El ransomware es una de las amenazas más frecuentes a las que se enfrentan las organizaciones en la actualidad; su volumen, efectividad y potencial de pérdidas monetarias aumenta constantemente la presión sobre los profesionales de TI. Desafortunadamente, el ransomware no va a desaparecer y, a medida que las organizaciones diseñan su infraestructura de TI para frustrar a los atacantes, los adversarios aumentan la sofisticación de sus ataques.
Esto hace que sea un desafío para los departamentos de TI mantenerse a la vanguardia de las amenazas a pesar del mayor valor que se le da a la seguridad en general. El Informe de investigaciones de filtración de datos de Verizon de 2022 encontró que los ataques de ransomware continuaron con una tendencia ascendente con un aumento de casi el 13 % en el último año, un aumento tan grande como el de los últimos cinco años combinados (para un total del 25 % de todas las filtraciones este año).
¿Por qué el ransomware sigue siendo tan prominente? Para empezar, hemos visto a los ciberdelincuentes apuntar a procesos que viven fuera del ámbito típico de TI, como el procesamiento de petróleo y la producción de alimentos. El objetivo de estas campañas es la disrupción en lugar del enriquecimiento financiero. Los atacantes entienden que, si ponen en peligro la capacidad de una empresa para ganar dinero y apoyar a sus clientes, esa empresa estará más dispuesta a pagar un rescate más alto.
Esta evolución táctica hace que los ataques de ransomware sean potencialmente letales para las empresas, y los líderes tecnológicos y de seguridad deben abordarla.
Protección efectiva contra ataques de ransomware
En mi experiencia, los expertos en seguridad tienden a estar en desacuerdo sobre cómo proteger a las organizaciones de los ataques de ransomware. ¿Deberían las empresas implementar cursos sobre concientización en seguridad? ¿Implementar nuevas soluciones de protección en los endpoints y correo electrónico? ¿Qué hay de las copias de seguridad de archivos? ¿Quizás una mejor seguridad de contraseña?
La respuesta inmediata a todas estas preguntas es «Sí», pero esas soluciones solo abordan la superficie del problema. Para ser eficaz contra el ransomware y la mayoría del malware en general, las empresas deben priorizar la limitación del movimiento lateral, un paso no negociable en cualquier cadena de ataque.
El movimiento lateral es fundamental para el éxito de las campañas de ransomware
Los métodos de ciberseguridad tradicionales a menudo se centran en el perímetro para mantener el ransomware y otros ataques fuera del entorno de TI corporativo. Las estrategias basadas en el perímetro son menos efectivas contra los ataques modernos debido a cambios en la infraestructura, como la migración a la nube y una fuerza laboral distribuida.
Muchos líderes de seguridad se han adaptado trabajando bajo la suposición de que los ciberdelincuentes encontrarán su camino hacia su infraestructura y están tomando medidas para limitar la capacidad de los atacantes para moverse una vez que están dentro. Actuar sobre esta suposición significa evitar que los adversarios puedan moverse lateralmente y causar daños generalizados si se produce una infección inicial.
Para que los ciberdelincuentes exfiltren o cifren datos, deben superar el vector de infección inicial, que a menudo es un único dispositivo de usuario final que no es lo suficientemente crítico como para exigir un gran rescate. Esto requiere que los atacantes se «muevan lateralmente» de una máquina/servidor a otro y, a menudo, realicen esfuerzos paralelos para robar credenciales, identificar vulnerabilidades de software o explotar configuraciones incorrectas que les permitan moverse con éxito a su siguiente nodo de destino.
Las técnicas de movimiento lateral son difíciles de detectar.
Puede ser extremadamente difícil para los equipos de TI detectar cuándo un atacante ejecuta una combinación efectiva de técnicas de movimiento lateral, ya que estos movimientos a menudo se mezclan con el creciente volumen de tráfico legítimo que viaja a través de la red. Cuanto más aprendan los ciberdelincuentes sobre cómo funcionan los flujos de tráfico legítimos, más fácil les resultará camuflar sus ataques como una actividad sancionada.
Este camuflaje, combinado con la inversión insuficiente de muchas organizaciones en seguridad de movimiento lateral, puede hacer que las infracciones de seguridad se intensifiquen rápidamente, ya que el adversario logrará el dominio de la red antes de comenzar a cifrar y extraer datos.
Seguridad selectiva mediante microsegmentación
Los Gobiernos de los principales países están realizado un esfuerzo considerable para combatir el ransomware y fortalecer las defensas de seguridad cibernética de cada uno de sus territorios con distintas iniciativas para la mejora de la seguridad cibernética de sus naciones. La importancia de segmentar las redes corporativas como medio de defensa contra el ransomware es una pieza clave para luchar contra el creciente impacto que estos ataques están causando en las organizaciones de todo el mundo.
La segmentación de la red no solo evita que un atacante se mueva lateralmente y alcance los activos estratégicos y las joyas de la corona en la red, sino que también ayuda a reducir el radio de explosión al crear límites entre los servidores de la red y limitar el tráfico de red entre ellos.
Microsegmentación: escenario de ejemplo
Imaginemos una oficina bancaria. Al configurar las defensas del banco, no será necesario guardar bajo llave todos los elementos del edificio porque no tiene sentido aplicar el mismo nivel de protección a los bolígrafos en el vestíbulo que a los billetes de 500 euros en la caja de seguridad.
La microsegmentación le permitiría identificar las aplicaciones y la información más críticas y aplicar políticas de seguridad individuales. Incluso en un escenario en el que un atacante obtiene un archivo específico, no podría expandir su ataque más allá de ese archivo sin gastar mucho esfuerzo y tiempo.
Tres preguntas importantes sobre el ransomware para los CISO
Más allá de los componentes técnicos de la defensa contra el ransomware, existen preguntas no técnicas que es importante responder al identificar y remediar los ataques de ransomware. Aquí hay tres preguntas rápidas que todo líder de seguridad debería poder responder:
¿Tiene seguro de ransomware? , ¿Cuáles son sus joyas de la corona?, ¿Cuál es su plan de respuesta al ransomware?
Contratar un seguro de ransomware
El seguro de ransomware es cada vez más popular porque tiene beneficios financieros y de seguridad. Las agencias ofrecen políticas menos costosas a las organizaciones con buenos fundamentos de seguridad, lo que incentiva a las empresas a mejorar su postura de seguridad incluso antes de comprar una red de seguridad.
Implementar una estrategia de microsegmentación
Los líderes de seguridad deben trabajar en estrecha colaboración con el comité de dirección para identificar los sistemas críticos de su organización, cómo están protegidos y qué sucedería si esos sistemas fallaran.
La implementación de una estrategia de microsegmentación puede ayudar a enfocar las defensas de una organización al mismo tiempo que brinda un mayor nivel de protección a los sistemas y activos más importantes.
Promulgar un plan de respuesta al ransomware
Como dicen, «Espera lo mejor, planifica para lo peor». Los líderes de seguridad deben tener un plan claro para remediar y eliminar el ransomware si están bajo ataque. Es importante saber quién estaría involucrado, qué tecnología existe para ayudar a limpiar y cuándo se probó el plan por última vez.
Elimina el camino de menor resistencia de los ciberdelincuentes
Los ciberdelincuentes no quieren trabajar duro. Prefieren usar tácticas y exploits probados para apuntar a organizaciones con pocos recursos que no se mantienen al día con los parches. Los negocios que impiden el movimiento lateral hacen que ese trabajo sea exponencialmente más difícil y eliminan el camino de menor resistencia de los ciberdelincuentes.
Es importante recordar que controlar el movimiento lateral no es solo una medida preventiva de ransomware; se aplica a cualquier ataque con una carga útil, incluidos criptomineros, puertas traseras y herramientas de acceso remoto.
Actúe hoy para detener a los atacantes en seco
En última instancia, los ataques e intentos de ransomware no se detendrán. Sin embargo, puede actuar hoy para asegurarse de que, si hay una infracción, el daño se minimice. Eso podría significar la diferencia entre convertirse en víctima y detener a los atacantes en seco.
Francisco Arnau, vicepresidente de Akamai para España y Portugal
