Skip to main content

Por qué los backups ya no protegen contra el 'ransomware'

security
(Image credit: Shutterstock / binarydesign)

En el pasado las copias de seguridad periódicas del sistema han sido una de las defensas clave de las organizaciones contra los ataques de ransomware — los ataques de hackers que secuestran tus datos con un cifrado que sólo abren si les pagas un rescate. 

Con ellas, las organizaciones podían restaurar sus sistemas rápidamente sin tener que pagar el rescate. Desgraciadamente, aunque las copias de seguridad periódicas siguen siendo una práctica necesaria y prudente, éstas ya no proporcionan la protección contra el ransomware que antes ofrecían.

Acerca del autor

Craig Lurey es el CTO de Keeper Security

De "cifrar y exfiltrar" a "exfiltrar y extorsionar"

Durante años, los ataques de ransomware se han diferenciado de los ataques normales en que no se ponían en peligro tus archivos. Los ciberdelincuentes bloqueaban tus sistemas y pedían un rescate, normalmente en Bitcoin, a cambio de proporcionar una clave de cifrado.

Pero a medida que el ransomware ha ido evolucionando, los ciberdelincuentes se han dado cuenta de que su nivel de acceso a la red también les permitía sortear los archivos de copia de seguridad que se interponían entre ellos y su rescate. Así surgió la doble extorsión, también conocida como "encriptación y exfiltración": además de cifrar los archivos de las víctimas, los ciberdelincuentes también los roban y amenazan con venderlos o hacerlos públicos si la víctima no paga el rescate.

Estos ataques se han disparado desde que surgieron a finales de 2019. Un estudio reciente de Coveware encontró que el 77% de los ataques de ransomware vienen también una amenaza de filtrar los datos exfiltrados. Encima, los criminales se están alejando del modelo de "cifrar y exfiltrar" y empezando a adoptar el de "exfiltrar y extorsionar."

Por ejemplo: el prolífico grupo de ransomware REvil robó recientemente datos y planos de varios productos de Apple todavía en preparación, y luego amenazó con venderlos si no recibían un rescate de 50 millones de dólares.

Aún peor: este tipo de ataques va a aumentar gracias al "ransomware como servicio" (RaaS). El RaaS permite a estos ciberdelincuentes vender suscripciones a "soluciones" de ransomware del mismo modo que los desarrolladores legítimos venden productos legales. Los desarrolladores de RaaS ganan dinero a través de comisiones de cada extorsión exitosa. El RaaS, en definitiva, reduce drásticamente la barrera de entrada a la ciberdelincuencia, ya que está abierto incluso a personas con pocos o ningún conocimiento técnico.

A por negocios de tamaño mediano

Los ciberdelincuentes se dirigen cada vez más a pequeñas y medianas empresas (PYMES), que pueden ser proveedoras de grandes empresas. Las grandes empresas pueden permitirse el lujo de endurecer sus defensas de seguridad contra los ataques, pero muchas pymes no tienen el presupuesto necesario y se convierten así en objetivos fáciles.

En 2019, las PYMES fueron víctimas del 60% de los ataques ransomware. Un estudio de Coveware concluyó que el 77% de las víctimas de ransomware tienen 1000 empleados o menos. Especialmente afectados son los servicios profesionales (como bufetes de abogados), de atención médica y organizaciones del sector público. Todos ellos reciben casi la mitad de todos los ataques.

Cómo proteger tu organización

Según ese informe, casi la mitad de los ataques de ransomware comienzan con ciberdelincuentes que acceden a los servicios de escritorio remoto (RDP), con credenciales robadas, adivinando contraseñas predeterminadas o comunes, o explotando vulnerabilidades no parcheadas. 

El segundo vector de ataque más común, que representa un 25% de los ataques, es el phishing por correo electrónico.

Esto es una buena noticia. La abrumadora mayoría de los ataques de ransomware con éxito usan el robo o la adivinación de credenciales de inicio de sesión: más del 80% de las violaciones de datos exitosas. Cualquier organización puede reforzar drásticamente sus defensas de seguridad simplemente haciendo más seguras las credenciales de usuario usando mejor seguridad de contraseñas y sistemas de gestión de la identidad y la autenticación (IAM).

Estos son los cinco pasos que hay que dar ahora mismo:

  1. Instala una arquitectura de seguridad de confianza cero, en la que todos los usuarios, humanos y máquinas, se verifican y autentifican antes de permitirles el acceso a los recursos de la organización. La confianza cero, que ha ido ganando popularidad durante años, se está disparando ahora debido al Covid y el trabajo a distancia. Es el único modelo que garantiza que todos los que se conectan a la red de la organización son quienes dicen ser.
  2. Exige a los empleados que utilicen contraseñas fuertes y únicas para todos los sitios web y aplicaciones. Esto protege a la organización contra las brechas causadas por contraseñas débiles y fáciles de adivinar en otros sitios web.
  3. Exige el uso de la autenticación multifactor (2FA) en todas las cuentas que la admitan. Incluso si un ciberdelincuente consigue hacerse con una contraseña que funcione, el factor de autenticación le parará los pies.
  4. Implanta una plataforma de seguridad y cifrado de contraseñas de corporativo en toda la organización. Estas plataformas son más robustas que los gestores de contraseñas para consumidores aunque ambos tipos de soluciones generan y almacenan automáticamente contraseñas fuertes y únicas. Las soluciones de nivel empresarial tienen características adicionales que permiten a los administradores del sistema aplicar políticas de seguridad de contraseñas en toda la empresa.
  5. Combina la plataforma de seguridad y cifrado de contraseñas con una solución de supervisión de la web oscura. Estas soluciones escanean los foros de la Dark Web y notifican a las organizaciones si alguna contraseña de su empresa se ha visto comprometida por los hackers. Esto permite a los administradores del sistema forzar el restablecimiento de las contraseñas de inmediato para toda la organización, lo que minimiza el riesgo de ataques al reducir el tiempo de utilización para violar los sistemas de la empresa, exfiltrar datos y plantar su malware.

Eso son sólo los pasos fundamentales. El ransomware está evolucionando agresivamente y las organizaciones deben ser igualmente agresivas para combatirlo. Como la mayoría de los ataques de ransomware implican el robo de credenciales de inicio de sesión, las organizaciones que implementan una seguridad integral de contraseñas y un modelo de seguridad de confianza cero e IAM, tienen  menos probabilidades de ser víctimas de estos ataques.

Craig Lurey is CTO at Keeper Security