¿Qué es la protección contra el ransomware?
¿Por qué protegerse contra el ransomware?
La probabilidad de que una organización sufra un ataque de ransomware está aumentando rápidamente. En el primer semestre de 2021, el Centro de Denuncias de Delitos en Internet del FBI experimentó un aumento interanual del 62 % en las denuncias, con casi 2100 quejas. Según una encuesta, más de un tercio de las organizaciones de todo el mundo sufrirán un ataque en 2021, y los ataques de ransomware se producirán aproximadamente cada 11 segundos.
Dado el daño potencial a los sistemas y flujos de trabajo corporativos en caso de que un ataque de ransomware cierre el acceso a datos o aplicaciones, no es de extrañar que muchas empresas opten por pagar rescates. Las peticiones de rescate suelen oscilar entre los cientos de dólares y los millones. El rescate medio pagado se acerca a los 250.000 dólares.
Recientes ataques de ransomware de gran repercusión han afectado a infraestructuras críticas y a la cadena de suministro, ya de por sí tensa debido a la pandemia de COVID. Uno de los ataques más conocidos tuvo como objetivo el oleoducto Colonial, responsable del transporte diario de más de 100 millones de galones de combustible. El resultado fue un aumento de los precios del combustible que afectó a los consumidores de todo Estados Unidos.
Colonial pagó un rescate de más de 5 millones de dólares (2,3 millones de los cuales recuperó posteriormente), pero los efectos del ataque fueron más allá. Según fuentes de la empresa, los esfuerzos de remediación se extendieron a decenas de millones de dólares. Otros ataques, como los de CNA Financial y Kaseya en 2021, tuvieron consecuencias catastróficas similares.
A pesar de la creciente amenaza del ransomware, muchas organizaciones no están preparadas para identificar o hacer frente a un ataque; casi la mitad de las organizaciones carecen de planes eficaces de respuesta a incidentes. La protección contra el ransomware es esencial para proteger algo más que las redes y los datos de la empresa. Una protección eficaz contra el ransomware también limita los costes posteriores al ataque y los efectos sobre la reputación.
Cómo protegerse contra el ransomware
Sensibilizar
Los empleados son el principal vector de ataque del ransomware. La mala higiene de las contraseñas, las políticas de acceso excesivamente permisivas y la susceptibilidad a las estafas de phishing (que siguen siendo la principal fuente de la mayoría de los ataques) amplían la superficie de ataque de una organización, facilitando a los ciberdelincuentes la inserción de archivos de ransomware. Por desgracia, muchas organizaciones permiten estas malas prácticas porque temen las quejas de los empleados si instituyen políticas más estrictas.
Las organizaciones deben formar adecuadamente a sus empleados para que estén atentos a las señales de un ataque y se defiendan de los ataques de forma proactiva. Por ejemplo, evitar que los empleados hagan clic en enlaces de correos electrónicos sospechosos (por ejemplo, aquellos con mayúsculas extrañas o errores ortográficos) puede contribuir en gran medida a mejorar la seguridad.
Igualmente importante es que las organizaciones hagan comprender a sus empleados la necesidad de aplicar políticas de seguridad estrictas. Aunque a los empleados les resulte incómodo utilizar contraseñas seguras que deban cambiar con frecuencia, sería mucho más inconveniente que de repente no pudieran realizar su trabajo debido al éxito de un ataque.
Sistemas de actualización
Otra fuente común de acceso para los ataques de ransomware es el software obsoleto y heredado. Las organizaciones deben aplicar los parches de software rápidamente en cuanto los reciban, sobre todo porque muchos parches corrigen explícitamente vulnerabilidades.
Las organizaciones también deben crear inventarios exhaustivos de activos digitales. Muchas empresas tienen aplicaciones antiguas, sin usar y obsoletas que siguen accediendo a las redes corporativas sin el conocimiento del departamento de TI. Eliminar o restringir estas aplicaciones es otro paso para reducir la superficie de ataque de la empresa.
Utilice las herramientas adecuadas
Hacer copias de seguridad con frecuencia
Las copias de seguridad son otra herramienta esencial en la defensa contra el ransomware. Aunque no evitarán los ataques, pueden limitar los impactos negativos de un ataque exitoso y minimizar el daño total a una empresa y sus clientes.
Las copias de seguridad y un sólido plan de continuidad de negocio permiten a las organizaciones restaurar rápidamente el acceso a los archivos y volver a funcionar sin necesidad de pagar un rescate. Sin embargo, son ineficaces para evitar que los ciberdelincuentes hagan un uso indebido de los datos que puedan exfiltrar.
Buenas prácticas de protección contra el ransomware
1. Políticas de contraseñas fuertes y MFA
2. Acceso de mínimo privilegio, confianza cero y herramientas IAM
3. Filtros de spam, programas antivirus y cortafuegos
Dado que los correos electrónicos de phishing son la fuente más común de ataques de ransomware, y los empleados son muy susceptibles a las estafas de phishing, las organizaciones necesitan limitar cuántos de estos correos electrónicos llegan a los empleados. Los filtros de spam bien configurados son una parte importante del arsenal de prevención.
Del mismo modo, los programas antivirus son una primera pantalla eficaz contra los ataques conocidos. También deberían formar parte del programa de protección contra ransomware de una empresa.
Los cortafuegos proporcionan una capa adicional de protección cuando se configuran correctamente. Los cortafuegos de nueva generación identifican anomalías en el tráfico de red mediante inspección profunda de paquetes, desvían archivos sospechosos y refuerzan los puntos finales.
Los errores de configuración de las herramientas de seguridad crean vectores de ataque adicionales, por lo que las organizaciones deben estar tranquilas con su personal de seguridad, ya sea un equipo de TI interno o proveedores externos, que verifican regularmente las configuraciones.
4. Herramientas de seguridad de puntos finales de IA y ML
PREGUNTAS FRECUENTES
¿Qué es el ransomware?
El ransomware es un software malicioso que restringe o impide que un usuario acceda a los archivos de su dispositivo hasta que se pague un rescate. El ransomware encripta los archivos de un dispositivo y bloquea el acceso del usuario.
En algunos casos, el ransomware puede ir más allá del simple bloqueo del acceso. También puede permitir a los ciberdelincuentes extraer datos que pueden distribuir o vender. Además, al obtener acceso a un dispositivo, pueden ser capaces de moverse lateralmente a través de los sistemas de la empresa, ampliando rápidamente la superficie de ataque y el daño potencial a la organización.
¿Qué es la protección contra el ransomware?
La protección contra el ransomware es un esfuerzo integral de ciberseguridad que va más allá de la detección y prevención de un ataque de ransomware e incluye la planificación de medidas correctivas en caso de que un ataque eluda con éxito los esfuerzos de prevención y la creación de copias de seguridad críticas y planes de continuidad de negocio que permitan a las organizaciones volver a estar en línea rápidamente en caso de que un ataque tenga éxito.
¿Quién corre el riesgo de sufrir un ataque de ransomware?
Todo el mundo, desde los usuarios particulares hasta los empleados de empresa, es una víctima potencial de un ataque de ransomware. Mientras exista una conexión desde un dispositivo al mundo exterior, ya sea una red corporativa segura o un punto de acceso wifi público, los ciberdelincuentes intentarán aprovecharla para insertar un ransomware.
¿Cuál es la mejor protección contra el ransomware?
Las organizaciones deben aplicar varias prácticas recomendadas para reforzar sus sistemas contra los ataques de ransomware, entre ellas:
- Desarrollar, aplicar y hacer cumplir las políticas de ciberseguridad contra el ransomware, incluidas las políticas de uso del correo electrónico y de Internet y las políticas de autenticación multifactor y de contraseñas seguras.
- Permisos basados en funciones y políticas de acceso mínimo para limitar el acceso a sistemas y datos críticos.
- Implantar herramientas para identificar de forma proactiva posibles ataques, tanto conocidos como de día cero, utilizando métodos analíticos avanzados como la inteligencia artificial y el aprendizaje automático.
- Formar a los empleados para que utilicen de forma responsable los recursos de la empresa y reconozcan los indicadores de ataques de ransomware.
- La creación y aplicación de planes de continuidad de la actividad, incluidas copias de seguridad redundantes constantes, permite a las organizaciones limitar los daños de los ataques.
¿Protegen los antivirus contra el ransomware?
Los programas antivirus ofrecen, en el mejor de los casos, una solución parcial para los ataques de ransomware. Las herramientas antivirus pueden ser muy eficaces contra los actores maliciosos y las vulnerabilidades conocidas, pero son limitadas contra los ataques de día cero.
Además, los programas antivirus sólo actúan en el frente del ataque. Si un ataque consigue penetrar e infectar un dispositivo, poco pueden hacer los programas antivirus para mitigar o remediar el ataque.