[24/10/2024] Una de las peores experiencias que una empresa puede experimentar es un ataque de ransomware. Quedar imposibilitado de continuar las operaciones porque partes vitales de la información han sido secuestradas, genera una sensación de impotencia que no todos saben enfrentar. El pánico puede ser la primera reacción, especialmente si no se han tomado las medidas necesarias para enfrentar este tipo de ataques, lo cual, desafortunadamente, es lo que ocurre en no pocas ocasiones.
La respuesta casi natural ante este tipo de problemas es contar con backups que permitan a la organización reestablecer las operaciones lo más rápido posible; sin embargo, aunque esa medida es la ideal, no puede tomarse de forma aislada. La forma de enfrentar a estas amenazas consta, en realidad, de un conjunto de acciones que las empresas con distintos niveles de ciberseguridad pueden tomar antes, durante y después de estos ciberataques. Por ello consultamos con un conjunto de profesionales de seguridad sobre cuáles serían las mejores acciones que las organizaciones podrían tomar en cada una de estas etapas.
A continuación, sus consejos.
Rafael Taboada, líder de IBM Security para el norte de Suramérica.
Antes del ataque
El nivel de preparación de una empresa ante un ataque de ransomware puede variar de acuerdo con cuán concientizado esté el liderazgo de la firma respecto a la seguridad. Se puede tomar muchas medidas y entre ellas, por ejemplo, Rafael Taboada, líder de IBM Security para el norte de Suramérica, recomienda: "evaluar las vulnerabilidades, es muy importante que se detecten configuraciones incorrectas y otros errores de hardware y software en las fuentes de datos que mantiene una organización”.
El ejecutivo también aconseja proteger los datos; no solamente técnicas como el cifrado, enmascaramiento o la tokenización de datos en reposo pueden ayudar a que los atacantes no tengan nada de valor que extorsionar, sino que también es fundamental entrenar a todos los integrantes de la organización, para que no abran ninguna 'puerta' a los ciberdelincuentes, mediante clics a enlaces desconocidos o respuestas a llamadas falsas con sentido de urgencia. Finalmente, el experto sugiere detectar la actividad anómala y responder rápidamente; con la inteligencia artificial y la integración de otras herramientas, como un centro de operaciones de seguridad, las organizaciones pueden estar alerta a eventos en tiempo real.
Por su parte, Eduardo Chavarro, gerente para Américas del Equipo de Investigación Global de Respuesta a Incidentes en Kaspersky, afirma que las organizaciones deben adoptar una postura proactiva frente a las amenazas cibernéticas, lo que incluye impedir el acceso público a servicios de gestión, implementar una política de contraseñas robusta y múltiples factores de autenticación, implementar mecanismos de detección eficientes, realizar y probar backups regularmente y garantizar la concientización de todos los empleados.
Hermes Romero, director para Centro, Sudamérica y Caribe de Tenable."En cuanto a los sistemas operativos y software, deben estar actualizados a últimas versiones con los debidos parches de seguridad para evitar explotaciones de vulnerabilidades conocidas. En cuanto a la conexión a Internet y las redes, es recomendable su segmentación e implementación ACL, IPS/IDS, firewalls entre otras tecnologías”, recomienda Fabiana Ramírez, especialista en Seguridad Informática del Laboratorio de ESET Latinoamérica.
Uno de los aspectos más importantes para estar preparados frente a un ataque de ransomware es ganar completa visibilidad sobre la superficie del ataque. Muchas organizaciones no comprenden dónde se encuentran sus principales riesgos cibernéticos, lo que deja expuestos sus sistemas y datos a vulnerabilidades. Un consejo clave, de acuerdo con Hermes Romero, director para Centro, Sudamérica y Caribe de Tenable, es que las empresas deben trabajar para tener un panorama claro de todos sus activos, identidades y posibles puntos de ataque, ya sea en entornos locales, en la nube o híbridos. Esta visibilidad es esencial para identificar las vulnerabilidades antes de que puedan ser explotadas por atacantes.
Al final, es evidente que las medidas se pueden agrupar en tres conjuntos: factor humano, procesos y soluciones de ciberseguridad.
Fabiana Ramírez, especialista en Seguridad Informática del Laboratorio de ESET Latinoamérica.
"Factor humano: Entrenamiento de concientización y simulacros. Procesos: Actualizar parches de seguridad, segmentación de redes, monitorización de red, auditorias, contar con un plan de respuesta a incidentes que sea claro y de conocimiento por parte de todas las partes involucradas, e incluso se puede adquirir un seguro con cobertura ante ransomware. Soluciones de ciberseguridad: Estas deben contar con solidades capacidades para la detección de amenazas avanzadas ya que, en su mayoría de los casos, los ataques eludirán la detección basada en firmas. Entre estos podemos encontrar opciones como NDR, XDR e IPS”, sostiene Rafael Santana, business development manager de Hillstone Networks.
Cuando el ataque se produce
A pesar de que se puedan tomar algunas medidas, puede que se produzca algún error dentro del sistema de defensa y el ataque llegue a impactar a la empresa. Entonces, es necesario que los miembros de la organización tomen las medidas necesarias para que ese impacto sea el menor posible y que la firma pueda resolver el problema en el menor tiempo posible, devolviendo a la compañía su capacidad de seguir en producción.
Lo primero, como señala Santana de Hillstone, es conservar la calma y actuar conforme al plan de respuesta a incidentes, y activar el plan de recuperación. Los atacantes buscarán distintos medios para llevar a cabo su cometido, saben que los miembros de la organización atacada estarán bajo presión y potencialmente vulnerables a chantajes basados en la urgencia, la exposición de datos e incluso las amenazas dirigidas hacia la reputación de la organización o algún objetivo de interés. Es por eso por lo que se debe actuar con apego al plan y evitar en lo posible poder llegar a ser influenciados por los atacantes. Además, se debe de ejecutar una limpieza general de todos los sistemas antes de buscar reestablecer un respaldo
Claudia Torres, jefe comercial de Intecnia Corp., country partner de Bitdefender."En estos casos es donde aplicamos el concepto de ciber resiliencia, que viene a ser la capacidad de una empresa para estar lista, responder y, sobre todo, recuperarse de ciberataques. En otras palabras, es la habilidad para seguir operando a pesar del ataque”, explica Kenneth Tovar, country manager de Palo Alto Networks para Perú y Bolivia.
¿Qué medidas inmediatas se pueden tomar? De acuerdo con Claudia Torres, jefe comercial de Intecnia Corp., country partner de Bitdefender, y especialista en estrategias de implementación en ciberseguridad, la compañía debe desconectar los sistemas comprometidos para contener el malware. Activar inmediatamente el plan de contingencia ante incidentes, el cual debe contemplar la restauración de sistemas críticos, a partir de copias de seguridad seguras y desconectadas del sistema, evitando la necesidad de pagar un rescate. Además, es importante involucrar a las autoridades para cumplir con las normativas legales e investigar a los cibercriminales. También se debe reforzar el hecho de que las personas son la principal línea de ciberdefensa en cualquier organización y deben estar debidamente capacitadas.
"Es importante contactar a las autoridades y a expertos en ciberseguridad para evaluar el alcance y buscar formas de mitigar el impacto. La recuperación de datos desde copias de seguridad recientes y seguras también es crucial para minimizar la interrupción de operaciones y reducir las pérdidas económicas”, aconseja, por su parte, Víctor Ramírez, gerente de SOC de NeoSecure by SEK.
Eduardo Chavarro, gerente para Américas del Equipo de Investigación Global de Respuesta a Incidentes en Kaspersky.
demás, como señala Chavarro de Kaspersky, se debe de tomar en cuenta que los logs y evidencias recogidas de las máquinas afectadas pueden ayudar a identificar la causa raíz del incidente y mitigar rápidamente el vector de ataque. Durante todo este proceso, se deben de preservar las evidencias digitales para un posterior análisis forense. Conocer el origen del ataque ayudará a reforzar la ciberseguridad y a tomar medidas para evitar futuros ataques.
"Otro punto fundamental es mantener la comunicación entre las áreas y coordinar lo que se dice a los clientes externamente, porque es la base para mantener la confianza. Informar con veracidad sobre lo acontecido, pero también entregar soluciones, ayudará a que la recuperación sea exitosa”, indica Taboada de IBM.
¿Pagar o no pagar?
En medio de toda la vorágine que significa estar lidiando en tiempo real con los pedidos de los cibercriminales y la necesidad de seguir con el negocio con el menor daño posible, surge la pregunta de si pagar el rescate o no. Como en toda extorsión surge la duda de si ello realmente hará que todo termine o si, más bien, es el inicio de una larga cadena de nuevos pedidos que mantendrán a la empresa en constante asedio, ¿qué hacer? La respuesta más común entre todos los entrevistados es no pagar el rescate.
"No se aconseja [pagar el rescate]. Esto no garantiza la recuperación de la información ni que los cibercriminales no la vendan o publiquen. Además, el pago alentaría el negocio del cibercrimen en este aspecto”, señala Ramírez de ESET.
Rafael Santana, business development manager de Hillstone Networks.
omero de Tenable coincide en no pagar el rescate. Hacerlo solo incentiva a los ciberdelincuentes a continuar con sus actividades. Sin embargo, reflexiona el ejecutivo, se sabe que, en momentos de crisis, es necesario restaurar los sistemas lo más rápido posible. Es una decisión que cada organización debe tomar en función de su situación particular.
Al pagar, las empresas corren el riesgo de no recibir las claves de desencriptación, o que los atacantes vuelvan a atacarlas en el futuro. Lo ideal es contar con copias de seguridad sólidas y un plan de recuperación que permita restaurar los sistemas sin tener que depender del pago del rescate, indica el ejecutivo.
"No es recomendable nunca pagar un rescate y ante cualquiera de estas situaciones, lo inmediato es denunciar ante las autoridades pertinentes. Es por ello por lo que hacemos énfasis en el tema de la prevención y la ciber resiliencia”, afirma, por su lado, Tovar de Palo Alto Networks.
Reforzando lo señalado por los otros entrevistados, Torres de Intecnia, indica que las autoridades recomiendan no ceder a las peticiones de rescate. Pagar un rescate no garantiza que se recuperen los archivos y sólo sirve para alimentar económicamente el desarrollo de nuevas y más sofisticadas familias de ransomware, ayuda a financiar otras actividades de los ciberdelincuentes y, en última instancia, legitima el negocio del ransomware al hacerlo rentable para los hackers.
"Pagar puede hacer a la organización un objetivo para futuros ataques. Sin embargo, algunas empresas consideran hacerlo cuando la recuperación de datos es vital y no hay alternativas. La decisión debe ser evaluada cuidadosamente con expertos legales y en ciberseguridad para considerar todas las implicaciones”, aconseja, finalmente, Ramírez de NeoSecure.
Kenneth Tovar, country manager de Palo Alto Networks para Perú y Bolivia.
Luego del ataque
El ataque ya concluyó y se ha podido recuperar el control de los datos que se mantuvieron secuestrados. No se puede, simplemente, volver a la normalidad como si el ataque no hubiera ocurrido, es necesario que la compañía y los responsables de su ciberseguridad analicen lo que les acaba de ocurrir, y tomen las medidas que sean necesarias para evitar que se produzca un nuevo ataque. Es evidente que los cibercriminales encontraron una forma de burlar la seguridad -si es que la había- y que podrían haber encontrado no solo una sino varias puertas abiertas para volver a ingresar. Es necesario encontrar esas puertas y cerrarlas.
Como señala Chavarro, luego de superar un ataque de ransomware, es fundamental que las organizaciones realicen una investigación exhaustiva del incidente. Esto incluye un análisis de cómo los ciberdelincuentes lograron infiltrarse y cuáles fueron los puntos débiles explotados. Además, es crucial fortalecer las medidas de seguridad para evitar futuros ataques, como mejorar la capacitación de los empleados, implementar tecnologías de detección avanzada de confianza, así como realizar auditorías de ciberseguridad periódicas y reforzar las políticas de acceso y respaldo de datos.
"Hay que comprobar el estado de los sistemas operativos, herramientas de acceso remoto, soluciones de seguridad, entre otros. Por último, documentar el incidente y actualizar los planes de respuesta ante incidentes permitirá a la organización estar mejor preparada en el futuro”, indica el ejecutivo.
También es importante, luego de conocer los efectos y causas, que se corrija la situación que permitió el acceso al cibercriminal. Asimismo, deben determinar de qué manera robustecer su infraestructura de seguridad tanto a nivel tecnológico como a nivel de concientización de los empleados. Además, es recomendable la documentación del incidente para tenerla como referencia de mejora, tal y como aconseja Ramírez de ESET.
"Después de un ataque, es esencial que las organizaciones aprendan de la experiencia y fortalezcan sus sistemas para prevenir futuros incidentes. Es importante revisar y actualizar todos los dispositivos, programas y aplicaciones de acuerdo con las indicaciones de los fabricantes en los días y semanas siguientes al ataque”, aconseja, por su parte, Romero.
Víctor Ramírez, gerente de SOC de NeoSecure by SEK.Por otro lado, una de las lecciones más importantes que Santana de Hillstone ha podido observar es que no importa cuánto se invierta en procesos y tecnología, si no se cuenta con una base sólida de concientización del factor humano; ellos son quienes suelen abrir la puerta a los atacantes, ya sea de forma intencional o por falta de cultura de prevención digital.
Además, caer en la autocomplacencia y contar con un plan de respuesta ante incidentes que sólo se 'desempolva' en caso de ser necesario es, de acuerdo con el ejecutivo, como 'darse un balazo en el pie'. Estos documentos deben ser constantemente auditados, puestos a prueba -en simulacros- y actualizados conforme la organización evoluciona.
Los respaldos son vitales, sin embargo, no pueden desplegarse de manera instantánea, antes de utilizarlos se debe de tener certeza de hasta qué punto la salud de estos ha sido comprometida.
Igualmente, Santana señala que la recuperación es un proceso en el cual se va a cimentar la futura infraestructura de la compañía; entonces, vale la pena realizar este proceso de la manera más meticulosa posible. En ocasiones este se toma como un trabajo urgente, basado en la necesidad de priorizar la continuidad de negocio, pero el probable resultado podría ser caer en un bucle que lleve a la firma a la situación inicial en la que pudo atacar exitosamente el ransomware, descuidando vectores que los ciberdelincuentes utilizarán en el futuro para volver de forma más agresiva.
"La lección principal es que toda compañía es susceptible a un ataque, y que la ciberseguridad no debe ser exclusiva ni inalcanzable; por el contrario, debe estar al alcance de todos, desde Pymes hasta grandes empresas”, concluye, por su parte, Tovar.
Jose Antonio Trujillo, CTOPerú