Los ataques de ransomware están acaparando los titulares, pero la realidad es aún más grave. La mayoría de las víctimas nunca aparecen en los medios, ya que pagan discretamente para que el problema desaparezca. El peligro se está intensificando a medida que las amenazas se multiplican, su sofisticación aumenta y los rescates que exigen los delincuentes informáticos son cada vez más altos.
¿Qué haría si mañana los delincuentes informáticos entraran a sus sistemas y le bloquearan el acceso a sus propios datos y sistemas? Pueden tomar como rehenes activos como los números de tarjetas de crédito de sus clientes, o procesos comerciales críticos de los que dependen sus operaciones, o datos confidenciales que usted está obligado por ley a proteger. Los delincuentes informáticos han utilizado cada vez más el método de doble golpe: pague para desbloquear sus datos y/o pague o publicaremos todos sus datos en Internet. Un bloqueo permanente podría paralizar sus operaciones. Una publicación pública podría perjudicar a sus clientes, afectar su marca y provocar el escrutinio regulatorio y fuertes multas.
Los cuatro peligros nuevos
Puedes reducir los riesgos, pero debes actuar ahora. A continuación, te presentamos cuatro cosas que debes saber sobre los nuevos peligros.
- 1. Mientras usted lee estas palabras, los delincuentes informáticos de ransomware están investigando su empresa.
- 2. El ransomware como servicio está posibilitando y multiplicando ataques sofisticados.
- 3. Los nuevos esquemas son más lucrativos para los delincuentes y más costosos para usted.
- 4. Los delincuentes informáticos que utilizan ransomware probablemente no serán castigados, incluso si son atrapados.
1. Mientras usted lee estas palabras, los delincuentes informáticos de ransomware están investigando su empresa.
Hay una dura verdad sobre el ransomware: suele ser rentable. Como resultado, atrae a cibercriminales y organizaciones criminales muy sofisticadas, que invierten tiempo y dinero para elegir los objetivos más lucrativos y evaluar cómo superar las defensas.
¿Qué factores pueden convertir a su empresa en un objetivo? Los delincuentes de ransomware tienen en cuenta tres factores. En primer lugar, tienen en cuenta su capacidad de pago. A menudo realizan análisis financieros (como lo haría un analista de Wall Street), investigan los salarios de sus principales ejecutivos (sí, saben cuánto ganan) e intentan determinar si tienen seguro cibernético. En segundo lugar, evalúan la calidad de sus defensas. Es posible que investiguen su ciberseguridad durante meses antes de decidirse finalmente por un ataque. En tercer lugar, tienen en cuenta el daño que pueden causar. Si pueden paralizar rápidamente sus operaciones críticas, saben que es posible que no tengan más opción que pagar un rescate mayor.
2. El ransomware como servicio está posibilitando y multiplicando ataques sofisticados.
El modelo de "todo como servicio" también funciona para los delincuentes: existen al menos 12 "ofertas de servicios" bien establecidas en las que los desarrolladores de ransomware alquilan su malware a cambio de una parte de las ganancias delictivas, que normalmente van desde el 25 % de los pequeños rescates hasta el 10 % de los que superan los 5 millones de dólares. Incluso es posible medir la cuota de mercado y las ganancias de los proveedores de ransomware como servicio (RaaS), que pueden ofrecer sus servicios a los delincuentes informáticos y ofrecer a sus clientes delincuentes servicios de asistencia técnica.
RaaS reduce la barrera de entrada, ya que los ciberdelincuentes ya no necesitan desarrollar su propio malware. Muchos se especializan en su lugar en propagarse a través de su entorno de TI e implementar el ransomware alquilado a gran escala.
3. Los nuevos esquemas son más lucrativos para los delincuentes y más costosos para usted.
Los actores del ransomware están encontrando nuevas formas de monetizar sus datos. Muchos ahora descargan (“ex filtran”) datos de los sistemas de las víctimas, cifran estos archivos y anuncian su acción en sitios públicos de filtraciones. Luego establecen una fecha límite para pagar el rescate. Si se niega, publican estos datos robados. La amenaza de daño a sus clientes, su marca y su cumplimiento normativo puede obligarlo a pagar mucho para recuperar sus datos.
Además, los delincuentes informáticos del ransomware practican cada vez más la doble extorsión. Exigen el rescate dos veces: primero exigen dinero por una clave digital para desbloquear archivos para que pueda acceder a sus datos nuevamente. Luego, piden aún más dinero a cambio de una promesa de destruir sus copias de los datos robados. El último desarrollo es ofrecer información anticipada sobre una brecha planificada a los inversores que luego pueden vender en corto las acciones de esa empresa.
La demanda de rescate más alta pagada a los ciberdelincuentes en los EE. UU., Canadá y Europa se duplicó a $10 millones en 2020, y los pagos promedio aumentaron un 171%. El récord se rompió en marzo de 2021, cuando se informó de que se había pagado un rescate de 40 millones de dólares por una demanda de 60 millones. El pago medio por ransomware aumentó un 43 % en el primer trimestre de 2021.
4. Los delincuentes informáticos que utilizan ransomware probablemente no serán castigados, incluso si son atrapados.
Muchos grupos criminales que se dedican al ransomware operan con la protección, al menos tácita, de su gobierno de origen. Es muy común que las autoridades policiales estadounidenses identifican, sancionen y procesen a los criminales de ransomware en otros países, solo para que estos países luego se nieguen a extraditarlos.
Hay intentos de poner fin a esta impunidad. El Grupo de Trabajo sobre Ransomware, por ejemplo, recomienda el desmantelamiento de los sistemas de pago de rescates y ejerce presión sobre las naciones para que tomen medidas enérgicas contra los actores del ransomware. El ataque del ransomware Colonial Pipeline, que amenazó los suministros de combustible de Estados Unidos, puede alentar al gobierno de Estados Unidos a actuar con más firmeza contra los países que protegen a los perpetradores del ransomware.
Pero por ahora, hay que asumir que algunos de los actores del ransomware más peligrosos creen, con razón, que pueden atacarte con impunidad.
Cómo protegerse contra estos costosos y sofisticados esquemas de ransomware
Tu primera defensa: ser mejor que tus compañeros.
Los delincuentes que utilizan ransomware elegirán los objetivos más lucrativos y fáciles, por lo que es aconsejable reforzar sus defensas y alentar a los delincuentes informáticos a buscar en otra parte. Mejore su ciberseguridad con autenticación multifactor en todas las cuentas (incluido el acceso a VPN), una sólida aplicación de parches y gestión de vulnerabilidades, sistemas de detección de intrusiones y antivirus actualizados y protocolos de escritorio remoto (RDP) que estén deshabilitados o no sean accesibles desde Internet. Comprenda dónde se encuentran sus datos críticos, las implicaciones (incluidos los requisitos normativos) de cualquier infracción y lo que necesitaría recuperar para crear una "empresa mínima viable". Cree y compruebe copias de seguridad sin conexión, junto con un sólido procedimiento de restauración. Defina y apruebe cuánta interrupción puede tolerar, de modo que, si un ataque tiene éxito, pueda tomar la decisión correcta sobre el pago del rescate.
Planifique ahora para recuperarse de un ataque.
Si sufre un ataque, tener un plan preparado puede reducir las pérdidas y permitirle volver a funcionar rápidamente. Tener copias de seguridad completas e incrementales separadas y disponibles para restaurar puede ayudarle a volver a funcionar y reducir el impacto operativo.
De lo contrario, incluso si paga un rescate, la recuperación puede ser lenta y costosa, ya que los entornos de TI son complejos y la información sobre los sistemas críticos puede no estar clara. Después de que los delincuentes de ransomware devuelven los datos y proporcionan claves de descifrado, es muy común que las empresas que carecen de un plan se enfrenten a una recuperación larga y lenta: las herramientas de ransomware pueden haber dañado los datos y los equipos de TI pueden no tener las habilidades de descifrado necesarias. Desarrolle y ponga a prueba hoy planes de respuesta a incidentes y crisis. Pruebe estos planes para un escenario catastrófico de ransomware, donde las herramientas de seguridad y TI comunes podrían no estar disponibles y los esfuerzos de recuperación podrían requerir semanas o meses.
Asegúrese de tener la experiencia técnica para responder al ataque determinando su causa, investigando su alcance, conteniendo la ruptura y expulsando al atacante de su entorno.
En resumen
El ransomware es un peligro importante y está en aumento, contra el cual debe reforzar las defensas y desarrollar un plan de respuesta ahora mismo. Los delincuentes que utilizan ransomware se están multiplicando, atrayendo nuevos talentos cibernéticos, innovando con malware y actuando con impunidad. Para reducir los riesgos, sus defensas y su plan de respuesta a incidentes deben ser de primera categoría y estar en constante evolución. El plan de defensa adecuado también será exclusivo de su organización: tendrá en cuenta sus necesidades críticas, sus defensas actuales y potenciales, sus vulnerabilidades y su espíritu organizacional.
