Tribuna de opinión. Por Marc Lueck, EMEA CISO, Zscaler
¿Por qué hay empresas que siguen accediendo a las peticiones de rescate en los ataques de ransomware? La respuesta tiene varias vertientes. Es un hecho lamentable que muchas víctimas de troyanos ransomware no hayan seguido las mejores prácticas de seguridad preventiva. Un viejo aserto atribuido a Keynes dice que uno siempre puede llevar un caballo al abrevadero, pero no puede hacer que beba. Ahora bien, para ser justos, no siempre es una decisión premeditada ignorar las prácticas de seguridad habituales.
Con frecuencia, los afectados eran muy conscientes del peligro, pero establecieron otras prioridades, o solo se ocuparon de proteger lo que consideraban activos críticos, sin garantizar una protección completa. La dilación y la mentalidad del «a mí no me pasará» juegan a favor de los atacantes. Las buenas intenciones no funcionan. Como estas empresas son conscientes de que no han tomado todas las medidas defensivas, se ven obligadas a tomar una decisión dolorosa y acceder a las peticiones de rescate.
El problema no se ataja de raíz
La actitud de esperar a ver qué pasa, acompañada del pretexto de dejar el asunto para mañana, es propia de la naturaleza humana. A esto se une que la mayoría de las empresas siguen utilizando unos anticuados sistemas para resolver los problemas de mañana. Se trata de una lucha a brazo partido, pero habitualmente con un brazo atado a la espalda, mientras que los atacantes confían en las tecnologías más avanzadas y en la automatización para detectar vulnerabilidades en las redes. A veces solo se protege el dispositivo final, o se actualizan los cortafuegos y se añaden VPN, o se opta por adquirir otras tecnologías para «proteger la red». Sin embargo, esto solo hace que se traten los síntomas superficiales, sin abordar el problema de raíz de forma integral.
En la actualidad, la resolución de problemas necesita de nuevos enfoques de seguridad que se adapten a los tiempos. Al fin y al cabo, los entornos de trabajo y los modelos de negocio han cambiado radicalmente. Los trabajadores ya no están «dentro de la red», sino que trabajan desde cualquier lugar, y las aplicaciones y los datos también se han trasladado en muchas ocasiones a la nube. Hace falta una estrategia de seguridad completa que aborde el problema de forma diferente. Zero Trust precisamente facilita un marco de este tipo que no debe verse como una funcionalidad tecnológica más, sino como un planteamiento completamente diferente que ayuda a minimizar la superficie de ataque.
Cambiar las prioridades
Para conseguir el ansiado y necesario cambio, ayuda ser consciente de que un atacante solo necesita tener éxito una única vez para triunfar con su ransomware. Una empresa, en cambio, tiene que poder hacer frente a todos los ataques. Saber que una protección del 100% es imposible, no debe ser una excusa para esconder la cabeza bajo el ala. Las empresas se enfrentan al desafío de inclinar la balanza a su favor reduciendo la probabilidad de éxito de un ataque de ransomware. Esto incluye también, por ejemplo, evitar el movimiento lateral en la red si se ha conseguido superar el primer obstáculo de entrada. Dificultar al máximo que los actores de amenazas logren su objetivo de cifrar o extraer información de los activos empresariales podría significar que pierdan interés y se centren en víctimas más fáciles, aquellas que todavía les ofrecen abundantes superficies de ataque.
Para 2023, las empresas han de optar por la prevención proactiva en lugar de seguir tapando agujeros y escondiéndose detrás de excusas. Un enfoque de confianza cero basado en la nube debería encabezar la lista de prioridades de las medidas de seguridad a tomar para proteger de forma integral los actuales entornos de trabajo y producción. El 21% de las empresas de todo el mundo ya han emprendido este camino y el 39% ya está en proceso de implantar dicho enfoque. De este modo, contrarrestan los ataques de los modernos cibercriminales con una protección adecuada y reducen el riesgo de quedar expuestas a las demandas de ransomware.
