El ransomware es un software malicioso que usan los ciberdelincuentes “para denegar el acceso a datos, sistemas u otros activos comerciales cruciales, generalmente encriptando datos y archivos para que no se puedan leer hasta que se pague un rescate”. No solo amenazan con interrumpir el negocio, sino que a veces también con la posible divulgación de datos si no se paga lo exigido, caso en el cual se convierte en un ataque de “doble extorsión”).
Los ciberdelincuentes atacan donde creen que hay una gran huella en el sistema, datos valiosos e individuos u organizaciones dispuestas a pagar para recuperar el acceso a sus datos y redes.
Las industrias financiera y de la salud y los estudios jurídicos y contables son blancos favoritos de este tipo de ataques. Durante 2019 también lo fue el sector público, en tanto que las pymes representaron alrededor del 60% de las perjudicadas, aunque esto o implica que las grandes compañías sean inmunes, de hecho, los ciberdelincuentes suelen atacar sus cadenas de suministro.
Una investigación encontró que este tipo de ataque a la seguridad informática se incrementó más del 74% entre el primer semestre de 2018 y el primero de 2019. El gran problema con el ransomware es que ocasiona un tiempo de inactividad costoso –que se estima en un promedio de 9,6 días-, ya que muchas veces el ataque impide efectuar tareas básicas relacionadas con la IT.
Señuelo temático
La peligrosidad del ransomware está relacionada con la capacidad de contextualizarlo y dirigir los ataques a organizaciones específicas. Una estimación indicó que la pandemia de COVID-19 –que se utilizó como señuelo temático- provocó un crecimiento del ransomware del 72% durante la primera mitad del 2020.
También hay evidencia de que el trabajo remoto aumenta significativamente el riesgo de un ataque de ransomware exitoso. Este incremento se debe “a una combinación de controles más débiles en la IT doméstica y una mayor probabilidad de que los usuarios hagan clic en el ransomware temático COVID-19 para atraer correos electrónicos, dados los niveles de ansiedad”.
Otra investigación llegó a la conclusión de que estos ataques se volvieron cada vez más frecuentes por tres razones:
- Su lanzamiento requiere poca experiencia técnica.
- El pago suele ser casi inmediato.
- Más víctimas que nunca están pagando: en 2018, solo el 39% de las víctimas cedieron a las demandas de rescate, en tanto que para 2020 esa cifra se estimó en un 58%.
El mismo estudio indicó además que entre el cuarto trimestre de 2019 y el primero de 2020 los ataques habían aumentado un 25% y el ransomware superó el robo de tarjetas de pago para convertirse en el tipo más común de amenaza cibernética.
Cómo defenderse
La defensa contra el ransomware requiere de un enfoque proactivo en múltiples frentes. Entre las medidas defensivas que pueden adoptar las organizaciones pueden señalarse:
- Hay que efectuar copias de seguridad periódicas del sistema.
- Capacitar al personal en ciberseguridad para evitar el phishing (que es un punto de entrada privilegiado para el ransomware) y otras estafas de ingeniería social.
- Saber quién tiene acceso a los activos informáticos (empleados, socios y clientes) y gestionar identidades y accesos.
- Tener una política de autenticación de dos factores en todas las soluciones tecnológicas.
- Proteger las terminales: además de disponer de antivirus de próxima generación, hay que “higienizar” todos los puntos finales, es decir (chequear la configuración y administrar el parcheo).
- Estar al tanto del panorama de amenazas.
- Contar con un plan de recuperación ante desastres para mantener las operaciones en caso de un ataque.
- Efectuar auditorías periódicas de ciberseguridad.
- Suscribirse a una solución de monitoreo de la Dark Web: estos servicios escanean foros y notifican en tiempo real si alguna de las contraseñas de los empleados de la organización se puso a la venta.
Los ataques de ransomware están volviéndose más complejos y se fusionan con otros métodos de ataque cibernético como las amenazas internas (con contacto humano). Las organizaciones deben prepararse y prevenir este tipo de delitos informáticos que pueden ocasionar “parates” prolongados y pérdidas cuantiosas por eventuales rescates.
