A medida que las organizaciones se adaptaban al trabajo a distancia inducido por la pandemia, los expertos en ciberseguridad temían que los ciberdelincuentes se aprovecharan de la relajación de los hábitos de seguridad, y si eso ocurría, las consecuencias podrían dar lugar a ciberataques masivos.
De hecho, durante lo peor de Covid-19, las campañas de phishing se dispararon y ahora estamos viendo el impacto de esas campañas: una ola de ataques de ransomware. Sophos ha informado de que el 51% de las organizaciones de todo el mundo han sido objeto de un ataque de ransomware en el último año, y los delincuentes han conseguido cifrar los datos en el 73% de esos casos. En este momento, no sólo parece que cada nuevo anuncio de ransomware es más grande que el anterior, sino que estamos viendo cómo el ransomware puede afectar a la vida cotidiana. Tras un breve respiro, los ciberdelincuentes han reanudado su asalto contra objetivos del mundo sanitario, impidiendo el acceso a equipos como las máquinas de resonancia magnética y de rayos X y a los datos de los pacientes, por ejemplo.
Aunque muchos de los ataques se han dirigido a las pequeñas y medianas empresas, también han afectado a las más grandes, especialmente en el ámbito de las infraestructuras críticas. El ataque a Colonial Pipeline creó un pánico que provocó la escasez de gas. Grupos de ciberdelincuentes como REvil han interrumpido las cadenas de suministro de alimentos y ahora son responsables del último ataque de ransomware al proveedor de software Kaseya, que ha afectado a cientos de empresas de todo el mundo. REvil está extorsionando a Kaseya con 70 millones de dólares, el mayor rescate jamás exigido en el momento de escribir este artículo.
Con la velocidad a la que se producen los ataques de ransomware y con objetivos más grandes y críticos, no pasará mucho tiempo antes de que veamos ransomware de hasta 100 millones de dólares. El CISA ha alertado de que los recursos y controles tecnológicos operativos son un objetivo cada vez más frecuente de los ataques de ransomware.
Todo se reduce a un beneficio económico para los delincuentes
No importa dónde aparezca el ransomware dentro del sistema. En este punto, si se ve afectado, los equipos de respuesta a incidentes deben decir a la dirección que apague todo hasta que se resuelva el ataque. No se puede correr el riesgo de que la amenaza afecte a todo el resto de la empresa y dé a los ciberdelincuentes la posibilidad de «saltar de isla en isla» entre los clusters e infectar todo lo demás. Los delincuentes tienen un objetivo principal y es ganar el máximo dinero posible. No les importa la destrucción que causen con tal de obtener los beneficios.
Todas las organizaciones son susceptibles de sufrir ransomware, pero algunas corren más riesgo que otras. Dos organizaciones pueden parecer casi idénticas (mismo sector, misma normativa, enfoque similar de la ciberseguridad) y, sin embargo, una tiene más probabilidades de ser atacada que la otra. En parte, esto se debe al comportamiento humano: un clic erróneo en un correo electrónico de phishing por parte de un empleado de un proveedor puede llevar a una empresa, por lo demás segura, a la madriguera del ransomware.
Hay muchas cuestiones en juego que aumentan la susceptibilidad de su organización. El sector de la seguridad está empezando a comprender estos factores críticos que pueden hacer que una organización se convierta en un probable objetivo débil. Por ejemplo, los datos derivados del escaneo de los puertos de administración remota públicamente visibles, los parámetros de configuración del correo electrónico, los niveles de parches de las aplicaciones y del sistema operativo y otros factores de la arquitectura general de TI pueden utilizarse para obtener un perfil de riesgo relativo. Combinando estos datos con otros, como el volumen de datos de credenciales de la organización que se encuentran en la web oscura, es posible estimar si los delincuentes son más o menos propensos a atacar, especialmente en comparación con otros del mismo sector.
Existen soluciones que aprovechan el aprendizaje automático para ayudar a las organizaciones a crear una puntuación de riesgo basada en sus vulnerabilidades e incluso ampliar el análisis de evaluación de la vulnerabilidad a terceros en su cadena de suministro. Lo ocurrido en Target hace unos años debería haber sido una llamada de atención sobre el riesgo de terceros, pero demasiadas empresas siguen ignorando que un error o una vulnerabilidad en el sistema de un proveedor puede desencadenar un ataque.
Cómo es la susceptibilidad al ransomware
¿Cómo responde su empresa a las siguientes preguntas?
Impacto financiero. ¿Cómo de grande es el riesgo al que se enfrenta con su postura de ciberseguridad y cómo lo equilibra con el gasto en posibles pérdidas financieras?
Vulnerabilidad cibernética. ¿Cómo de vulnerable es su organización a un ciberataque?
¿Conoce los riesgos de terceros?
¿Cómo le ven los atacantes externos? Los atacantes tienen más información sobre su empresa de la que usted puede imaginar, incluso si esa información proviene de ataques a otras organizaciones de su sector. Saben lo que ocurre cuando se ataca una infraestructura crítica; han visto la respuesta de Colonial Pipeline, por ejemplo, e intentarán atacar a empresas similares con vulnerabilidades parecidas.
Dependiendo de cómo respondan las empresas a estos problemas, un análisis derivado del ML y la IA puede proporcionar una visión para comparar las empresas que han sufrido un ataque de ransomware y cómo evitar convertirse en la próxima víctima.
Redacción CambioDigital OnLine
