Han pasado más de dos años desde Wannacry. Pero los ataques de ransomware han vuelto a estar en auge desde hace algún tiempo. Pero, ¿cómo ha llegado hasta aquí? A menudo se debe a una actitud errónea de las empresas respecto a su ciberseguridad. Un comentario de Frank Ruge, Infoblox.
A finales de junio de 2019, la cadena de joyería de Hamburgo Wempe fue víctima de un robo. Pero el ataque no tuvo lugar tal y como lo conocemos en las películas del Oeste, por ejemplo: no hubo relinchos de caballos, pesadas botas de vaquero ni chasquidos de revólveres. Todo ocurrió en segundo plano, más precisamente en el espacio digital.
Los ciberdelincuentes atacaron el sistema interno de la cadena de joyería y lo bloquearon con un software especial. Su demanda: sólo si se pagaba una gran suma de bitcoins, la empresa recuperaría el acceso. Un clásico ataque de ransomware. Pero el ataque en sí no es lo más aterrador. Más bien, es la forma en que se manejó: La demanda fue atendida y pagada. Y no es ni mucho menos un caso aislado.
Por ejemplo, en junio de 2019, las autoridades de Riviera Beach, una ciudad del estado norteamericano de Florida, pagaron una demanda de 600.000 dólares por parte del ransomware. A principios del año pasado, un hospital del estado de Indiana pagó 60.000 dólares. Los ataques también han obligado a la Oficina Federal Alemana de Seguridad de la Información (BSI) a emitir un comunicado. Advierte de los ataques de ransomware dirigidos a las empresas.
El doble no se conserva mejor
Pero, ¿cómo se ha podido llegar hasta aquí? A menudo se debe a una actitud errónea de las empresas hacia su ciberseguridad.
Muchos se refugian en las compras de pánico e invierten en innumerables soluciones de seguridad, por miedo a perder el control sobre su red o sus datos. Pero el bien probado lema "el doble es mejor" no se aplica a la ciberseguridad. De hecho, este método crea un mosaico. Aunque las medidas de seguridad pueden ser de gran alcance y abarcar mucho, las herramientas a menudo se obstaculizan entre sí: se bloquea el acceso, se quitan las autorizaciones o funcionan unas contra otras. ¿El resultado? Las empresas se perjudican a sí mismas y facilitan el acceso de los delincuentes a su red.
La red transparente
Entonces, ¿a qué deben prestar atención las empresas? En primer lugar, los responsables de TI deben conocer la propia red de la empresa. Cada dispositivo, cada usuario y cada actividad deben quedar registrados en el registro de actividades. Hay que automatizar ciertos procesos, para aliviar el trabajo de los ya sobrecargados departamentos de TI. Por ejemplo, se pueden utilizar escáneres de vulnerabilidad independientes para supervisar la propia red. Además, las empresas necesitan un mejor escalado para detectar el malware, el ransomware, el phishing, las botnets, etc. Hay millones de indicadores para ello. Hay millones de indicadores para ello. Sin embargo, los cortafuegos y los sistemas IPS están optimizados para el rendimiento y sólo pueden filtrar unas 100.000-200.000 entradas. La pregunta es: ¿sobre qué indicadores debe filtrar el agente de seguridad? La probabilidad de acertar las entradas está en regiones similares a la de apostar al número correcto en la ruleta. Por lo tanto, los mecanismos de control deben establecerse en el nivel de control en lugar de en el nivel de datos, como en el protocolo DNS. Esto permite interceptar millones de indicadores y, en particular, se pueden detectar y bloquear los ataques de día 0, por ejemplo, a través de la suplantación de identidad.
También es importante tener conexiones entre las diferentes áreas de trabajo y soluciones individuales. El cortafuegos y el software antivirus, por ejemplo, pueden introducir su información en un sistema SIEM. El responsable de TI puede entonces trabajar con esto y ver rápidamente si se trata de un incidente urgente.
Otra medida son los servicios gestionados, especialmente interesantes para las pequeñas y medianas empresas. En este caso, toda la TI corporativa (o parte de ella) se subcontrata a responsables externos y se les transfiere la responsabilidad.
Conclusión
Los ataques de ransomware vuelven a ser más populares. Para que las empresas no sufran ningún daño, no deben aceptar en ningún caso las peticiones de rescate de los ciberdelincuentes. Las partes afectadas deben seguir siempre las directrices de BSI:
- Protéjase de las infecciones primarias, por ejemplo, sensibilizando a sus empleados sobre las posibles fuentes de peligro.
- Compruebe las conexiones con sus clientes e infórmeles de los incidentes.
- Cree copias de seguridad a intervalos regulares que puedan utilizarse para restaurar los sistemas. Almacénelos fuera de línea en una red separada.
- No responda a ninguna demanda de los perpetradores e informe de los incidentes al centro de informes de la Alianza para la Ciberseguridad.
- Compruebe las conexiones con sus clientes e infórmeles de los incidentes.
Acerca del autor: Frank Ruge es el nuevo vicepresidente de EMEA en Infoblox desde agosto de 2019. Ruge echa la vista atrás y cuenta con más de 20 años de experiencia en el sector de las tecnologías de la información y el marketing: desde 2015 era Director Senior de Europa Central en Infoblox. Antes de eso, trabajó en varios puestos, incluyendo 16 años en Cisco Systems y en varias empresas de nueva creación.