Skip to main content

El 'ransomware' no está fuera de control, pero los equipos de seguridad son un desastre

ID theft
(Image credit: Future)

Si lees la prensa pensarás que el número de ataques de ransomware ha aumentado considerablemente. Lo cierto es que, aunque el número de ataques con éxito ha aumentado, esto sólo indica que los equipos de seguridad no toman las medidas necesarias para proteger sus datos.

Así lo cree Optiv Security, que asegura que la inmensa mayoría de las empresas son víctimas de sus propias acciones. O falta de ellas. Esas empresas adoptan malas prácticas de ciberseguridad que las hacen propensas a los ataques de ransomware. 

James Turgal antiguo director adjunto ejecutivo de la Subdivisión de Información y Tecnología (CIO) del FBI y actual vicepresidente de Riesgo, Estrategia y Transformación Cibernéticos de Optiv — ha ayudado personalmente a muchas empresas a responder y recuperarse de estos ataques. 

Aquí le entrevistamos para entender la naturaleza del ransomware y los pasos que deben dar las empresas para protegerse.

¿Cuáles son los errores más comunes que sueles encontrar?

Cada empresa es diferente. Algunas de las organizaciones más antiguas tienen redes e infraestructuras que han evolucionado a lo largo de los años sin que la seguridad fuera una prioridad. Los equipos de TI tradicionalmente se han limitado a meter nueva tecnología [de seguridad] sin configurarla adecuadamente y/o desmantelar la tecnología antigua. 

Incluso las empresas emergentes que comienzan su vida en la nube siguen teniendo algunos servidores o infraestructuras de tecnología local que necesitan un cuidado constante.

Algunos de los errores más comunes que cometen las empresas son:

1. No hay una estrategia de parches o una estrategia que está impulsada aparte de la preocupación por la falta de disponibilidad en la red. No por la garantía real sobre la información y la estrategia de seguridad.

2. No entiende cómo es el tráfico normal en sus redes y/o confían en herramientas de software. Por lo general, muchas de ellas se solapan y están mal configuradas. La arquitectura de la red es la llave de la seguridad — o la vulnerabilidad, gracias a herramientas mal configuradas.

3. Confiar demasiado en las copias de seguridad y creer que una copia de seguridad es suficiente para protegerse contra ataques. Las copias nunca fueron diseñadas para ser la protección contra un atacante y sólo sirven para restablecer los datos en un punto del tiempo, [no para conservarlos todos]. Y además las copias de seguridad deben probarse con regularidad para garantizar que los datos están completos y no están corruptos.

A menudo vemos que las empresas han visto sus copias de seguridad cifradas por un ransomware, porque estaban alojadas en la misma red que los datos primarios. ¿Qué otros pecados capitales de este tipo ha encontrado en sus evaluaciones?

Durante mi carrera en el FBI trabajé en varias investigaciones en las que la empresa estaba tan centrada en impulsar la siguiente idea de transformación digital que se olvidaba de la seguridad de su infraestructura

Por ejemplo, he visto muchas empresas que, durante su traslado a la nube, se centran tan intensamente en la migració que descuidan los servidores y la infraestructura que se encuentran en un armario olvidado, acumulando polvo, sin parches [de seguridad] y todavía conectados a su red. 

Sólo se necesita es un puerto abierto o una vulnerabilidad sin parchear para que los atacantes la exploten. 

Estas estructuras y los repositorios de datos en la sombra son una gran vulnerabilidad. Son exactamente lo que los atacantes buscan cuando sondean los puntos débiles de la red.

Optiv trabaja con cientos de grandes empresas en el desarrollo de sus estrategias de respuesta al ransomware. ¿Cuáles son algunas de las estrategias que sugiere a todas las empresas?

La preparación es la clave para no convertirse en una víctima y es siempre preferible a ser víctima del ransomware. 

Sin embargo, las mejores estrategias de respuesta son:

1. Conoce tus redes e infraestructura (o el servicio de terceros) lo suficientemente bien para poder evaluar los daños lo más rápidamente posible. Es fundamental comprender el alcance del ataque, tener la capacidad de realizar un análisis de su raíz, recuperar el control del entorno y determinar si han robado datos y cuáles son.

2. Conoce dónde están sus datos, especialmente las "joyas de la corona" de la organización. Si estos están debidamente segmentados y tiene repositorios de respaldo con datos adecuados (limpios), responder a un ataque no es tan grave.

3. Asegúrate de tener un manual de Respuesta a Incidentes sólido (IR) que trate específicamente el ransomware. Y practica, practica, practica a hasta el nivel de la Junta Directiva.

4. Asegúrate de que contratar a los expertos: abogados externos, forenses, expertos en relaciones públicas y comunicación.

Además del refuerzo técnico, ¿deben las empresas invertir también en la mejora de su capital humano, teniendo en cuenta que la mayor parte del ransomware/malware se aprovecha del comportamiento de las personas?

Siempre he dicho que la ciberseguridad tiene que ver más con las personas que están en los teclados que con la tecnología real. 

A medida que la tecnología evoluciona, con la evolución de la inteligencia artificial (IA), el aprendizaje automático (ML) y la migración a la nube, hay que tener nuevas habilidades en el campo de juego. No importa el tamaño de las organizaciones, las empresas que buscan innovar más rápido que sus competidores están luchando por el mismo talento cualificado

Quiero enfatizar lo de "Cualificado", ya que no sólo hay una falta de personas para hacer este trabajo sino también una creciente brecha entre aquellos que se suponen entienden las complejidades de las redes modernas. 

Las lagunas en las competencias tecnológicas pueden impedir que una empresa alcance un mayor éxito. Pueden producirse impactos empresariales mucho más negativos si se cuenta con un CIO [Chief Information Office] o un CISO [Chief Information Security Officer] que está mal preparado para asegurar la organización pero que presume de que la empresa está segura en sus manos.

Usted ha estado involucrado en negociaciones con los atacantes durante mucho tiempo. ¿Cómo han evolucionado las interacciones a lo largo de los años? ¿Sabe de algún atacante que haya llevado a cabo su estrategia de doble extorsión y haya revelado datos confidenciales?

Una de las cosas que creo que las compañías pasan por alto es que tienden a pensar que estos grupos de criminales son todos independientes y compiten entre sí. 

Estas organizaciones a veces comparten datos e información sobre las víctimas. Una vez que los datos de una empresa son filtrados y publicados o vendidos en un foro de la Dark Web, otros criminales utilizarán esos datos del ataque para atrapar a más víctimas y realizar más ataques. 

Con la llegada del ransomware como servicio y los sitios de compra de malware en la "web oscura" — como Silk Road y AlphaBay — la amenaza de la doble extorsión es real. Las amenazas no proceden únicamente de organizaciones individuales, sino que a veces los grupos criminales trabajan en equipo ofreciendo servicios de malware y botnets para desplegar ese malware.

Hablando de doble extorsión, ¿cómo se puede solucionar? Me refiero a que, aunque la empresa tenga los medios para restaurar copias de seguridad y pueda retomar el control de su red, ¿cómo se asegura de que los atacantes no revelen los datos que han capturado?

La amenaza de la doble extorsión es real, pero con los ataques de ransomware siempre ha existido la amenaza [de que] los ciberdelincuentes filtren los datos extraídos de la víctima, así que no veo esa amenaza como algo realmente nuevo. 

Ya han pasado los días en los que podías ser víctima de un ciberataque, pagar el rescate y/o restaurar tus sistemas y no revelar lo que ha pasado. Los requisitos y la futura legislación dictarán la transparencia y la divulgación [de los ataques].

¿Qué opina del reciente anuncio de la compañía de seguros AXA de retirar la cobertura contra el ransomware a sus clientes franceses? ¿Es una estrategia eficaz para disuadir los ataques?

Creo que el movimiento de AXA se basa en su visión de los desafíos en el mercado actual de los ciberseguros, y está relacionado con la presión de la competencia en el campo regulatorio y de la aplicación de la ley. 

Hay casos en los que he trabajado en los que los criminales buscan intencionadamente infraestructura y datos de víctimas con un ciberseguro. Algunos atacantes utilizan los datos del propio sistema de la víctima para comunicar que no hay razón para no pagar porque están asegurados. 

Se puede argumentar que el ciberseguro envalentona a los atacantes, por lo que limitar los pagos y la cobertura podría desalentar futuros ataques. 

Creo que la tendencia y la respuesta más probable será limitar los importes de los pagos por ransomware y, desde luego, exigir a los titulares de las pólizas que tengan y mantengan un mayor nivel de madurez cibernética, que realicen evaluaciones de riesgo mejores y más periódicas, y que adapten más estrechamente la cobertura a las amenazas. Esto es, en mi opinión, la mejor manera de responder a la ciberextorsión que simplemente no ofrecer seguros.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.