Qué es ransomware | Cómo puedes proteger tu empresa

Aprende cómo funciona el ransomware, por qué es una amenaza creciente y cómo edge computing y los marcos de seguridad zero-trust pueden proteger tu empresa de ataques costosos.

¿Qué es el ransomware?

Es probable que hayas escuchado mucho sobre ransomware últimamente, lo que destaca la importancia crítica de una robusta seguridad de aplicaciones web y protección general del sistema. El ransomware es un tipo de malware utilizado por hackers para comprometer un sistema, cifrar datos críticos para el negocio y forzar a los propietarios a pagar un rescate para desbloquearlos.

¿Cómo funciona el ransomware?

Como la mayoría del malware, el ransomware a menudo depende fuertemente de la ingeniería social. Un hacker necesita un punto de entrada para acceder a una computadora, y el punto de entrada más común es un ser humano operando una máquina. Como puedes imaginar, cuanto más grande sea la empresa, mayor será el número de puntos de entrada que un hacker puede explotar para ingresar al sistema de una empresa.

La forma más común para que el ransomware entre en una computadora es a través del phishing por correo electrónico. Este tipo de correo típicamente incluye archivos adjuntos o enlaces a sitios web maliciosos. Una vez que el usuario abre el archivo adjunto o hace clic en el enlace, el ransomware puede infectar la computadora y propagarse a toda la red. Es por eso que la ingeniería social es relevante. Los grupos de ransomware pueden engañar a las personas para que abran archivos adjuntos o hagan clic en enlaces no solo aparentando ser legítimos, sino también generando una sensación de urgencia que obliga a los usuarios a hacer clic sin antes hacer preguntas.

Otro punto de entrada común para el ransomware son las aplicaciones y redes vulnerables, utilizadas por los atacantes para obtener acceso a un servidor o escritorio específico explorando un sistema sin parches con vulnerabilidades conocidas o mediante un exploit de día cero. (Los exploits de día cero aprovechan vulnerabilidades que aún no son conocidas por los investigadores de amenazas. En esta etapa, los actores maliciosos apuntan a estas vulnerabilidades porque los parches de software aún no existen, y las soluciones de seguridad basadas en firmas aún no conocen el nuevo patrón de ataque).

Pero independientemente del método y de las medidas de seguridad adecuadas implementadas, solo se necesita un compromiso para dar entrada a los atacantes a un sistema, donde potencialmente pueden propagar malware devastador a otras máquinas.

¿Por qué deberías preocuparte por el ransomware?

Si sientes que has estado escuchando cada vez más sobre ransomware recientemente, estás en lo correcto. La cantidad total pagada por las víctimas de ransomware aumentó en los últimos años, y esto es solo de ataques reportados—la mayoría de las empresas no reportan ataques. Lo que es peor, los impactos económicos van mucho más allá de los costos de los rescates, ya que los pagos de ransomware no cubren los costos asociados con el tiempo de inactividad del servicio y la recuperación.

En una encuesta de 2024 realizada por Sophos, el 59% de los gerentes de TI reportaron haber sido víctimas de ataques de ransomware, y el 73% de estos ataques lograron cifrar datos.

Los ataques de ransomware no son exactamente nuevos. El primer ataque reportado ocurrió en 1989, aunque con una tecnología muy diferente, pero con técnicas de ingeniería social similares. Entonces, ¿por qué está en aumento ahora? Hay tres razones principales para esto.

  1. Ransomware-as-a-service (RaaS): Los ataques de ransomware solían requerir un hacker con suficiente conocimiento para desarrollar malware y distribuirlo. Sin embargo, ha surgido un nuevo modelo de negocio donde los hackers desarrollan software de ransomware y lo venden a cualquier criminal que quiera lanzar un ataque a cambio de una tarifa, a menudo estructurada como un acuerdo de reparto de beneficios. Eso significa que ahora cualquiera puede lanzar un ataque independientemente de su habilidad. Como IST lo expresa, “las barreras de entrada a esta lucrativa empresa criminal se han vuelto sorprendentemente bajas”.

  2. Criptomoneda: El aumento del ransomware ha estado estrechamente vinculado al aumento de las criptomonedas, que hacen significativamente más difícil rastrear transacciones. Muy a menudo, el dinero del ransomware fluye a través de transacciones de múltiples pasos que involucran una variedad de instituciones financieras, muchas de las cuales no forman parte de mercados financieros regulados. Además de eso, la mayoría de las criptomonedas no tienen fronteras, lo que no solo hace difícil rastrear fondos, sino que recuperarlos es aún más difícil.

  3. Amenaza dual: Si los primeros ataques de ransomware amenazaban con bloquear tus datos, los ataques de hoy plantean una amenaza dual de bloquear tus datos y/o filtrarlos al público. Dada la facilidad con la que hoy se pueden filtrar datos al público en general, y los riesgos de reputación asociados con eso, la amenaza dual hace que el ransomware sea más poderoso ya que agrega un sentido de urgencia: o pagas ahora o te arriesgas a ver los datos de tus clientes filtrados, independientemente de si puedes o no recuperar tus datos por tus propios medios.

¿Cómo puedes prevenir el ransomware?

Ante todo, el ransomware requiere educación del usuario. Cuantas más personas tengas en tu organización, más puntos de entrada tienen los hackers para atacarte. Nada reemplaza la planificación proactiva de incidentes, la educación de los empleados y la higiene básica de seguridad. Las empresas también deben asegurarse de mantener actualizados sus sistemas operativos y otros componentes, incluido el software de protección de endpoints. Usar un enfoque moderno basado en riesgos para la ciberseguridad puede ayudar a priorizar esfuerzos en esta área. Además, cumplir con las regulaciones específicas de tu sector como PCI, SOC2, ISO, etc. (incluso aquellas que no son obligatorias) ayudará a guiar a las empresas para mejorar sus programas de seguridad.

Paralelamente a eso, hay técnicas fundamentales que debes implementar para minimizar aún más el riesgo de ransomware.

Usa un Web Application Firewall (WAF)

Los WAF pueden prevenir el cross-site scripting (XSS), donde los atacantes intentan cargar scripts en sitios web legítimos que podrían ser visitados por empleados de una empresa objetivo. Los ataques XSS típicos incluyen el robo de sesión, la toma de control de cuentas (ATO), el bypass de MFA, el reemplazo o desfiguración de nodos DOM (como paneles de inicio de sesión troyanos), ataques contra el navegador del usuario como descargas de software malicioso, registro de pulsaciones de teclas y otros ataques del lado del cliente.

Además, para derrotar ataques de phishing que intentan aprovechar tu propio contenido (por ejemplo, imágenes estáticas) en páginas de destino impostoras, los WAF te permiten incluir en lista blanca los dominios que pueden ser referentes a tus activos y bloquear todos los demás, haciendo la vida más difícil para los posibles atacantes. Al proteger sitios y aplicaciones utilizados por los empleados, los equipos de seguridad pueden evitar que los atacantes comprometan cuentas de usuarios individuales, que a menudo son utilizadas por los hackers como punto de entrada a una organización.

Los WAF también pueden bloquear una serie de ataques de inyección, incluida la inyección de comandos del sistema operativo, donde los atacantes intentan ejecutar comandos del sistema operativo en servidores que alojan aplicaciones web inadecuadamente protegidas. Cuando tienen éxito, las inyecciones de comandos pueden llevar a la toma de control completa de un servidor, desde el cual los atacantes pueden moverse lateralmente a través de la red hacia otras máquinas, o instalar malware que cifra datos, bloqueando sistemas críticos de negocio e incluso exfiltrando datos sensibles.

Sin embargo, es importante señalar que, al elegir un WAF, debes optar por una solución que no dependa de firmas de amenazas conocidas. Las soluciones basadas en firmas dependen de patrones de ataque conocidos y brindan poca o ninguna protección contra amenazas de día cero. En su lugar, busca soluciones que utilicen técnicas avanzadas de detección, incluidas aquellas que aprovechan algoritmos de puntuación para reducir el riesgo y mitigar amenazas de día cero.

Implementa un marco zero-trust

Las organizaciones preocupadas por el ransomware deben implementar un marco de seguridad zero-trust. Como se mencionó anteriormente, una vez que los atacantes comprometen una máquina determinada en una red, intentarán moverse lateralmente a través de la red, tomando el control y cifrando máquinas adicionales. En modelos de seguridad de red más antiguos, el acceso, y a veces los privilegios de administración, eran asumidos por cualquier persona en la red. Es difícil imaginar que este modelo alguna vez haya sido seguro, pero era la norma antes de que los cambios tecnológicos disolvieran los límites corporativos tradicionales. Hoy en día, empleados, contratistas y clientes acceden a aplicaciones críticas desde cualquier parte del mundo y en una amplia gama de dispositivos.

Al establecer microperímetros seguros utilizando edge firewalls con reglas personalizadas programables, las empresas pueden segmentar y proteger una amplia gama de aplicaciones y redes tanto internas como externas del acceso no autorizado y otras acciones maliciosas. Elegir soluciones que registren datos ricos en tiempo real también puede mejorar las prácticas de observabilidad y respuesta a incidentes, ambos pilares esenciales de la seguridad zero-trust.

Aprovecha las aplicaciones serverless

Las organizaciones también deberían aprovechar las ventajas de seguridad inherentes a las aplicaciones serverless. Las aplicaciones construidas con tecnología serverless eliminan capas de infraestructura vulnerables que los equipos de DevSecOps tendrían que mantener de otra manera. Con la computación serverless, las organizaciones ya no necesitan preocuparse por mantener los sistemas operativos actualizados, escanear contenedores o parchear servidores. En su lugar, pueden centrarse en construir aplicaciones innovadoras de alto desempeño sin preocuparse por asegurar o incluso escalar la infraestructura.

Además, los analistas líderes están de acuerdo en que edge computing es la próxima frontera lógica después del cambio a la nube. Y cuando se trata de aplicaciones serverless, las oportunidades y casos de uso son casi ilimitados. Muchas organizaciones ya están utilizando aplicaciones serverless para modernizar cargas de trabajo heredadas agregando capas de seguridad extras o implementando reglas de negocio en el edge. Un caso de uso de seguridad común incluye agregar protocolos de autenticación y autorización más robustos a las aplicaciones existentes. Edge computing con características de seguridad integradas puede ocultar los servidores de origen e infraestructuras de posibles atacantes, o reemplazar completamente los servidores de origen a través de una red edge serverless. Sin servidores centralizados para atacar y tomar el control, edge computing hace que la vida de un estafador de ransomware sea mucho más difícil.

Conclusión

El ransomware tiene enormes consecuencias, incluida la interrupción del negocio, filtraciones de datos, daño a la reputación, tarifas de recuperación y otros costos. Sin protecciones suficientes, las organizaciones afectadas por ransomware pueden verse tentadas a pagar a los criminales para recuperar sus datos o desbloquear sistemas críticos, incentivando ataques futuros. Y a medida que otros factores que afectan la frecuencia de los ataques de ransomware, como el ransomware-as-a-service y los altos valores de las criptomonedas, se mantienen, la necesidad de que cada organización se defienda contra esta amenaza cada vez más común solo se vuelve más importante.

Al usar un WAF nativo de edge, implementar seguridad zero-trust y aprovechar las ventajas de seguridad inherentes a las aplicaciones serverless, incluido el riesgo de vulnerabilidad de infraestructura significativamente reducido, las organizaciones pueden disminuir significativamente su vulnerabilidad a los ataques de ransomware.

Contenido relacionado

Comunidad

mantente actualizado

Suscríbete a nuestro boletín informativo

Recibe las últimas actualizaciones de productos, destacados de eventos y conocimientos de la industria tecnológica directamente en tu bandeja de entrada.