A medida que el software de rescate se dirige cada vez más a organizaciones de atención médica, escuelas y organismos gubernamentales, los expertos en seguridad ofrecen asesoramiento para ayudar a los líderes de TI a prepararse y protegerse.
3 temas cruciales que las empresas no entienden acerca de ransomwareBrian Vecci, evangelista de tecnología en Varonis, habló con ConsejoTecnologico.com acerca de cómo las empresas no entienden completamente cómo se comporta el ransomware, y si su seguridad es adecuada o no.
Los príncipes nigerianos ya no son las únicas amenazas que acechan en la bandeja de entrada de un empleado. Para las organizaciones de atención médica, las escuelas, las agencias gubernamentales y muchas empresas, los ataques de rescate (un tipo de malware especialmente siniestro que se entrega a través de correos electrónicos de phishing submarino y que bloquea los activos de datos valiosos y exige un rescate para liberarlos) son una amenaza de seguridad en rápido crecimiento.
«Actualmente estamos asistiendo a una explosión masiva de innovación en los tipos de software de rescate y la forma en que se está introduciendo en las organizaciones», dice Rick McElroy, estratega de seguridad de la empresa de seguridad cibernética Carbon Black Enterprise Response. «Es un gran negocio, y el retorno de la inversión de los atacantes está ahí, va a empeorar.»
Más información sobre ciberseguridad
Mientras que el software de rescate existe desde hace años, en 2015 se registró un aumento de la actividad. El FBI recibió 2.453 denuncias, con pérdidas de más de 1,6 millones de euros, un aumento con respecto a las 1.402 denuncias del año anterior, según los informes anuales del Centro de Denuncias por Delitos en Internet de la oficina. Y los números sólo están creciendo en 2019, informa el FBI.
«Dark Web y Bitcoin permiten a casi todo el mundo vender datos robados sin necesidad de identificación: los delincuentes cibercriminales entienden que pueden ganar dinero fácilmente sin el riesgo de ser encarcelados», afirma Ilia Kolochenko, directora ejecutiva de la empresa de seguridad web High-Tech Bridge. Y los hackers -la mayoría de los cuales se encuentran en países en desarrollo- se están volviendo cada vez más sofisticados, e incluso están desarrollando conjuntos de herramientas de rescate descargables para que los hackers menos experimentados puedan desplegarlas, según el Informe Ransomware del Instituto de Tecnología de Infraestructura Crítica de 2019.
«Los días de los ataques de phishing de spam masivo, gramaticalmente incorrectos, han terminado», dice James Scott, investigador principal y cofundador del Instituto de Tecnología de Infraestructura Crítica, y coautor del informe. Los hackers ahora pueden revisar las cuentas de medios sociales de las víctimas y crear una dirección de correo electrónico falsa fingiendo ser un amigo o un contacto para que hagan clic en un enlace o archivo adjunto infectado. «Es mucho más selectivo, y explotará una vulnerabilidad particular en un dispositivo, aplicación, servidor o software», añade Scott.
Una demanda típica de rescate es de 300 euros, según un informe de la empresa de seguridad Symantec.
VER: Ransomware-as-a-service está explotando: Esté preparado para pagar
Amenazas para la salud
El sector de la salud es blanco de ataques de hackers, debido a sistemas de seguridad informática anticuados o mal configurados y a la cantidad de datos confidenciales que contienen, dice David DeSanto, director de proyectos e investigador de amenazas de Spirent Communications.
El gran número de empleados en la mayoría de los hospitales también dificulta la capacitación en seguridad cibernética, dice DeSanto. Los expertos suelen ver que los ataques se producen a través de correos electrónicos dirigidos al phishing con archivos adjuntos con nombres como «lista de pacientes actualizada», «códigos de facturación» u otras comunicaciones típicas del hospital en las que los empleados pueden hacer clic si no están advertidos.
En 2015, más de 230 violaciones de la atención médica afectaron los registros de más de 500 personas, según datos de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos.
Un ataque de rescate en febrero contra el Hollywood Presbyterian Medical Center en el sur de California cerró el acceso a ciertos sistemas de computadoras y dejó al personal incapaz de comunicarse electrónicamente durante 10 días. El hospital pagó un rescate de $17,000 en bitcoin a los ciberdelincuentes, dice el director ejecutivo Alan Stefanek.
VER: Cybersecurity spotlight: La batalla del ransomware (Tech Pro Research)
Seguir las mejores prácticas de seguridad puede ayudar a las organizaciones de atención médica a protegerse a sí mismas. «La mejor manera es hacer copias de seguridad regulares de todos los sistemas y datos críticos para que pueda volver a un buen estado conocido antes de que el software de rescate esté en el sistema», dice DeSanto.
Sin las mejores prácticas de seguridad, es posible que las organizaciones de atención médica se queden con pocas opciones para recuperar la información. En estos casos, las organizaciones de atención médica pueden optar por pagar la tarifa de rescate. Algunos ganan suficiente dinero como para que el pago del rescate por unos pocos equipos infectados sea bajo en comparación con el costo de mantener la infraestructura para proteger estos ataques, añade DeSanto.
Escuelas y empresas
Los hackers están ganando terreno y también están utilizando nuevos métodos en otras industrias verticales. En 2014, una gran empresa europea de servicios financieros (cuyo nombre no fue revelado) descubrió con la ayuda de High-Tech Bridge que un hacker colocó una puerta trasera entre una aplicación web y un conjunto de datos.
Durante seis meses, el hacker encriptó toda la información antes de que fuera almacenada en una base de datos, sin ser detectada por el personal de la compañía. Luego, eliminaron la clave de cifrado, bloqueando la aplicación, y exigieron 50.000 euros para restaurar el acceso a la base de datos.
Sin embargo, la empresa no terminó pagando, gracias a los errores cometidos por los hackers, dice Kolochenko.
Otras víctimas no tienen tanta suerte, dice Engin Kirda, profesor de ciencias de la computación en la Universidad Northeastern. «Si el hacker de ransomware hace bien el cifrado, una vez que los datos están cifrados es casi imposible descifrarlos», añade.
Tal fue el caso del Distrito Escolar del Condado de Horry de Carolina del Sur en febrero, cuando los hackers congelaron las redes de 42.000 estudiantes y miles de empleados. El director de tecnología del distrito, Charles Hucks, trató de apagar el sistema, pero en cuestión de minutos, los atacantes inmovilizaron el 60 por ciento de las computadoras del condado de Horry. El distrito pagó 8.500 euros en Bitcoin para desbloquear sus sistemas.
VER: Ransomware: Pagar o no pagar
Consejos para los líderes de TI
Para evitar un ataque de ransomware, los expertos dicen que los líderes en seguridad de TI y de la información deben hacer lo siguiente:
- Mantenga inventarios claros de todos sus activos digitales y sus ubicaciones, para que los ciberdelincuentes no ataquen un sistema que usted desconoce.
- Mantenga todo el software actualizado, incluidos los sistemas operativos y las aplicaciones.
- Realice copias de seguridad de toda la información todos los días, incluida la información de los dispositivos de los empleados, para que pueda restaurar los datos cifrados en caso de ataque.
- Realice una copia de seguridad de toda la información en una ubicación segura y externa.
- Segmente su red: No coloque todos los datos en un solo archivo compartido al que tengan acceso todas las personas de la empresa.
- Capacitar al personal en prácticas de seguridad cibernética, haciendo hincapié en no abrir archivos adjuntos o enlaces de fuentes desconocidas.
- Desarrollar una estrategia de comunicación para informar a los empleados si un virus llega a la red de la empresa.
- Antes de que ocurra un ataque, trabaje con su junta para determinar si su compañía planea pagar un rescate o iniciar una investigación.
- Realice un análisis de amenazas en comunicación con los proveedores para revisar la seguridad cibernética a lo largo del ciclo de vida de un dispositivo o aplicación en particular.
- Instruya a los equipos de seguridad de la información para que realicen pruebas de penetración para encontrar cualquier vulnerabilidad.
Mitigar un ataque
Si su empresa es pirateada con ransomware, puede explorar el kit de respuesta gratuito de ransomware para obtener un conjunto de herramientas que pueden ayudarle. Los expertos también recomiendan lo siguiente para moderar un ataque:
- Investigue si otros equipos de TI han investigado malware similar y si es posible descifrarlo por sí mismo. Alrededor del 30 por ciento de los datos cifrados se pueden descifrar sin pagar un rescate, dice Kolochenko de High-Tech Bridge.
- Elimine los equipos infectados de la red, de modo que el software de rescate no utilice el equipo para propagarse por toda la red.
- Decidir si hacer o no una investigación oficial, o pagar el rescate y tomarlo como una lección aprendida.
«Siempre va a haber una nueva variante más hiperevolucionada del software de rescate que se entrega a lo largo de un nuevo vector que explota una nueva vulnerabilidad dentro de una aplicación de uso común», dice Scott de ICIT. «Pero hay muchas tecnologías que ofrecen seguridad, sólo tienes que usarlas».
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves