La amenaza del ransomware está creciendo. De todos los diversos tipos de malware existentes, este es el que más repercusión mediática ha tenido en los últimos años debido a que diversas empresas y gobiernos, de todo tamaño a nivel global, han sido sus víctimas.

Este tipo de software malicioso tiene como objetivo apoderarse de la información que reside en la computadora de la víctima para solicitar un pago de rescate a cambio de liberarla.

La técnica utilizada por el ransomware es encriptar la información de la computadora de la víctima, volviéndola inaccesible. Tras el pago del rescate, que es típicamente en criptoactivos, la víctima puede recibir la clave para desencriptar la información.

Inicialmente, los ciberdelincuentes apuntaban al público general, sin embargo, han mutado a atacar a empresas y organismos de gobierno en búsqueda de mayor rentabilidad de su actividad criminal. Ya no solo se limitan a secuestrar la información, también realizan extorsiones al amenazar con divulgarla públicamente.

Se estima que para 2021, los costos por los daños de ransomware a escala global van a ser de 20 mil 000 millones de dólares, de acuerdo con cifras de Cybersecurity Ventures, líder en investigación para la economía cibernética global. La elección del blanco de un ataque no es azarosa, es un proceso con inteligencia previa. Incluso existen criminales que brindan servicios de ransomware, facilitando conocimiento, herramientas y otros componentes necesarios para llevar a cabo esta modalidad criminal a gran escala en modo de campañas.

El golpe de un ataque de ransomware

Un ataque tiene distintas fases, cada una de ellas con un propósito específico:

  • Infección. Los atacantes intentarán engañar a un empleado para que de alguna forma ejecute un programa malicioso: un correo electrónico conocido como phisinges es la vía más común, o bien, explotar alguna vulnerabilidad conocida no corregida para lograr ejecutar este malware.
  • Movimiento lateral. Una vez controlado un dispositivo de la organización, los atacantes pondrán en marcha la segunda fase, conocida como movimiento lateral. Es en este momento que, desde un dispositivo de la organización, se propaga a la mayor cantidad de computadoras posible. Si bien intentarán hacerlo lo más rápido posible, puede tomar largos periodos, incluso varios meses. Los criminales trabajarán con mucho sigilo, utilizando técnicas de evasión, para pasar lo más desapercibidos posibles.
  • Cifrado de datos. En esta etapa es cuando se da la instrucción al ransomware previamente instalado para cifrar la información, mediante una clave que hasta ese momento solo los atacantes conocen. Se ejecuta muy velozmente y es muy difícil de mitigar en este punto, por lo que se da notificación a la víctima y se le exigirá el rescate. Lo siguiente es muy similar a la operatoria de un secuestro extorsivo convencional, en el que los delincuentes abren canales de comunicación y negociación con la pretensión de obtener el pago a cambio de entregar la clave de descifrado.

La prevención no basta

Es necesario encarar el problema del ransomware con decisión e inversión. Tener solo una estrategia de prevención no basta, hay que invertir tanto en la capacidad de prevenir como en la de detectar y reaccionar. Es aconsejable contar con una visión central y unificada de toda la superficie de ataque: incorporar capacidad de análisis y reacción a velocidad digital, asistida por inteligencia artificial (IA) para poder tener detección temprana y respuesta automatizada.

¿Por dónde empezar? Eduardo Zamora, director general de Fortinet México, plataforma de ciberseguridad líder en la industria, explica:  

  • Realice entrenamientos sobre esta problemática y desarrolle una fuerza de trabajo consciente en su empresa u organismo público. Una práctica habitual es realizar campañas de phising de prueba, buscando identificar a los empleados que son engañados y así profundizar el entrenamiento de estas personas.
  • Mantenga la higiene digital de los dispositivos con la instalación de actualizaciones de seguridad provistas por los fabricantes. Esta medida debe ser ágil para reducir la brecha de exposición.
  • Despliegue confianza cero en la red por medio de segmentación, robusteciendo la autenticación y el manejo de identidad, y analizando los eventos de seguridad en búsqueda de indicadores de compromiso.
  • Implemente soluciones de detección y respuesta. La prevención basada en firmas que tienen los antivirus en la actualidad para los dispositivos no basta y por eso es necesario sumar un software de detección y respuesta (EDR), que se focalizan en la postejecución. 

A medida que las redes se vuelven más complejas, también lo es defenderlas. Ya no es un trabajo de una solución puntual. Las opciones que permiten no solo prevenir, sino también detectar y responder de forma integrada y automatizada pueden aliviar la carga del equipo de TI y ayudar a cerrar las puertas al ransomware.

Eduardo Zamora, director general de Fortinet México.

 

Siguientes artículos

Metro Mexico City rail overpass collapses
“Encontraron su celular”: familiares desesperados buscan a víctimas de accidente de Línea 12
Por

Los familiares de las víctimas del accidente de la Línea 12 aguardaban a las afueras de los hospitales de la ciudad y la...