Los ataques de ransomware permanecen como una de las principales amenazas contra el sector salud. Aunque hay otros peligros que van al alza, como las infecciones mediante troyanos, los incidentes con ransomware contra las instituciones sanitarias también se incrementaron durante el segundo trimestre de 2022. De acuerdo con la consultora Kroll, salud concentró en ese lapso el 21% de los ataques ocurridos, contra el 11% del primer trimestre. Un buen porcentaje de dichos ataques tuvieron lugar bajo una nueva modalidad: recurrieron al ransomware como servicio (Ransomware-as-a-Service, RaaS).
De acuerdo con el informe Extortion Economics. Ransomware’s New Business Model, de Microsoft, el RaaS prospera por la facilidad con que los delincuentes adquieren los recursos necesarios para montarlo. De hecho, ni siquiera requieren grandes conocimientos técnicos. En la llamada red obscura (Deep Dark Web) es posible comprar herramientas de RaaS. Y el proceso no resulta complicado: se realiza como cualquier otra compra en línea. Los delincuentes no sólo adquieren el malware en sí. También reciben servicios de atención al cliente e infraestructura de pago. Además, pueden elegir entre pagar un precio fijo por el paquete de RaaS o bien, compartir con su “proveedor” un porcentaje del rescate.
Recomendaciones para frenar el RaaS
Los ataques de RaaS suelen comenzar con una infección de malware o bien, aprovechando una vulnerabilidad para robar credenciales. Luego, buscan obtener datos con los que extorsionar a las víctimas. Y no sólo los encriptan: también amenazan con publicarlos en la Internet si no se paga el rescate.
Entre los paquetes de RaaS más usados se encuentran los que venden o rentan se cuentan LockBit y Hive. Uno de los grupos de hackers más activos en el mercado de RaaS es Lapsus$, que atacado a varias universidades mexicanas.
Proteger a las instituciones de salud —o de cualquier otra actividad— contra los ataques de RaaS es posible. En su informe, Microsoft incluye algunas recomendaciones, como fortalecer la política de accesos. También señala la gestión de macros y scripts como una manera eficaz de atajar la propagación del malware. Segmentar la red limita la capacidad de los delincuentes de explorar la red atacada y, en su caso, obtener credenciales con altos privilegios.
Ciberseguridad, ante todo
Por supuesto, administrar de manera adecuada los privilegios de las cuentas contribuye a aminorar la posibilidad de que ocurran ciberataques, incluidos los de RaaS. Para ello, se recomienda reforzar el uso de múltiples factores de autenticación. Recurrir a autenticaciones biométricas basadas en el estándar FIDO (Fast Identity Online) puede ser conveniente.
Entre las sugerencias también se cuenta la reducción de la superficie de ataque. Una manera de lograrlo es con una buen gestión de activos de software (SAM). No sólo ayuda a eliminar aplicaciones innecesarias, sino que permite aplicar con rapidez parches de seguridad según sea necesario.
En el caso de los trabajadores remotos, resulta de particular importancia mantener un estricto control de los dispositivos que utilizan. También se deben establecer salvaguardas orientadas a frenar amenazas provenientes de su conexión desde redes externas. Eso conlleva la necesidad de mantener actualizadas y bien configuradas todas las soluciones de ciberseguridad. Probar su eficacia periódicamente mediante ejercicios de pentesting automatizado es buena idea.
Por supuesto, la ciberseguridad en la nube es indispensable para protegerse de los ataques con RaaS. Tiene particular importancia controlar con rigor las cuentas de administrador de los servicios en la nube.
