Las amenazas de ransomware han dominado los titulares en los últimos dos años y seguirán controlando la agenda de la ciberseguridad en 2023. Las bandas de ransomware siguen teniendo éxito a la hora de extorsionar a las empresas; las que pagan las demandas están financiando la industria de este tipo de ciberataques y fomentando la delincuencia. Con el aumento de los ataques en áreas como la salud se ha convertido en algo más que un problema de las organizaciones. ¿Cómo hemos llegado hasta aquí, cuáles son las implicaciones más allá del mundo corporativo y qué deben hacer para romper el ciclo?
El ransomware “democratizó” el robo de datos
La ciberdelincuencia existe desde la década de 1980. Desde entonces, la industria de la ciberseguridad no ha dejado de evangelizar (o “sembrar el miedo”, según a quién se pregunte) sobre las ciberamenazas. En los últimos cinco años, sin embargo, las cosas se han puesto realmente difíciles; se registró un asombroso 90% de las organizaciones afectadas por ransomware sólo en el último año. Aunque la creciente digitalización global ha sido un factor clave, el principal es que los delincuentes han encontrado una forma eficaz de rentabilizar la ciberdelincuencia: el ransomware. Los métodos para instalar ransomware en un dispositivo, como el phishing o las URL maliciosas, no han cambiado mucho.
El beneficio económico siempre ha sido uno de los principales motivos de los ciberdelincuentes, así que ¿por qué se ha tardado tanto en llegar a este punto? La respuesta pone de relieve las implicaciones más oscuras de las nuevas innovaciones digitales. Las nuevas tecnologías han proporcionado a los grupos de piratas informáticos el vehículo de escape perfecto para sus delitos. Las criptomonedas, como el bitcoin, y la tecnología blockchain, que las asegura, proporcionan un método fiable y vuelven casi imposible rastrear el dinero extorsionado. Esto ha convertido a los grupos de ciberdelincuentes en máquinas de hacer dinero, en empresas por derecho propio. El término “banda” oculta lo sofisticadas que pueden llegar a ser estas organizaciones; documentos filtrados a principios de año mostraban cómo Conti —uno de los grupos de ransomware más notorios del planeta— tiene un departamento de recursos humanos, evaluaciones de rendimiento e incluso un “empleado del mes”.
Una visión general de las amenazas de ransomware
Más allá del daño financiero y reputacional de primera mano causado por las amenazas de ransomware, hay que tener en cuenta un panorama más amplio. La ciberdelincuencia es una industria que cuenta con especialistas experimentados y proveedores especializados de productos y servicios. Incluso, se ha modernizado hasta el punto de que los productos RaaS (Ransomware-as-a-Service) pueden adquirirse por suscripción. Como cualquier industria, necesita beneficios para crecer, expandirse y desarrollarse. Pagar las exigencias del ransomware echa más leña al fuego y no sólo las empresas se verán envueltas en las llamas.
Gobiernos, hospitales e infraestructuras críticas son víctimas de cada vez más amenazas de ransomware. Los ataques a hospitales se están volviendo alarmantemente comunes en Estados Unidos y Europa. El mes pasado, el gobierno estadounidense convocó a más de 30 países a unirse para enfrentar las continuas amenazas de ransomware contra infraestructuras críticas. No se trata sólo de ciberataques a naciones (un tema aparte, aunque las fronteras son cada vez más difusas), sino de los mismos ciberdelincuentes que atacan a las empresas. Dos bandas afiliadas a Conti, el grupo mencionado anteriormente, han atacado sectores de infraestructuras críticas en Europa, como el farmacéutico.
Aunque muchos grupos afirman que no atacan infraestructuras críticas por razones éticas o por temor a repercusiones diplomáticas, el ransomware es indiscriminado. Los métodos utilizados pueden ser de gran alcance y los servicios públicos pueden verse fácilmente atrapados por él. De hecho, el número y la gravedad de las amenazas de ransomware están alcanzando un punto crítico. Dado que afectan a organizaciones grandes y pequeñas, públicas y privadas, protegerse y no pagar el rescate son pasos fundamentales para poner fin a la crisis. También es justo decir que las organizaciones tienen la responsabilidad corporativa de no pagar el rescate y financiar nuevos delitos. Pero ¿cómo pueden abordarlo las compañías?
¿Qué deben hacer las empresas?
Podría parecer que el peso del mundo recae sobre los hombros del equipo de ciberseguridad de una organización. Aunque no se puede negar que están sometidos a una enorme presión debido a las amenazas de ransomware, no podemos detenerlo en su origen. En cambio, las organizaciones deben protegerse a sí mismas y ayudar a detener el flujo de dinero (criptográfico) de esta industria criminal.
La prevención del ransomware requiere una combinación de personas, procesos y tecnología. También es importante destacar que, a pesar de lo que la gente pueda pensar, el mundo digital y el mundo real no son tan diferentes. Las ventanas abiertas deben cerrarse con llave por la noche (sistemas de parcheo); dos cerraduras son mejor que una (autenticación de múltiples factores); los objetos o la información vitales deben guardarse bajo llave (protección de datos), y los mayores riesgos de seguridad suelen ser las personas y el personal (amenazas internas o incumplimiento de los procesos).
La prevención es un elemento clave en esta misión y evitar por completo un ataque siempre será más barato que hacerle frente. Sin embargo, tampoco es realista esperar que las empresas eviten todos los ataques a escala. La responsabilidad no es que las empresas eliminen por completo las amenazas de ransomware exitosas; en cambio, deben llegar a un punto en el que, incluso en el caso de un ataque exitoso, la compañía se encuentre en una posición en la que no necesite pagar las demandas: que puedan decir “no” al ransomware.
Poner fin al ciclo de las amenazas de ransomware
Esta última línea de defensa son los procesos de backup y recuperación puestos en marcha. Las amenazas de ransomware pueden ignorarse cuando una organización dispone del backup de los datos críticos con la que restaurar el sistema cifrado. Sin embargo, no todas las copias de seguridad son iguales. A medida que el ransomware y los ciberdelincuentes se han vuelto más sofisticados, atacan ahora activamente los repositorios. Según un estudio realizado este año, el 94% de las amenazas de ransomware iban dirigidas a éstos y el 68% tuvo éxito.
La antigua regla del backup era mantener tres copias de los datos, en dos tipos diferentes de soportes, con una almacenada fuera de las instalaciones (la conocida como regla 3-2-1). Esa copia externa se utilizaba en caso de desastre físico, como un incendio o una inundación. Sin embargo, el ransomware es mucho más común hoy en día. Por ello, además de una copia externa, las estrategias de backup modernas deberían incluir una copia offline, air-gapped (inalcanzable) o inmutable (inalterable). Con esto y un sólido proceso de recuperación (diseño para la recuperación), una empresa puede resistir y recuperarse de forma segura de las amenazas de ransomware sin ni siquiera plantearse pagar un rescate.
El ransomware ha democratizado el robo de datos y ha convertido la ciberdelincuencia en una industria rentable y en desarrollo como nunca habíamos visto. Aunque no es responsabilidad de las empresas abordar o resolver activamente este problema en su origen, sí tienen el deber de cuidar a otras organizaciones e infraestructuras críticas de todo el mundo para no avivar el fuego. Los organismos gubernamentales trabajan para encontrar soluciones al problema (si es que hay alguna). Por su parte, las empresas deben invertir en ciberseguridad para protegerse de daños económicos y de la posibilidad de financiar nuevos delitos.
