Todo parece indicar que los ataques de ransomware seguirán en aumento en Chile y el mundo. Recientemente, el Servicio Nacional del Consumidor (SERNAC), el Poder Judicial y las FF.AA. fueron víctimas de este tipo de malware.
Como es habitual, los ciberdelincuentes detrás de esos actos cifraron una gran cantidad de archivos y solicitaron un rescate a cambio de su liberación, fijando un plazo para el pago de éste y bajo la amenaza de publicar la información secuestrada en la Dark Web, en caso que ello no ocurra.
Francisco Fernández, gerente general de AVANTIC, comenta que un ransomware es un tipo de malware o programa malicioso que busca infectar un computador o servidor, cifrando sus archivos mediante una técnica criptográfica y cuyo objetivo es exigir un pago de dinero para normalizar el funcionamiento del sistema.
Etapas del ataque
El ejecutivo manifiesta que, al menos, son cuatro las fases que comprende un incidente originado por un ransomware y que, en general, se cree que es un archivo malicioso que se detiene sólo con un antivirus, pero la realidad indica que se trata de un ataque.
En la primera de ellas, los delincuentes informáticos deben acceder a una cuenta de usuario válido dentro de la organización (credencial), objetivo que puede lograrse mediante prácticas como el phishing o la ingeniería social, por ejemplo.
“Una segunda etapa consiste en usar esa credencial vulnerada en la infraestructura de red que está comprometida. Esto se traduce en que dicha cuenta escale privilegios, permitiendo a los ciberdelincuentes tomar el control de la plataforma del cliente en pocos minutos, con lo cual pueden acceder a los servidores que almacenan la información confidencial”, sostiene Francisco Fernández.
La tercera fase, añade, implica desactivar las herramientas de seguridad informática de la organización y ejecutar el ataque, ya sea para robar información sensible (archivos), paralizar un área o cometer un fraude en dinero.
Finalmente, la cuarta etapa se traduce en lanzar el ransomware que permita encriptar los archivos para, posteriormente, exigir el pago de un rescate por su liberación.
Cómo evitar ser víctima
Al respecto, el gerente general de AVANTIC entregó algunas medidas orientadas a las organizaciones, tales como prohibir las conexiones innecesarias a servicios de escritorio remoto desde redes públicas y utilizar siempre contraseñas seguras para dichos servicios; instalar todos los parches disponibles para las soluciones VPN usadas con el fin de conectar trabajadores remotos a la red corporativa; actualizar el software en todos los dispositivos conectados para evitar la explotación de vulnerabilidades; enfocar la estrategia de defensa en la detección de movimientos laterales y exfiltración de datos, con especial atención a todo el tráfico saliente; realizar copias de seguridad de los datos con regularidad y, en caso de emergencia, tener acceso a ellas; aprovechar los datos de inteligencia de amenazas para mantenerse actualizado sobre tácticas, técnicas y procedimientos de ataque; utilizar soluciones de seguridad de EDR e idealmente acompañada por un servicio Managed Detection and Response (MDR), el cual permite que especialistas puedan gestionar las alertas y ayudar a detener los ataques desde el principio; capacitar a los empleados para que se preocupen por la seguridad del entorno empresarial; y emplear una solución confiable para la protección de endpoints que contabilice las vulnerabilidades y detecte comportamientos anómalos, y pueda revertir cambios maliciosos y restaurar el sistema.
¿Por qué las empresas sufren ataques pese a tener múltiples tecnologías?
El experto de AVANTIC explica que esto se debe a que las organizaciones no están gestionando alertas para nada, o sólo tienen una mirada desde la tecnología y no desde el punto de vista del atacante. Para resolver estas problemáticas, agrega, las instituciones requieren de la detección y respuesta temprana de amenazas.
“Nuestra compañía ha desarrollado un servicio con un proveedor de clase mundial que monitorea la actividad de los usuarios y la red, y realiza caza e inteligencia de amenazas. Mediante inteligencia artificial detecta en forma temprana las amenazas con el fin de que éstas no se traduzcan en un incidente que paralice a la empresa”, señala Francisco Fernández.
Dentro de los principales beneficios de este servicio destaca que permite saber siempre qué amenazas son reales y comprender su gravedad, qué acciones tomar y cuándo; simplifica la ciberseguridad con una claridad total y rápida, incluso en las situaciones más complejas, para tomar las decisiones empresariales correctas y rápidamente; genera un ahorro de costos significativo, ya que se reduce radicalmente el tiempo de inactividad de las funciones críticas de la empresa, como la facturación, la producción o el servicio de atención al cliente; no requiere inversión inicial, implementación larga y maduración; una vez conectado es monitoreado a través de más de 2000 algoritmos de detección e inteligencia artificial; no requiere de un equipo especialista en respuesta de incidente ni estructura 7×24 por parte del cliente; y evita la fatiga de alertas.
