.
Un ejemplo de esto es WannaCry, ransomware que afectó, entre ellos, a Telefónica y dejó inutilizada casi toda la compañía en España y otros países. O sea, se replicó a nivel mundial en una misma compañía. Asimismo, el ransomware Snake vulneró los sistemas de control de la marca automotriz Honda, impactando de forma directa en su red, teniendo que detener su funcionamiento.
¿El ransomware descansa en pandemia?
El COVID-19 trajo consigo muchos desafíos, entre ellos la complejidad a la que se enfrentaron muchas compañías al enviar a sus colaboradores a operar desde sus hogares. Sin embargo, no se priorizaron ni los controles ni la seguridad desde donde accedían, sino que los esfuerzos se destinaron solo a la conectividad.
Las brechas de seguridad aumentan cuando pasas de un espacio de trabajo seguro como es la oficina, dentro de una estructura de seguridad, hacia una casa sin medidas ni protecciones. Algunas empresas conservaron controles a través de infraestructura por VPN.
Lo cierto es que el trabajo remoto y poco control de lo que hacen los usuarios en casa, crea una contingencia de amenazas ransomware. Algunas organizaciones están aplicando e invirtiendo en programas de respaldo de información, y controlando las herramientas de colaboración.
Otra solución que está tomando fuerza es el Security Access Service Edge (SASE), que implica focalizar un punto de control de algún sector de la nube que permita extender los controles de seguridad a otros dispositivos. Es decir, ya no se necesita estar en un ambiente empresarial para tener mayor y mejores controles, sino que solo basta con conectarse a un punto focal en la nube y se recupera el control.
En el mercado existen soluciones que contraatacan a este virus, y crean copias de seguridad digitales para evitar el secuestro de información y así evitar el pago de millones de dólares en rescate.
Aunque existen empresas que optan por no pagar y recrean todo nuevamente, es importante comenzar a implementar seguridad en las infraestructuras críticas de las organizaciones para evitar secuestros o vulneraciones a los sistemas.
El poder de ramificación y contaminación que tienen el ransomware es muy potente. Por ende, requiere medidas y controles que permitan asegurar lo más importante de las empresas: los datos.
Columna redactada por José Luis Gutiérrez, arquitecto de soluciones de ciberseguridad en CoasinLogicalis. Conoce más artículos de opinión en la sección de Zoom Tecnológico.