Ciberamenazas: El ransomware va a seguir de moda

Los ataques en Internet tienen una clara tendencia a dirigirse a los usuarios. Si miramos cualquier estadística o reporte de ciberseguridad el objetivo siempre es claro. Los atacantes pasaron de explotar vulnerabilidades duras -relacionadas con la tecnología- a ir directo a las personas. Columna por Hernán Möller. Y está claro el por qué, es más […]

Los ataques en Internet tienen una clara tendencia a dirigirse a los usuarios. Si miramos cualquier estadística o reporte de ciberseguridad el objetivo siempre es claro. Los atacantes pasaron de explotar vulnerabilidades duras -relacionadas con la tecnología- a ir directo a las personas.

Columna por Hernán Möller.

Y está claro el por qué, es más fácil que un colaborador caiga en un phishing versus encontrar una vulnerabilidad en un componente tecnológico que tiene como objetivo -justamente- proteger a los usuarios.

El ransomware es un híbrido entre ataques enfocados a los usuarios y explotación de componentes tecnológicos, lo que lo hace mucho más peligroso que una campaña de phishing normal. Agregar este segundo paso, de secuestrar la información de la organización, es mucho más dañino, ya que la mayoría de las empresas no están preparadas para detectar, contener y erradicar una amenaza de este tipo.

A pesar de que en muchas entidades existen antivirus y soluciones de EDR de última generación, estas nunca se ponen a prueba con simulaciones o ejercicios de crisis. Sin ir más lejos hace muy poco nuestro Red Team logró evadir una solución de EDR de una marca top en el mercado, utilizando un binario o adjunto “malicioso”, y digo malicioso en comillas porque lo creamos nosotros y estaba 100% bajo control.

Es justo por estas razones que el ransomware va a seguir de moda: la falta de pruebas, simulaciones, ejercicios de crisis o como quieran llamarlo, es crítica. Una empresa que no valide el correcto funcionamiento de sus controles de seguridad dad, no puede considerar la efectividad de estos ni el grado de seguridad de los mismos.

Una empresa que no valide el correcto funcionamiento de sus controles de seguridad, no puede considerar la efectividad de estos ni el grado de seguridad de los mismos

Es necesario desconfiar siempre que el proceso o la herramienta funciona, y se deben poner a prueba, o de lo contrario pasarán a ser un adorno -o un ítem- que se implementó como parte del presupuesto para cumplir con las exigencias del ente regulador o de las jefaturas.

Recomendaciones sobre ransomware para empresas

• Contar con una solución de antivirus y EDR actualizada en todas sus estaciones de trabajo y servidores.
• Centralizar los logs y eventos de todas las herramientas de seguridad.
• Segmentar y aislar las redes internas de la empresa, para que en caso de una infección el impacto sea controlado a un grupo acotado de sistemas.
• Controlar y restringir los permisos de los usuarios.
• Concientizar a los usuarios en ciberseguridad para que no sean víctimas de un phishing (vector principal de entrada para el ransomware). Hay servicios de awareness que resuelven estas necesidades.
• Generar un playbook específico para un incidente de ransomware, que le permita al área de TI saber qué hacer en caso que se materialice un incidente.
• Realizar actividades de Red team que pongan a prueba los controles que la empresa tiene.
  

Estas recomendaciones no van a evitar que un incidente de ransomware se materialice, porque siempre existe la posibilidad de que nuevas vulnerabilidades sean descubiertas, o que un usuario descargue un archivo adjunto malicioso, pero sí van a permitir que el impacto de este tipo de ataques sea menor.