Los hackers no dejan de idear nuevas formas de extorsionar a las instituciones de salud. Una de las más recientes es el ransomware dual. Es un tipo de ataque consistente en sufrir dos infecciones consecutivas con cepas distintas de malware. Es diferente al ransomware de doble extorsión, en el cual las víctimas se ven expuestas a una sola “cepa” del malware pero se le exige dos veces el pago. El primer pago suele demandarse para desencriptar los datos; el segundo, para no publicar la información comprometida. Pero se trata de una sola infección.
Con el ransomware dual, en cambio, ocurre una segunda infección cuando la recuperación de la primera apenas está en proceso. De hecho, de acuerdo con una publicación del FBI, el segundo ataque suele darse en un lapso de 48 horas. Además, añade la agencia estadounidense, los hackers pueden dejar oculto algún malware diseñado para borrar los datos más adelante.
Ahora bien, los recursos de TIC usados en el cuidado de la salud son especialmente vulnerables al ransomware dual. Esto es porque necesariamente deben intercambiar información con diversos proveedores externos. De hecho, los hackers suelen emplear como vía de acceso a las redes hospitalarias dichas interacciones. Es por ello que se debe comprobar regularmente la postura de seguridad con los proveedores y limitar lo más posible los privilegios para el intercambio de datos.
Características del ransomware dual
Enfrentar dos tipos de ransomware, uno para exfiltrar y otro para encriptar los datos es particularmente desafiante para el área de ciberseguridad. Por ello, conviene que los responsables de TIC se familiaricen con las características del ransomware dual.
●Este tipo de ataques están pensados para aumentar la presión psicológica. Esto es, los hackers saben que tras el primer golpe los departamentos de TIC pueden buscar la manera de recuperarse sin pagar el rescate. Además, lógicamente, procuran hacerlo en el menor tiempo posible. Interrumpir este proceso con un segundo ataque con una cepa distinta —lo cual por ende implica empezar de nuevo la recuperación— puede propiciar que las víctimas se decidan a pagar para salir del problema.
●Para protegerse del ransomware dual no basta con mantener las medidas habituales de ciberseguridad. De acuerdo con el FBI, repeler estas amenazas implica ciertas tácticas específicas. Destaca que se deben segmentar las redes hospitalarias (frena la propagación del malware). También se deben aplicar oportunamente los parches de las aplicaciones conforme estén disponibles (para eliminar vulnerabilidades). Además, conviene implementar una política de accesos con privilegios mínimos, para que los usuarios sólo puedan acceder a los datos necesarios para sus actividades.
Protegerse de vías externas
●En el caso del cuidado de la salud, el ransomware dual puede tener consecuencias graves. Y no sólo para las organizaciones —cuyas finanzas podrían sufrir un golpe severo, además del daño reputacional—, sino para los pacientes cuyos datos se ven afectados.
●Por otra parte, el ransomware dual tiene costos ocultos más allá del rescate pagado. En el peor de caso, si ocurre una pérdida definitiva de los datos, los sistemas y servicios hospitalarios pueden verse paralizados por un lapso significativo. Por supuesto, las consecuencias pueden ser devastadoras los pacientes.
●Lo más grave, añade el FBI, es que el malware empleado en los ataques de ransomware dual puede incorporar nuevo código que les permite pasar desapercibidos por lapsos relativamente largos. Por lo tanto, conviene que se tenga presente que los respaldos pueden ser la última línea de defensa. Por supuesto, deben estar fuera de línea y, de preferencia, en un formato inmutable. Sin embargo, como siempre en lo que se refiere a ciberseguridad, lo más importante es mantenerse en guardia.