El 51% de las organizaciones no tienen un plan formal contra el ransomware: ¿eres una de ellas?
El reciente Informe Thales sobre Amenazas a los Datos 2023 reveló que el 51% de las organizaciones no tienen un plan formal contra el ransomware.
También destacó el error humano como causa principal de las violaciones de datos, la creciente importancia de la soberanía digital y los retos a los que se enfrenta la seguridad de los entornos multicloud.
También reveló que el 49% de los profesionales de TI informaron de un aumento de los ataques de ransomware, y el 22% de las organizaciones han experimentado esta acción delictiva en los últimos 12 meses.
El ransomware paraliza las operaciones empresariales y bloquea el acceso a datos críticos hasta que se resuelve el ataque, lo que supone una gran amenaza para las organizaciones en términos de coste y reputación.
Además de los controles perimetrales existentes, se necesita un enfoque centrado en los datos para proteger los datos críticos de la encriptación por procesos no autorizados.
Sin duda, a medida que aumenta la tecnología, los ataques se vuelven más sofisticados. Un ejemplo es la Inteligencia Artificial Generativa (IA), que se utiliza para aumentar el volumen y el nivel de éxito de estos ataques.
Así que el escenario que estamos viviendo en la era digital va a cambiar mucho en todos los sentidos. La forma en que navegamos por la web, utilizamos las aplicaciones y protegemos los datos de los clientes. Y, sobre todo, nuestra perspectiva sobre la ciberseguridad.
Así que nos queda un largo camino por recorrer para cambiar la clave: pasar de una actitud reactiva a una proactiva, utilizando herramientas especializadas en estrategias de detección y respuesta a las ciberamenazas, gestión de identidades y accesos, formación y concienciación de los empleados.
Queremos que empieces por reflexionar sobre estas cuestiones:
- ¿Por qué mi empresa no tiene un equipo que se ocupe de los datos y la seguridad digital?
- ¿Cuántas veces has comprobado que el mundo digital de tu empresa es seguro?
- Si ahora un ciberdelincuente quisiera utilizar un ransomware contra tu empresa, ¿podría hacerlo?
Este artículo es una llamada de atención para ti. También una solución para prepararse estratégicamente contra los ataques de ransomware.
La cuestión crucial para una empresa no es si podría ser objeto de un ataque, sino inevitablemente cuándo ocurrirá y si estará preparada para mitigar los daños de ese ataque. Por eso es importante tener un plan de respuesta sólido para mitigar rápidamente los daños cuando llegue ese día. Con la velocidad constante del progreso tecnológico, las medidas de seguridad perimetral por sí solas no están siendo eficaces. Aquí es donde la importancia de la criptografía pasa a primer plano, actuando como un poderoso escudo en la última línea de la ciberdefensa. Es en este escenario donde el Cifrado Transparente de CipherTrust se convierte en un componente vital, aportando el poder del cifrado y desempeñando un papel esencial para mitigar el daño potencial de un ciberataque. 
¿Qué es el ransomware?
Recordemos el concepto de este ataque. La palabra “rescate” en inglés significa ransom. Por eso su función principal es bloquear el ordenador y pagar el rescate para desbloquearlo.
Así, el ransomware es un software malicioso (un tipo de malware) que accede al dispositivo para robar datos e información de todo el sistema operativo o sólo de unos pocos archivos. La cantidad robada depende de la intención del delincuente.
Como hemos mencionado anteriormente sobre la IA, en estos ataques se han utilizado algoritmos avanzados precisamente para identificar todas las características del objetivo. Por ejemplo, de cuánto se dispone en la cuenta bancaria para exigir la cantidad de la extorsión. Entre otras vulnerabilidades específicas en redes y sistemas.
Lo que ha llamado la atención de los expertos en el campo de la ciberseguridad es hasta qué punto los delincuentes están actualizando sus tácticas y tecnologías. Pero las empresas no están reforzando y utilizando paralelamente soluciones innovadoras y tecnológicas al mismo nivel para protegerse.
¿Cuáles son los tipos de ransomware?
Hay dos categorías principales de ransomware: de bloqueo y de encriptación. Comprueba la diferencia entre ellos:
Bloquear el ransomware:
Este tipo de ransomware impide a los usuarios realizar funciones básicas del ordenador. Por ejemplo, se puede denegar el acceso al escritorio, mientras que las funciones del ratón y del teclado se desactivan parcialmente.
Así que sigue interactuando con la ventana que tendrá la nota de rescate. El ransomware Lockdown no se dirige a archivos críticos, sino que inutiliza todo el sistema. Así que la destrucción de archivos tiene una probabilidad baja.
ransomware de encriptación:
El objetivo es encriptar tus documentos, como fotos, vídeos y audio. Pero las funciones del ordenador no cambiarán. Generalmente, esto puede causar más pánico porque los usuarios no pueden ver los documentos y no saben cómo los delincuentes pueden aprovecharse del contenido.
A veces hay una cuenta atrás para el pago del rescate: “Tienes hasta x fecha para pagar o se borrarán tus archivos”.
Debido a la falta de concienciación sobre la importancia de hacer copias de seguridad en servicios de almacenamiento en la nube o en dispositivos externos, muchas víctimas pagan el rescate para recuperar sus datos.
Ransomware: Escenario actual
Pandilla Akira
¿Sabías que la banda Akira, formada en 2023, ya ha obtenido más de 42 millones de dólares en pagos de rescates de más de 250 víctimas de todo el mundo?
Eran empresas privadas y públicas de diversos sectores, como el inmobiliario, el financiero y el educativo.
Según el FBI, la banda exige rescates que oscilan entre 200.000 y varios millones de dólares. El grupo crea e implementa un criptógrafo Linux. De este modo, explota las máquinas virtuales VWware ESXi, que se utilizan en muchas empresas y organizaciones gubernamentales.
Sin embargo, las primeras versiones se desarrollaron en C++, que recientemente se cambió a Rust con una extensión .poweranges para la criptografía.
Uno de los últimos objetivos del ransomware fue la Universidad de Stanford y la filial de Nisan en Oceanía.
Pistola de chatarra
No pienses que sólo las grandes empresas pueden sufrir este ataque. Pues bien, ahora existen versiones dirigidas a las pequeñas y medianas empresas (PYME), como Junk Gun.
Junk Gun es un tipo de ransomware de baja calidad que ha ido ganando terreno en la web oscura. Esta opción se produce de forma independiente y es menos sofisticada. Además, se vende a un precio único, lo que lo convierte en una oportunidad para que los ciberdelincuentes se dirijan a PYMES y usuarios.
Muy diferente del modelo tradicional de ransomware como servicio (RaaS) basado en afiliados que dominó el mercado durante una década. Sin embargo, algunos de estos ecosistemas han desaparecido y otros afiliados han expresado su descontento con el sistema de beneficios RaaS.
El precio medio de estas variantes de Junk Gun es de 375 US$, más barato que un RaaS, que cuesta unos 1.000 US$. Los argumentos de venta son que el producto necesita poca infraestructura de apoyo para funcionar y que los usuarios no están obligados a compartir sus beneficios con los creadores de la estafa.
IA
La Inteligencia Artificial ha traído la innovación a todos los campos, incluidos los ataques de ransomware. Con esta tecnología, los ciberdelincuentes pueden personalizar sus delitos. En otras palabras, adaptan sus planteamientos en función de las características y debilidades de cada objetivo, sin perder tiempo.
Además, la IA se utiliza para automatizar parte del proceso de ataque. Por tanto, son más rápidas y eficaces, aumentando el impacto y la escalabilidad de estas operaciones.
A Sequoia, una gran empresa de logística, utilizó el Cifrado Transparente de CipherTrust para proteger sus datos contra los ataques de ransomware. Mira el vídeo.
Etapas de un ataque de ransomware
I
nfección inicial
El ransomware entra en el sistema a través de correos electrónicos de phishing, sitios web comprometidos o vulnerabilidades de software.
Post-explotación
Tras el acceso, los atacantes pueden utilizar herramientas como RATs o malware para establecer un acceso interactivo.
Comprender y ampliar
Los atacantes explotan el sistema para encontrar acceso a otros dominios y sistemas, lo que se denomina movimiento lateral.
Recogida y exfiltraciónIdentificar datos valiosos (credenciales de acceso, información personal de los clientes y propiedad intelectual) para robarlos. Suelen descargar o exportar una copia.
Ejecución y envío del rescate:
El ransomware cifra los archivos y desactiva las funciones de restauración, exigiendo un pago en criptomoneda a cambio de la clave de descifrado, comunicándolo normalmente mediante una nota de rescate.
¿Cómo protegerte del ransomware?
Sí, es posible proteger a tu empresa de estas acciones delictivas. Tenemos consejos prácticos y valiosos, así como una herramienta que
Sensibilización y formación:
Educa a los empleados sobre los peligros del ransomware, cómo reconocer e informar de posibles amenazas. Enséñales buenas prácticas de ciberseguridad, como no hacer clic en enlaces sospechosos ni abrir archivos adjuntos de correos desconocidos.
Actualizaciones y parches:
Mantén todos los sistemas operativos, aplicaciones y programas actualizados con los últimos parches de seguridad. Esto ayuda a corregir vulnerabilidades conocidas que los piratas informáticos pueden explotar.
Cortafuegos y Antivirus:
Instala y mantén actualizados cortafuegos y antivirus en todos los dispositivos. De este modo, pueden ayudar a detectar y bloquear las amenazas de ransomware antes de que se conviertan en un problema.
Filtrado de correo electrónico y contenidos:
Utiliza filtros de correo electrónico y soluciones de seguridad de pasarela web para bloquear los correos electrónicos de phishing y los sitios web maliciosos que pueden distribuir ransomware.
Restricciones de privilegios:
Aplica el “principio del menor privilegio”, asegurándote de que los usuarios sólo tienen los permisos que necesitan para desempeñar sus funciones. Esto reduce el impacto de un ataque de ransomware al limitar la capacidad del malware para propagarse por la red.
Copias de seguridad periódicas y almacenamiento seguro
:
Haz copias de seguridad periódicas de todos los datos importantes y guárdalas en lugares seguros, desconectados de la red siempre que sea posible. Esto permite restaurar los datos sin pagar el rescate en caso de que un ataque de ransomware tenga éxito.
Plan de Respuesta a Incidentes:
Desarrolla y prueba un plan de respuesta a incidentes que incluya procedimientos claros para hacer frente a los ataques de ransomware. Esto ayuda a minimizar el tiempo de inactividad y el impacto en caso de incidente.
Supervisión de la red y actividad sospechosa:
Implanta sistemas de supervisión de la red y del comportamiento para detectar actividades sospechosas o patrones inusuales que puedan indicar un ataque en curso.
Seguridad por capas:
Utiliza un enfoque estratificado de la ciberseguridad, combinando diferentes tecnologías y estrategias de defensa para protegerte contra diversas amenazas, incluido el ransomware.
Planificación de la recuperación en caso de catástrofe:
Disponer de un plan completo de recuperación en caso de catástrofe que incluya procedimientos para restaurar los sistemas y los datos tras un ataque de ransomware, minimizando así el impacto en la empresa.
Protección contra el ransomware
Eval es distribuidor oficial de Thales, que proporciona a las empresas soluciones de seguridad de datos y gestión de accesos para mitigar los ataques de ransomware.
Las soluciones de seguridad de datos y gestión de accesos tienen los componentes más esenciales del marco de ciberseguridad para proteger a las organizaciones contra el ransomware:
- Descubre los datos sensibles y clasifícalos según su riesgo.
- Implanta controles sólidos de gestión de identidades y accesos.
- Protege y controla los datos sensibles en reposo y en tránsito mediante encriptación y tokenización.
Soluciones Thales contra los ataques de ransomware
- La protección contra ransomware de
Cifrado Transparente de CipherTrust
está diseñada específicamente para supervisar la actividad del ransomware con el fin de detener los procesos maliciosos. - Protege los datos en reposo de los ataques de ransomware con la
Plataforma de Seguridad de Datos CipherTrust
. - Implanta una autenticación fuerte, acceso y gestión de identidades con
SafeNet Trusted Access
. - Identifica y clasifica los datos sensibles vulnerables en toda la infraestructura de TI híbrida con
Descubrimiento y Clasificación de Datos CipherTrust
. - Protege los datos en tránsito con
Cifradores de alta velocidad Thales
y garantiza la seguridad de los datos en movimiento.
