El ransomware ocupa continuamente los titulares por las tácticas de choque que identifican a este tipo de ciberataque. Ataques como la infección por ransomware de Colonial Pipeline provocaron un impacto en el mundo real, afectando al acceso al combustible de 50 millones de personas en Estados Unidos.
Otros, como el ataque de ransomware a Acer, tienen peticiones de rescate tan importantes, 50 millones de dólares en el caso de Acer, que el mundo se sienta a escuchar.
El ransomware, sin embargo, no es solo un problema para una empresa de alto perfil. Un informe de 2022 de Cyberedge Group reveló que el 71% de las empresas se vieron afectadas por el ransomware en 2021.
El ransomware hace ganar una fortuna a las bandas de ciberdelincuentes que lo utilizan. Chainanalysis estima que las bandas de ransomware ganaron alrededor de 692 millones de dólares en criptomoneda en 2020.
Es probable que los grandes pagos derivados de la ciberdelincuencia, como el ransomware, provoquen nuevos ataques en el horizonte. Entonces, ¿cómo previene la empresa media los ataques de ransomware?
Las cinco mejores formas de prevenir los ataques de ransomware
El ataque del ransomware Colonial Pipeline comenzó con una contraseña comprometida publicada en un sitio web oscuro. Lo más probable es que esta contraseña estuviera en la dark web porque fue robada durante un ataque de phishing. El pirateo de una cuenta de empleado es la puerta de entrada a un sistema operativo, y los ataques de phishing proporcionan una forma muy eficaz de acceder a las credenciales de inicio de sesión, utilizando enlaces o archivos adjuntos maliciosos.
El Informe de Verizon sobre la investigación de fugas de datos (DBIR) de 2021 atribuye el 61% de las fugas a credenciales comprometidas. El mismo informe relaciona un tercio de estas violaciones con el phishing. Un hacker no tiene que comprometer la cuenta de un administrador de red para obtener acceso privilegiado. Si el hacker tiene las credenciales de un empleado, puede acumular privilegios de acceso una vez dentro de la red.
Los hackers lo hacen mediante una técnica conocida como "movimiento lateral"; el hacker utiliza vulnerabilidades en otro software, como el protocolo Kerberos y Active Directory, para escalar sus privilegios hasta tener las llaves del castillo y poder instalar el ransomware (y robar datos) a voluntad.
En la cadena de eventos que conducen a una infección de ransomware es donde entran en juego las mejores prácticas. Si puedes construir capas preventivas a lo largo de esa cadena de ataque, puedes detener al hacker de ransomware en su camino.
He aquí cinco de las mejores maneras de prevenir los ataques de ransomware:
Buena práctica 1: Ejercicios de phishing simulados
Esta buena práctica es la base que puede detener el ransomware antes de que se convierta en un incidente. El phishing está evolucionando hacia tácticas cada vez más sofisticadas, y el spear-phishing lo es aún más.
Por ejemplo, muchos ataques de ransomware se dirigen a un tipo específico de usuario o empleado. Los atacantes utilizarán entonces el tipo de lenguaje típicamente utilizado en los intercambios de correo electrónico con ese individuo para manipular su comportamiento. Los ejercicios de simulación de phishing deben reflejar este nivel de sofisticación y proporcionar plantillas basadas en roles para crear falsos mensajes de spam.
Buena práctica 2: Formación holística de concienciación sobre la seguridad
La suplantación de identidad y la ingeniería social ofrecen puntos de entrada en una red al proporcionar un mecanismo para robar las credenciales de acceso. La formación en materia de concienciación sobre la seguridad es otra capa fundamental de la prevención del ransomware que inculca a los empleados la importancia de los buenos comportamientos en materia de seguridad.
La higiene de la seguridad, como crear buenas contraseñas y no compartir información en exceso en las redes sociales, ayuda a desarrollar una capa proactiva en torno a una organización. Con el phishing simulado basado en roles, la formación en concienciación sobre seguridad es la protección contra el ransomware más eficaz para ayudar a crear una cultura de la seguridad.
Buena práctica 3: confianza cero y mínimo privilegio
Los usuarios con privilegios pueden ser un objetivo muy eficaz para los atacantes de ransomware. Como tales, atraen a los ciberdelincuentes como abejas a la miel. Tanto es así, que dos tercios de las empresas consideran que los usuarios privilegiados son su mayor amenaza interna. Por lo tanto, los usuarios privilegiados deben ser considerados como un grupo y formados adecuadamente en los tipos de phishing e ingeniería social a los que están más expuestos.
Además, una organización debe establecer una estrategia para tratar a estos usuarios privilegiados y el acceso a las cuentas. El principio de "mínimo privilegio" debe constituir el marco de esta estrategia. Esto encaja con un modelo de seguridad de confianza cero en el que nunca se confía y siempre se verifican los intentos de acceso para controlar ese acceso a un nivel granular.
La seguridad de confianza cero funciona junto con tecnologías habilitadoras como la gestión de identidades y accesos (IAM) y las reglas que activan estas medidas para aplicar controles y medidas sólidas, como exigir una autenticación adicional para acceder a los recursos sensibles.
Buena práctica 4: Asegúrese de incluir a los trabajadores remotos en su estrategia de prevención del ransomware
La pandemia de Covid-19 normalizó el modelo de trabajo híbrido, en el que a veces trabajamos desde casa. El trabajo a distancia cambia la dinámica de seguridad, lo que puede dar ventaja a los ciberdelincuentes. Sin embargo, enfoques y medidas específicas dan la vuelta a la tortilla para que los hackers puedan extorsionar a los trabajadores a domicilio.
Una de ellas es utilizar una VPN (Red Privada Virtual) segura . Una VPN extiende la seguridad del perímetro de una red a la oficina doméstica. Una VPN segura cifra los datos enviados a través de conexiones Wi-Fi potencialmente inseguras para evitar que información como datos personales o credenciales de inicio de sesión sean interceptados por un pirata informático. Una VPN también puede utilizarse para garantizar la seguridad del acceso a las aplicaciones corporativas.
Además de una VPN segura, las oficinas domésticas deben ser evaluadas para detectar posibles brechas de seguridad, como impresoras domésticas inseguras. Además, los trabajadores a domicilio deben recibir una formación mejorada de concienciación sobre la seguridad que refleje su entorno de trabajo.
Buena práctica 5: Asegure su red según una norma de seguridad y realice evaluaciones periódicas
Varios marcos y normas de seguridad ofrecen consejos para reforzar la seguridad y proteger los puntos finales.
El Instituto Nacional de Normas y Tecnología (NIST) ha publicado un perfil de marco de seguridad cibernética para la gestión de riesgos de ransomware. Actualmente está en fase de borrador, pero es un buen recurso para obtener consejos sobre la prevención de un ataque de ransomware. El documento se basa en las cinco Funciones del Marco de Ciberseguridad (también del NIST):
- Identificar
- Proteja
- Detectar
- Responder
- Recuperar
El marco incluye nuestras cinco mejores prácticas para remediar el riesgo de ransomware.
La ISO27001 es una norma de seguridad internacional que guía el desarrollo de un SGSI (sistema de gestión de la seguridad de la información). La ISO27001 utiliza un enfoque holístico de la seguridad que entrelaza a las personas, los procesos y la tecnología; este marco abarca los exploits de todo el panorama de amenazas e incluye la ingeniería social y los exploits técnicos.
Los marcos y las normas sientan las bases para garantizar la aplicación de las mejores prácticas de seguridad. También disponen de directrices sobre la evaluación de estas medidas que incluyen la concienciación de los empleados en materia de seguridad y la higiene de la seguridad.
El ransomware es una grave amenaza para todas las empresas. Sin embargo, la mitigación del ransomware se puede lograr utilizando nuestras cinco mejores prácticas y siendo sistemáticos para cerrar la puerta a esta ciberamenaza tan preocupante.