Cómo prevenir ataques de ransomware: urgencia en Latam

Imagina que eres el administrador de una importante empresa privada o, a saber, de un área gubernamental en un país latinoamericano. Un buen día llegas a la oficina, enciendes tu computadora y aparece este mensaje:

Miles de informaciones de tus clientes y empleados, financieras, de producto…

Ni tu personal de TI consigue hacer nada.

Y, claro, la pregunta:

¿Pagar o no pagar?

¿Qué es un ataque de ransomware?

Un ataque de ransomware consiste en cifrar datos de un sistema informático o afectar el funcionamiento de equipamientos conectados a él, exigiendo el pago de un rescate a cambio de devolver el acceso a dichos datos o el control del sistema.

Cuando se enfoca en los datos, el impacto puede ser su eliminación o divulgación pública.

Cuando lo hace en los equipamientos impide, limita o altera su funcionamiento, como cuando cifra los archivos de inicialización de una computadora o provoca un comportamiento anormal en los robots de una fábrica (en los peores casos, incluso con la intención de herir físicamente a las personas).

¿Por qué ha proliferado tanto el ransomware en Latam?

Durante los últimos años, América Latina se ha consolidado como una de las principales áreas de interés para el cibercrimen asociado al ransomware. Por ello, preguntarse cómo prevenir ataques de ransomware es imprescindible.

Por ejemplo, según datos de Kaspersky^[1], el número de ataques de ransomware dirigido a empresas aumentó un 207 % en América Latina desde el inicio de la pandemia de COVID-19 hasta 2021.

En el mismo 2021 los países más atacados en la región fueron Brasil (33 millones de ataques), Colombia (11,3 millones) y México (7 millones), de acuerdo con el Informe de Ciberamenazas 2022 de SonicWall^[2].

Como causas principales podemos citar:

Los hackers ya notaron que la región tiene fuertes déficits de ciberseguridad. Piensa en un área en la que en 2020 el 55 % de las computadoras todavía utilizaba Windows 7 y que cuenta con la tasa de uso de softwares piratas más alta del mundo (un 66 %).
Con el desarrollo acelerado de la vida digital viene también el del crimen cibernético. Por ejemplo, hoy en día ya tenemos incluso plataformas RaaS (Ransomware as a Service), que pueden ser organizaciones con decenas de personas y con toda la sofisticación de cualquier empresa de punta.

Veamos con un poco de detalle cómo actúan algunas de las RaaS más famosas:

Conti

En lo que llevamos de 2022 ya atacaron a más de 30 organismos gubernamentales. Sus ataques más notables fueron contra los Gobiernos de Costa Rica y Perú.

Para que te hagas una idea de su pericia: el gobierno de los EE. UU. ofrece una recompensa de más de 10 MUSD a quien consiga identificar a sus responsables, pero todavía opera libremente.

Y ofrece incluso un programa de afiliados. Los clientes de Conti efectúan los ataques y esta se queda con un porcentaje del dinero de los rescates.

BlackCat

BlackCat crea ataques con un altísimo grado de sofisticación e imprevisibilidad por el hecho de que un mismo ataque puede estar conducido por varios hackers, que ejecutan los procesos de manera coordinada: estudian los mejores puntos del sistema a atacar, en los momentos más adecuados, y no se limitan a utilizar un solo tipo de malware, sino un amplio repertorio de ellos, según lo requiera cada situación.

REvil

Perpetró una de las mayores extorsiones cibernéticas de la región, a Telecom Argentina, exigiendo un rescate de 7,5 MUSD.

También le rindió buena fama la ejecución en 2021 de uno de los mayores ataques multitudinarios ya realizados, que afectó simultáneamente a cientos de empresas.

Se trató de lo que llamamos “ataque a la cadena de proveedores” y consistió en infectar una aplicación de gestión remota de sistemas vendida por un proveedor de servicios de TI.

Simplemente, el malware de REvil penetró a través de dicha aplicación en los sistemas de todas las empresas que la habían contratado.

¿Cómo prevenir ataques de ransomware?

Una vez se ha producido el ataque, muchas veces ni siquiera pagar el rescate resuelve la situación. Por ejemplo, las empresas que lo pagaron en 2020 recuperaron en media un 61 % de sus datos y solo un 4 % los recuperó totalmente (según el informe State of Ransomware 2022 de Sophos^[3]).

Para evitar ataques de ransomware es necesario establecer un plan de prevención que considere 2 frentes: las personas y los sistemas.

Enseñar a las personas a proteger el sistema

Muchas veces, el modo más fácil de invadir un sistema es engañar a sus usuarios para que abran el acceso. En el caso de las empresas, lo más habitual es que esto se haga mediante técnicas de ingeniería social como el phishing (robo de contraseñas).

Con relación a ellos podemos aplicar la estrategia de las tres C:

En la práctica, esto significa, simple y llanamente, ofrecer entrenamientos a toda la plantilla de la organización, especialmente a aquellas personas con acceso a sistemas o aplicaciones de misión crítica y a los líderes.

No podemos dejar de considerar que alrededor del 80 % de los ataques utilizan el phishing por correo electrónico como forma de invasión, según palabras de Kerry-Ann Barrett, CyberSecurity Program Manager de la OEA.

Utilizar los medios técnicos

El proceso empieza con una auditoría de tus sistemas informáticos:

¿Qué vulnerabilidades tienen? Aquí vamos a escanear los sistemas, principalmente los de misión crítica.
¿Tus recursos de observabilidad son adecuados? (por ejemplo, ¿puedes identificar problemas proactivamente antes de que se produzcan daños?).
¿Qué software hay que parchear/actualizar/eliminar/sustituir?
¿Tus soluciones de seguridad se adaptan a las necesidades específicas de tu infraestructura informática?
¿Utilizas un sistema de backup debidamente protegido y que funcione según lo diseñado? (considerando que hay malwares que atacan incluso los servidores de backup).

Luego, a la hora de implementar nuevas soluciones de seguridad, no hay cómo dejar de mencionar la tecnología de edge computing.

Una plataforma de edge computing puede estar asociada a una red de Internet con cientos o miles de servidores (edge servers) y las informaciones pueden procesarse no únicamente en uno, sino en muchos. Esto significa que si uno es atacado, los otros podrán procesar los datos. No hay un único servidor que el atacante pueda controlar.

Además, la latencia ultrabaja propia del edge también significa que las decisiones para bloquear amenazas pueden tomarse más cerca de donde el ataque parte, lo que también minimiza las posibilidades de impacto sobre el desempeño del sistema.

No hace falta decir que, dentro de la plataforma, como es el caso de la Plataforma de Edge de Azion, puedes adoptar todos los recursos de seguridad necesarios para atender las necesidades específicas de tu organización: aplicaciones alineadas con políticas zero trust, de conformidad, herramientas críticas como firewalls (el de casa es este: Edge Firewall de Azion) y más. Incluso puedes adquirir soluciones de seguridad de terceros habilitadas para el edge en el Marketplace de Azion.

Si quieres saber más sobre ciberseguridad y sobre cómo prevenir ataques de ransomware en el edge puedes ver nuestro webinar Cómo identificar y mitigar ciberataques por medio de estrategias de monitoreo extendido en tiempo real, donde los expertos Maurício Pegoraro, CISO de Azion, y Patricio Pérez, Cyber Threat Intelligence en Axur, te hablan con la visión de quien trabaja diariamente en la primera línea de batalla.