Gestionando Ataques de Ransomware Durante la Pandemia

Los cibercriminales utilizan cada vez más la temática de COVID-19 en sus ataques de phishing, intentando explotar la temática de la pandemia para acceder a sus víctimas.


No sólo eso, el trabajo remoto ha incrementado significativamente las probabilidades de éxito de los ataques de ransomware. Esto se debe a una combinación de medidas de seguridad más débiles en las redes caseras, así como una probabilidad más alta por parte de las víctimas de abrir mensajes relacionados con COVID-19 dada la ansiedad general existente.


En la actualidad, los ataques de ransomware utilizan todo tipo de temáticas relacionadas con COVID-19, incluyendo fraudes de asistencia financiera por parte del gobierno durante los confinamientos, información acerca de material sanitario y vacunas, descargas de herramientas de trabajo colaborativo como plataformas de videoconferencia, así como actualizaciones urgentes y otro tipo de herramientas.


La comunidad de seguridad también ha visto cómo actores maliciosos encuentran nuevas formas de extorsionar a sus víctimas, incluyendo la conocida como “doble extorsión”, donde los atacantes por una parte cifran los datos y por la otra los exfiltran, amenazando a las víctimas tanto con no poder recuperar los datos cifrados como con publicar los ya robados.


Por desgracia, en estos tiempos difíciles, las empresas afrontan distintos desafíos al mismo tiempo. En primer lugar, las amenazas mencionadas que utilizan la pandemia como cebo para ataques de ransomware. Por otra parte, un entorno de seguridad más laxo debido al teletrabajo. Finalmente, los equipos de seguridad tienen que defender una superficie de ataque mucho mayor que la tradicional en el entorno de la empresa, incluyendo la investigación de incidentes en condiciones de teletrabajo con las que no están familiarizados.


¿Cuál es la solución? La preparación siempre es la mejor defensa. Entender qué acciones hay que priorizar en las primeras horas críticas después de un ataque de ransomware, y si el hecho del confinamiento tiene influencia en las mismas. Saber qué tareas son responsabilidad de distintos equipos. Asegurar que el negocio tiene el soporte que necesita, y que el confinamiento no afecta a su habilidad de respuesta.


Aunque el equipo de seguridad es la primera línea de defensa, los usuarios siempre estarán en las trincheras y serán el eslabón más débil, por lo que la educación es vital. La mayoría del ransomware entra en la red mediante ataques de phishing. En el pasado, este tipo de correos era relativamente fácil de detectar, no obstante, cada vez son más sofisticados y en ocasiones son casi imposible de distinguir de correos legítimos.


En paralelo, los atacantes han dejado de usar los envíos indiscriminados en favor de ataques más dirigidos y discretos, muchas veces aparentando provenir de un colega. Las organizaciones deben entrenar a sus empleados para ayudarles a entender cómo identificar y evitar este tipo de ataques.

Hay otros pasos que las organizaciones deberían realizar para defenderse del ransomware. Lo primero son las copias de seguridad regulares de todos los servicios críticos, almacenados en una red separada o directamente offline, evitando que los atacantes tengan acceso aunque consigan credenciales de administrador. Otra clave es disponer de soluciones de seguridad como antivirus en todos los equipos, así como mantener todos los sistemas parcheados de toda vulnerabilidad crítica, con un énfasis en los navegadores y aplicaciones accesibles desde fuera de la red interna.


La preparación es vital. Hay que considerar y planear con cuidado cómo la organización responderá ante un incidente de ransomware, especialmente ante las restricciones impuestas por el trabajo remoto. Hay que asegurarse que el equipo de respuesta a incidentes tiene todos los permisos necesarios para poder acceder a cualquier infraestructura crítica, y tener en cuenta cómo suplir bajas potenciales debido a la pandemia o al confinamiento.


Finalmente, hay que ser realistas en cuanto a los plazos para restaurar completamente los servicios, lo que puede incrementarse de días a semanas con cierta facilidad. Colaborar con los equipos de continuidad de negocio para encontrar formas de mitigar los efectos de un ataque así como encontrar soluciones que eviten un impacto en el servicio al cliente.