Estrategias que ayudan a detener el 'ransomware' antes de que se convierta en una crisis corporativa
Crear planes de respuesta a incidentes, mejorar la política de ciberseguridad e invertir en copias de seguridad sólidas son acciones clave para los CISO que esperan sortear el dilema de pagar o no por el ransomware.
En la última década, el valor medio de los rescates exigidos por los piratas informáticos ha pasado de cientos de dólares a cientos de miles, incluso millones en algunos casos. Con unos requisitos normativos cada vez más estrictos y muchos CISO demandados por no informar de una infracción, lo que está en juego en los ataques de ransomware es cada vez más importante. Los expertos dicen que las empresas pueden evitar llegar a estas situaciones mediante la creación de planes de respuesta a incidentes, la mejora de su política de ciberseguridad y la inversión en copias de seguridad sólidas, tanto de datos como de infraestructura.
En 2018, Shelley Ma, líder de respuesta a incidentes en Coalition, mantuvo una conversación con los equipos ejecutivo y técnico de una empresa que acababa de ser golpeada por un ataque de ransomware. Este paralizó la empresa y el rescate era de 200.000 dólares. "El director general dijo: 'Estoy perdiendo un millón de dólares al día. 200.000 dólares para mí no es nada, así que págalos", recuerda Ma.
En 2015, cuando empezó a lidiar con el ransomware, la mayoría de las empresas pagaban y los rescates solían ser de solo un par de cientos de dólares. Con el tiempo, se han hecho más grandes y ahora son exorbitantes. "Muy rara vez vemos un rescate por debajo de los 300.000 dólares. La mayoría rondan las seis cifras y con bastante frecuencia también las siete u ocho", afirma
Según un informe publicado en julio por Coverware, el tamaño medio de un pago por ransomware ha aumentado a más de 740.000 dólares, un aumento del 126% en comparación con el primer trimestre de 2023, ya que los atacantes han comenzado a dirigirse a empresas más grandes en un intento de extorsionar pagos cada vez mayores. Y, según los últimos datos de NCC, los ataques de ransomware alcanzaron niveles récord en junio de 2023, con un aumento del 221% respecto al mismo periodo del año anterior.
Pero hay buenas noticias. Según Coverware, el porcentaje de ataques de ransomware en los que la víctima pagó ha caído a un mínimo histórico del 34% porque las empresas han estado creando planes de respuesta a incidentes, mejorando su postura de ciberseguridad e invirtiendo en copias de seguridad sólidas tanto de datos como de infraestructura.
Por qué las empresas pagan rescates
Hay dos razones principales por las que las empresas pagan dinero a los ciberdelincuentes: la primera es que no tienen forma de recuperarse del ransomware por sí mismas o que este proceso llevaría demasiado tiempo. "Un caso que tuvimos fue el de un fabricante de dispositivos médicos que nos informó de que estaban a días de tener que emitir más de 2.000 notificaciones de despido si algo no cambiaba drásticamente", dice Heath Renfrow, cofundador de Fenix24, una empresa de recuperación de desastres cibernéticos.
Tras pagar el rescate, pudieron recuperar suficientes datos y sistemas como para que el director general cancelara los despidos, explica. "La mayoría de las empresas con las que hemos trabajado (más de 200 en los últimos 15 meses) habrían tenido que cerrar sus puertas si no pagaban el rescate", afirma. "Aunque no abogamos necesariamente por pagar rescates, entendemos que realmente es una decisión empresarial y, dejando aparte la ética del pago, es una posición difícil, que pone en juego el sustento de muchas personas y a veces vidas e infraestructuras críticas".
La segunda razón principal por la que las empresas pagan es que los delincuentes amenazan con revelar datos confidenciales. Steve Stone, responsable de Zero Labs en Rubrik, ha trabajado con numerosos clientes que han sufrido ataques de ransomware y, a veces, los datos son tan sensibles que reducir el riesgo de que se hagan públicos, por la cantidad que sea, merece la pena. "Varias organizaciones han pagado un rescate extorsivo para intentar proteger los datos, aunque eso signifique que sigue existiendo la posibilidad de que se filtren", afirma.
Por supuesto, no se puede confiar en que los malos cumplan su palabra. Los datos pueden seguir vendiéndose a través de canales ocultos aunque no se viertan en la web oscura. Y sigue contando como una brecha, publiquen o no los atacantes los datos robados, y hay que notificar a las víctimas. Si los datos son lo suficientemente críticos, una empresa puede sentir que tiene que hacer todo lo posible para evitar que salgan a la luz. Algunas empresas también podrían decidir que pagar el rescate podría ahorrarles dinero si se tienen en cuenta todos los costes de recuperación.
Pero puede que en realidad no sea así. Según un informe de IBM publicado a finales de julio de 2023, el coste medio global de un ataque de ransomware para las empresas que no pagaron el rescate fue de 5,17 millones de dólares en 2023. Las empresas que abonaron el rescate redujeron sus costes totales solo un poco, a 5,06 millones de dólares, un ahorro de solo 110.000 dólares, que normalmente se compensa con creces por el coste del propio rescate. He aquí tres estrategias que pueden ayudar a los CISO a mitigar el riesgo y el impacto de un ataque de ransomware:
1.- Crear manuales de respuesta a incidentes
El primer paso para evitar ataques de ransomware es crear un plan tanto si esperas ser un objetivo potencial como si no (asume que es más una cuestión de cuándo te llegará un ataque de este tipo, no de si te llegará). Según un informe reciente realizado por Vanson Bourne en nombre de Barracuda, el 73% de las empresas sufrieron al menos un ataque de ransomware en 2022.
Sin un plan de respuesta a incidentes, las empresas suelen entrar en pánico, sin saber a quién llamar o qué hacer, lo que puede hacer que pagar el rescate parezca la salida más fácil. Sin embargo, con un plan en marcha, la gente sabe qué hacer y, en el mejor de los casos, habrá practicado el plan con antelación para asegurarse de que las medidas de recuperación de desastres funcionan como se supone que deben hacerlo.
Un plan de respuesta a incidentes debe incluir funciones y responsabilidades claras, protocolos de comunicación y estrategias de recuperación. Según el informe 2023 sobre ransomware y extorsión de Palo Alto, las víctimas de estos ataques deben prepararse para tres tipos de vulnerabilidades: cifrado de datos y sistemas, robo de datos y (más recientemente) acoso.
El porcentaje de ataques de ransomware que implicaron robo de datos aumentó al 70% a finales de 2022 desde el 40% en 2021, mientras que los incidentes de acoso aumentaron al 20% desde menos del 1%. Por lo tanto, los planes de respuesta a incidentes deben incluir no solo medidas para recuperarse del cifrado de ransomware y protocolos para hacer frente a las amenazas de datos filtrados, sino también qué hacer en caso de que los empleados o clientes estén siendo acosados.
Por ejemplo, los atacantes pueden llamar y dejar mensajes de voz a ejecutivos y empleados de la empresa, enviar correos electrónicos y revelar la identidad de las víctimas en un sitio de filtraciones o en las redes sociales. Estas tácticas están diseñadas para aumentar la presión sobre los responsables de la toma de decisiones. En general, las empresas que consiguen recuperarse más rápidamente de los ataques de ransomware son las que tenían planes de respuesta a incidentes y los habían practicado con antelación. Afortunadamente, el sector en general ha ido mejorando en este sentido, afirma Ma. "Ha habido un crecimiento significativo en la respuesta a incidentes en general".
Poner a prueba el plan es fundamental, ya que los procesos que funcionan sobre el papel a menudo pueden fallar en la práctica. Por ejemplo, Ma se ha topado con situaciones en las que las empresas tenían copias de seguridad pero no eran válidas o eran inaccesibles, o no estaban configuradas de forma que la empresa pudiera utilizarlas para una rápida recuperación en caso de desastre. Las empresas que se encuentran en esta situación pueden entrar en pánico y decidir pagar el rescate después de todo.
Pero las herramientas de descifrado suelen fallar cuando se trata de restaurar sistemas complejos derribados por el ransomware. "Incluso si eres capaz de descifrar tus conjuntos de datos completos, es difícil conseguir que las configuraciones complejas vuelvan a funcionar como antes del incidente", dice Ma.
2. Implantar una ciberseguridad multicapa
Para la mayoría de las empresas, centrarse en la higiene básica de la seguridad es la forma más rápida de reducir los riesgos del ransomware. "El objetivo [del sector de la ciberseguridad] no es hacer que nuestras redes sean impenetrables", afirma Frank Dickson, vicepresidente del grupo de investigación sobre seguridad y confianza de IDC. "Es mejorar las defensas hasta tal punto que ya no sea rentable penetrarlas".
Según una encuesta de IDC realizada en junio, las empresas que no sufrieron filtraciones de ransomware solían utilizar todas o algunas de las cinco tecnologías de seguridad clave: detección y respuesta de puntos finales (EDR), pasarelas de seguridad en la nube o agentes de seguridad de acceso a la nube (CASB), sistemas de gestión de eventos e información de seguridad (SIEM), análisis de identidades o análisis del comportamiento de usuarios y entidades (UEBA) y detección y respuesta de redes (NDR).
Disponer de varias capas de defensa, así como configurar la autenticación multifactor y el cifrado de datos es algo fundamental para la ciberseguridad, pero muchas empresas siguen equivocándose. Stone trabajó recientemente con una organización educativa que había invertido mucho en ciberseguridad. Cuando se vieron afectados por el ransomware, pudieron cambiar las operaciones a una copia de seguridad offline. Entonces, los atacantes aumentaron sus exigencias: si la organización no pagaba el rescate, sus datos se filtrarían online. "La organización estaba bien preparada para un evento de cifrado, pero no para el segundo rescate", dice Stone. "Había datos sensibles reales que desencadenarían una serie de acciones de cumplimiento normativo".
La empresa no quería que se filtraran los datos, pero tampoco confiaba en que los atacantes cumplieran sus promesas. "Lo que esta organización decidió hacer es no pagar tampoco el segundo rescate", afirma Stone. En su lugar, mientras los atacantes esperaban una respuesta, la organización notificó a las víctimas sobre la brecha. "Para cuando los datos se filtraron online, ya habían completado las acciones de notificación".
El ataque puso de manifiesto dos puntos débiles en la estrategia de defensa de la empresa. En primer lugar, su manual de respuesta a incidentes no contemplaba una segunda extorsión. En segundo lugar, no habían cifrado sus datos confidenciales. Después, volvieron a revisar su estrategia, empezando por su manual de respuesta. "¿Cómo podemos mejorar? ¿Cómo reducimos el riesgo? ¿Cómo podemos hacer las cosas de forma diferente la próxima vez?, desvela Stone, lo que también les llevó a cifrar los datos sensibles.
Los controles de seguridad funcionan y, con los años, las empresas han mejorado en su protección. Rubrik realiza evaluaciones de seguridad de las organizaciones "y esa puntuación subió un 16% el año pasado, con mejoras en todas las regiones y todos los sectores", afirma Stone. Con las medidas adecuadas, las empresas pueden reducir tanto el número como la gravedad de los ataques y volver a funcionar rápidamente después de haber sido atacadas. "Todo se reduce a los costes", afirma Adam Strange, analista de Omdia. "Simplemente, las organizaciones no han tenido los presupuestos para poder ponerse en una posición segura".
Los datos se consideran desde hace tiempo uno de los activos más importantes de una organización. "Pero la forma en que lo hemos protegido (o no) en los últimos años ha sido realmente deplorable", afirma. "Si una organización va a morir porque no tiene acceso a sus datos, tiene que pensar mucho más en cómo protegerlos". Es sólo con la llegada de GDPR y CCPA que la seguridad de los datos ha estado emergiendo como una disciplina separada por derecho propio, añade.
3. Invertir en copias de seguridad sólidas
Cuando los atacantes de ransomware se afianzan en una organización, tienen dos objetivos principales: llegar a los datos valiosos y neutralizar las copias de seguridad. "El mejor de los casos son las copias de seguridad robustas que están en la nube, y completamente desconectadas de la red principal", indica Ma. "Y copias de seguridad en cinta, que suelen ejecutarse con menos frecuencia, pero completamente segregadas y no accesibles a través de Internet".
Si los atacantes consiguen acceder a las credenciales del dominio, no deberían poder acceder también a las copias de seguridad. "Si las copias de seguridad requieren un segundo conjunto de autenticación, están mucho más protegidas", afirma Ma.
Otra estrategia son las copias de seguridad inmutables, que no se pueden sobrescribir ni borrar. "Algunas de las grandes empresas lo tienen implantado. Pero para las pequeñas y medianas empresas, el tema de las copias de seguridad inmutables no llega a la sala de juntas. Siguen confiando en la tecnología de copias de seguridad de 2016, y eso no es suficiente en los tiempos que corren", afirma.
Rubrik realizó recientemente un análisis de varios miles de organizaciones, tanto de entornos de clientes como de no clientes, y el 99% de las empresas tenían copias de seguridad de los datos cuando se vieron afectadas por el ransomware. Sin embargo, el 93% de las empresas también tuvieron problemas importantes para utilizar esas copias de seguridad para recuperar los datos perdidos. "O no había suficiente almacenamiento de datos, o no había suficiente experiencia, o una parte inadecuada de su entorno estaba cubierta", dice Stone. Además, en el 73% de los incidentes, los atacantes lograron acceder a las copias de seguridad, añade.
Si las copias de seguridad no estaban protegidas adecuadamente, los atacantes podían borrarlas o utilizar credenciales comprometidas para acceder a los paneles de gestión. Si las copias de seguridad fallaban o eran eliminadas por los atacantes, pagar el rescate podía parecer la única salida. Pero, según el informe de Rubrik, sólo el 16% de las organizaciones recuperaron todos los datos tras pagar la demanda del ransomware.
¿La razón? Las bandas de ransomware no son muy buenas con sus herramientas de descifrado y tampoco están especialmente motivadas. Mientras sus herramientas hagan algo, lo que sea, las víctimas tienen esperanza. Según Stone, los ataques de ransomware actuales rara vez los lleva a cabo un solo grupo. En su lugar, hay un ecosistema de ataque. Un actor encuentra la vulnerabilidad que le permite entrar en un entorno. Otro coloca el ransomware. Un tercero roba datos y los revende. Otro utiliza las credenciales robadas para lanzar más ataques. Otros actores pueden utilizar la misma ruta de acceso para introducir criptomineros o más ransomware. "No es raro que en una intrusión participen varios actores de amenazas", recalca Stone.
Así que no es una sorpresa que, según Barracuda, el 38% de las organizaciones informaron de dos o más ataques exitosos de ransomware en 2022, frente a menos del 20% en 2019. "Puedes convertirte en una anualidad para los delincuentes porque pueden seguir pidiendo más dinero", dice Catherine Castaldo, socia de la práctica de tecnología y datos de Reed Smith. "Hemos visto que esto sucede, especialmente en áreas sensibles como hospitales y bufetes de abogados".
Las empresas que evitan invertir en seguridad multicapa, cifrado fuerte, autenticación multifactor y copias de seguridad sólidas porque piensan que no se verán afectadas por el ransomware (o, si lo están, creen que sería más barato pagar el rescate y volver al trabajo) están viviendo en el pasado. Esta estrategia podría haber funcionado en 2013, cuando los ataques de ransomware eran poco frecuentes y los rescates eran ínfimos. Pero hoy no funciona.
