Los incidentes de ransomware son ataques en los cuales los criminales obtienen acceso no autorizado a la red de una organización y encriptan sus activos informáticos, con el fin de extorsionar a esta y exigir un rescate por su devolución.
Ricardo Villadiego, CEO de Lumu Technologies, compañía de seguridad tecnológica creadora del modelo Continuous Compromise Assessment?? que permite a las organizaciones medir compromisos confirmados en tiempo real, asegura que detectar instancias comprobadas de compromiso es una práctica emergente y probada para controlar y contener el impacto de los ataques que logran comprometer a las empresas.
En algunas ocasiones los atacantes logran filtrar la información, con el objetivo de ejercer mayor presión en la extorsión al cliente afectado y por lo tanto exigir un mayor valor de rescate, menciona Villadiego, señalando que este delito genera un problema de ansiedad que se vive en las horas asociadas a este secuestro cibernético.
Un incidente de ransomware jamás es un episodio aislado y siempre es el resultado de múltiples ataques que, de alguna u otra forma, permiten que el adversario tuviera acceso a la red de la organización y pudiera moverse en ella hasta lograr su objetivo. Villadiego asegura que las empresas deben medir continuamente el contacto que tienen con la infraestructura adversaria. Si una compañía está comprometida y no lo sabe, el atacante pasa desapercibido y permanece en la red hasta encontrar elementos que pueda monetizar y este tiene el potencial de causar un resultado catastrófico.
De acuerdo con el último informe Flashcard Report: Monetización del Cibercrimen elaborado por Lumu Technologies, se identificó un aumento acelerado en la actividad de los mercados de la dark web que comercian con credenciales de acceso a redes comprometidas. Este negocio ha evolucionado hasta el punto de transar elementos que hace unos años eran poco frecuentes, ya que antes, sólo se centraban en la venta de datos de tarjetas de crédito comprometidas.
Para el 2020, los sitios dedicados a la venta de credenciales comprometidas en la dark web fueron 804, una cifra que se incrementó para el presente año, con una proyección de hasta 1.204 sitios. Durante este período, las redes de las organizaciones comprometidas evidenciaron un exagerado número de actividades que rara vez se asocian con incidentes de ransomware, como fueron los casos de phishing, los contactos frecuentes con botnets de minería de criptomonedas y la interacción con botnets de spam.
Hoy en día, las múltiples posibilidades de monetización que tiene un cibercriminal, incluyendo el saqueo de los datos, hacen que toda organización, independiente de su tamaño o la vertical en que se encuentren, sean un objetivo para los cibercriminales. Desde un emprendimiento pequeño, hasta las instituciones de más alto nivel como grandes instituciones financieras, universidades, grandes superficies o entidades gubernamentales. El mensaje es claro: ninguna organización está a salvo de sufrir un incidente de ransomware.
¿Cómo puede una empresa protegerse?, implementando capacidades que me permitan monitorear, de forma eficiente, qué redes están afectadas, añade Villadiego, destacando la oferta de Lumu Technologies con el sistema de Evaluación Continua de Compromiso, el cual permite a las organizaciones medir en tiempo real, su estado de contacto con la infraestructura adversaria.
El punto más alto de resistencia cibernética de una organización es el de más bajo contacto con la infraestructura adversaria, explica. Si ocurre algún tipo de acercamiento, el equipo de seguridad de la organización será alertado, incluyendo el dispositivo que generó dicho contacto, permitiendo al operador tomar las acciones necesarias para mitigar dicha exposición y con esto eliminar el potencial efecto catastrófico. La versión Lumu Defender permite de forma automática tomar acciones que eliminan el contacto.
El experto hace una serie de recomendaciones a las organizaciones para evitar que sus sistemas de seguridad se vean vulnerados. Este tipo de ataques evidencian el impacto que estos tienen en la industria, añadiendo que, en primer lugar, la alta dirección de la organización debe ser consciente que la ciberseguridad también es parte del negocio mismo y debe ser observado de la misma manera que cualquier otro proceso crítico de la empresa.
En segundo lugar, una organización en temas de ciberseguridad debe controlar todo lo que sucede a su alrededor. Si no mido mi estado de compromiso, me voy a estrellar, dice el experto, señalando que la organización que ya ha sufrido un ataque puede volver a ser víctima de uno igual o peor. Finalmente, las empresas deben tener un mayor punto de resistencia a los ataques cibernéticos, lo cual se lograría solamente teniendo un punto de menor contacto con las infraestructuras adversarias.
Con más de 2.000 clientes que utilizan este sistema, entre los que se destacan bancos, cadenas de retail y entidades de Gobierno alrededor del mundo, Lumu Technologies invita a las organizaciones a tener conciencia de que los ataques de ransomware pueden ocurrir en cualquier momento, sin distinción alguna de actividad económica o rango de importancia.
Toda organizaciones, grandes o pequeñas, se ven potencialmente afectadas y deben desarrollar las capacidades que les permitan monitorear su estado de contacto con infraestructura adversaria de las maneras que realmente van a agregar valor: de forma intencional y continua, concluye Villadiego. (P)