Los tiempos actuales se caracterizan por el constante uso de la tecnología y automatización. Hoy en día no se conciben las tareas diarias, tanto personales como corporativas, sin la tecnología. En paralelo con este crecimiento exponencial, también existe el aumento constante de las ciberamenazas. Una de estas es el ransomware o secuestro de datos.
El ransomware es un tipo de ciberataque por el cual los cibercriminales extraen y secuestran la información de sus víctimas. El objetivo de estos ataques es pedir un rescate (ransom, en inglés) a cambio de liberar la información secuestrada. O bien, extorsionar a las víctimas con la amenaza de hacer públicos los datos extraídos.
Los atacantes actuales aprovechan las técnicas de evasión sofisticadas, como la ejecución en la memoria y la carga de malware desde máquinas virtuales para eludir las defensas de los dispositivos terminales (endpoints). La seguridad tradicional de redes y endpoints simplemente no se ha mantenido al día con las amenazas que evolucionan rápidamente. Eso no ayuda a bloquear ransomware nuevo y evasivo.
Ryuk, WastedLocker, REvil y otros grupos de ransomware utilizan técnicas de ataque dirigidas y capacidades similares a las de los gusanos para infectar hosts. Se debe bloquear cada paso del ataque, desde la entrega hasta los movimientos difíciles de detectar. Luego, restaurar rápidamente los hosts comprometidos si es necesario.
Los ataques de secuestro de datos son cada vez más comunes, y ningún sector está exento de sufrirlos. En México, uno de ellos es la salud.
Técnicas de extorsión
El Informe sobre ransomware y extorsión de Unit 42 (2023) clasifica a Brasil como el país con más ataques de ransomware en Latinoamérica, con 59 incidentes reportados. México tuvo 26, dos más que el año anterior, representando casi el 1% de ataques en el mundo. Lo siguen Argentina con 23 y Colombia con 19. Si bien en muchos casos la motivación es financiera, Unit 42 también ha visto indicios de que la extorsión puede ocurrir al servicio de otros objetivos más grandes de un grupo. A veces simplemente para financiar otras actividades, pero otras para distraerse de ellas.
Los actores de ransomware a menudo usan una variedad de técnicas de extorsión (llamadas multiextorsión) para forzar el pago del rescate. Unit 42 ha observado las siguientes tácticas de extorsión empleadas por los actores de amenazas de ransomware:
●Cifrado. Los datos y archivos de una organización son encriptados, y el hacker exige un pago para restaurar el acceso a ellos. Esta ha sido durante mucho tiempo la principal táctica de extorsión del secuestro de datos.
●Robo de datos. Los actores de amenazas adquieren los datos de una organización y amenazan con difundirlos a menos que se les pague. Esto a menudo involucra sitios de fugas en la dark web.
Los actores de amenazas apuntan cada vez más a la información que puede ser particularmente sensible, como archivos que contienen información de identificación personal (PII), información de salud protegida (PHI) o datos financieros del cliente.
Resistencia al secuestro de datos
●Denegación de servicio distribuida (Distributed Denial of Service, DDoS). los sitios web u otros recursos son objeto de un ataque DDoS para interrumpir las operaciones y llamar la atención de una organización.
●Acoso. los actores de amenazas pueden llamar, enviar correos electrónicos o comunicarse de otra manera con los empleados o clientes de una organización. También pueden publicar en las redes sociales sobre el incidente o contactar periodistas para difundirlo.
Incluso tener respaldos de información no siempre es suficiente. Unit 42 vio incidentes en los que las organizaciones decidieron no pagar el rescate porque tenían fuertes respaldos; sin embargo, los hackers continuaron con campañas de acoso tan intensas que los costos resultantes excedieron el rescate exigido. Además, hubo un precio más allá del dinero, pues un ataque de secuestro de datos puede repercutir en la reputación de las empresas. Las afecta reconocer que fueran atacadas o que no tuvieron los medios para contrarrestarlos.
La ciberseguridad ya no es una opción, sino una necesidad para todas las organizaciones, pues ninguna está exceptuada de sufrir un ataque de ransomware. Les corresponde implementar las mejores prácticas de administración de identidades y accesos (Identity and Access Management, IAM) para proteger sus API en la nube. Igualmente, fortalecer sus protocolos de ciberseguridad para mejorar su resistencia al secuestro de datos.