Pagar por el ransomware es financiar el crimen, ¿cómo las organizaciones pueden romper el ciclo?
Edwin Weijdema, Tecnólogo Global de Veeam.
Los ataques de ransomware han dominado los titulares en los últimos dos años y seguirán controlando la agenda de la ciberseguridad en 2023. Mientras que las bandas de ransomware siguen teniendo éxito a la hora de extorsionar a las empresas, las que pagan las demandas están financiando la industria de este tipo de ciberataques y fomentando la delincuencia. Con el aumento de los ataques en áreas como las infraestructuras críticas y la salud, se ha convertido en algo más que un problema de las organizaciones. ¿Cómo hemos llegado hasta aquí, cuáles son las implicaciones más allá del mundo corporativo y qué deben hacer para romper el ciclo?
Cómo el ransomware democratizó el robo de datos
La ciberdelincuencia existe desde la década de 1980 y, desde entonces, la industria de la ciberseguridad no ha dejado de evangelizar (o ” sembrar el miedo”, según a quién se pregunte) sobre las ciberamenazas. En los últimos cinco años, sin embargo, las cosas se han puesto realmente difíciles, con un asombroso 90% de organizaciones afectadas por ransomware sólo en el último año. Aunque la creciente digitalización global ha sido un factor clave, el principal factor es que los delincuentes han encontrado una forma eficaz de rentabilizar la ciberdelincuencia: el ransomware. Los métodos para instalar ransomware en un dispositivo, como el phishing o las URL maliciosas, no han cambiado mucho.
Pero el beneficio económico siempre ha sido uno de los principales motivos de los ciberdelincuentes, así que ¿por qué se ha tardado tanto en llegar a este punto? La respuesta pone de relieve las implicaciones más oscuras de las nuevas innovaciones digitales, ya que las nuevas tecnologías han proporcionado a los grupos de piratas informáticos el vehículo de escape perfecto para sus delitos. Las criptomonedas como el bitcoin, y la tecnología blockchain que las asegura, proporcionan un método fiable y casi imposible de rastrear para extorsionar dinero. Esto ha convertido a los grupos de ciberdelincuentes en máquinas de hacer dinero, en empresas por derecho propio. El término “banda” oculta lo sofisticadas que pueden llegar a ser estas organizaciones; documentos filtrados a principios de año mostraban cómo Conti, uno de los grupos de ransomware más notorios del planeta, tiene un departamento de RRHH, evaluaciones de rendimiento e incluso un “empleado del mes”.
Una visión general
Más allá del daño financiero y reputacional de primera mano causado por los ataques de ransomware, hay que tener en cuenta un panorama más amplio. La ciberdelincuencia es una industria que cuenta con especialistas experimentados y proveedores especializados de productos y servicios, e incluso se ha modernizado hasta el punto de que los productos RaaS (Ransomware-as-a-Service) pueden adquirirse por suscripción. Como cualquier industria, necesita beneficios para crecer, expandirse y desarrollarse. Pagar las exigencias del ransomware echa más leña al fuego, y no sólo las empresas se verán envueltas en las llamas.
Gobiernos, hospitales e infraestructuras críticas como transportes y escuelas son víctimas cada vez más de ataques de ransomware. Los ataques a hospitales se están volviendo alarmantemente comunes en Estados Unidos y Europa, y el mes pasado el gobierno de Estados Unidos convocó a más de 30 países a unirse para hacer frente a los continuos ataques de ransomware a infraestructuras críticas. No se trata sólo de ciberataques a naciones (un tema aparte, aunque las fronteras son cada vez más difusas), sino de los mismos ciberdelincuentes que atacan a las empresas. Dos bandas afiliadas a Conti, el grupo mencionado anteriormente, han atacado sectores de infraestructuras críticas en Europa, como el energético y el farmacéutico.
Aunque muchos grupos afirman que no atacan infraestructuras críticas por razones éticas o por temor a repercusiones diplomáticas, el ransomware es indiscriminado: los métodos utilizados pueden ser de gran alcance, y los servicios públicos pueden verse fácilmente atrapados en él. De hecho, el número y la gravedad de los ataques de ransomware están alcanzando un punto crítico. Dado que afectan a organizaciones grandes y pequeñas, públicas y privadas de todo el mundo, protegerse y no pagar el rescate son pasos fundamentales para poner fin a la crisis. También es justo decir que las organizaciones tienen la responsabilidad corporativa de evitar pagar las peticiones de rescate y financiar nuevos delitos. Pero ¿cómo pueden abordarlo las compañías?
Qué deben hacer las empresas
Podría parecer que el peso del mundo recae sobre los hombros del equipo de ciberseguridad de una organización, y aunque no se puede negar que están sometidos a una enorme presión debido al ransomware, no podemos detenerlo en su origen. En cambio, las organizaciones deben protegerse a sí mismas y ayudar a detener el flujo de dinero (criptográfico) de esta industria criminal.
La prevención del ransomware requiere una combinación de personas, procesos y tecnología. También es importante destacar que, a pesar de lo que la gente pueda pensar, el mundo digital y el mundo real no son tan diferentes. Las ventanas abiertas deben cerrarse con llave por la noche (sistemas de parcheo), dos cerraduras son mejor que una (autenticación multifactor), los objetos o la información vitales deben guardarse bajo llave (protección de datos) y los mayores riesgos de seguridad suelen ser las personas y el personal (amenazas internas o incumplimiento de los procesos).
Sin embargo, aunque la prevención es un elemento clave en esta misión, y evitar por completo un ataque siempre será más barato que hacerle frente, tampoco es realista esperar que las empresas eviten todos los ataques a escala. La responsabilidad no es que las empresas eliminen por completo los ataques de ransomware exitosos, sino llegar a un punto en el que, incluso en el caso de un ataque exitoso, la compañía se encuentre en una posición en la que no necesite pagar las demandas: pueden decir “no” al ransomware.
Esta última línea de defensa son los procesos de backup y recuperación puestos en marcha. Las amenazas de ransomware pueden ignorarse cuando una organización dispone del backup de los datos críticos con la que restaurar el sistema cifrado. Sin embargo, no todas las copias de seguridad son iguales. A medida que el ransomware y los ciberdelincuentes se han vuelto más sofisticados, éstos atacan ahora activamente los repositorios. Según un estudio realizado este año, el 94% de los ataques de ransomware iban dirigidos a estos, y el 68% de ellos tuvieron éxito.
La antigua regla del backup era mantener tres copias de los datos, en dos tipos diferentes de soportes, con una almacenada fuera de las instalaciones (la conocida como regla 3-2-1). Esa copia externa se utilizaba en caso de desastre físico, como un incendio o una inundación. Sin embargo, el ransomware es mucho más común hoy en día, por lo que, además de una copia externa, las estrategias de backup modernas deberían incluir una copia offline, air-gapped (inalcanzable) o inmutable (inalterable). Con esto y un sólido proceso de recuperación (diseño para la recuperación), una empresa puede resistir y recuperarse de forma segura de los ataques de ransomware sin ni siquiera plantearse pagar un rescate.
Poner fin al ciclo
El ransomware ha democratizado el robo de datos y ha convertido la ciberdelincuencia en una industria rentable y en desarrollo como nunca habíamos visto. Aunque no es responsabilidad de las empresas abordar o resolver activamente este problema en su origen, sí tienen el deber de cuidar a otras organizaciones e infraestructuras críticas de todo el mundo para no avivar el fuego. Los organismos gubernamentales trabajan ahora para encontrar soluciones al problema (si es que se puede encontrar alguna), pero las empresas deben invertir en la prevención del ransomware para protegerse de enormes daños económicos y de la posibilidad de financiar nuevos delitos.