Ransomware: lecciones aprendidas

Lo primero es recordar qué entendemos por un ransomware, un tipo de software malicioso que impide el acceso del usuario al sistema. El propósito del ransomware en particular es extorsionar, obtener algo, ya sea dinero u otra cosa a partir del uso de la amenaza o de la intimidación.

Ahora hay muchos ransomwares y distintos tipos de malware que ya han aparecido y que seguirán creando. Es importante entender que es una amenaza que está en constante evolución. Cada vez los ataques de ransomware son más sofisticados, y tanto las empresas como también las personas se enfrentan a nuevas formas.

El phishing sigue siendo el vector de ataque predilecto para los ransomwares, como la forma en que la organización y las personas se contagian con este tipo de ataque. Se dice que el phishing ha aumentado cerca de seis veces con la pandemia, al estar más conectados para compartir con la familia, el ocio o largas jornadas que se extienden. También están las cosas que no han cambiado con el tiempo como el constante cambio de las claves, vulnerabilidades de software que siguen apareciendo y el uso del escritorio remoto.

Por otro lado, se dice que en el 2020 el 74% de los malwares fueron ransomwares, y hay que tener en cuenta que toda la industria puede ser afectada con un crimen así. No hay alguna en particular, ya sean pequeñas, medianas o grandes, sean bancos, hospitales, retailers o universidades. Al atacante le da lo mismo, todos son posibles víctimas, incluso las personas. Al ser una forma muy lucrativa para generar dinero, la industria criminal se ha sofisticado y complejizando. Han aparecido actores y hay modelos de negocios sofisticados. Hoy se separa lo que es distribución de lo que es la producción.

Incluso hay un concepto que se acuñó en la industria que el Ransomware As A Service (RaaS), organizaciones criminales que se dedican solamente a entregar herramientas y son otros los que finalmente los utilizan. Es difícil capturar a estas bandas, porque muchas veces los rescates se piden en criptomonedas, no se utilizan medios tradicionales para hacer intercambios de dinero, volviendo complejo hacer el rastreo y saber quiénes están detrás.

¿Cuál es el impacto en el negocio? ¿Cuál es el impacto de las personas? La verdad es que tiene un alto impacto. Si hablamos de un retail, puede significar el cierre de tienda. Si hablamos de una empresa eléctrica, puede significar el corte de suministro, e incluso una institución de salud podría dejar de funcionar. Y no solamente eso, sino que la filtración de datos sensibles puede involucrar pérdidas millonarias. En Estados Unidos, los ataques de ransomware solamente al sector salud impactó a cerca de 600 clínicas, y generó 21 billones de dólares en pérdidas. A las personas, toda la información que para ellos sea importante, como datos bancarios, o incluso información como fotografías, videos o datos personales se ponen en riesgo si el atacante lo secuestra y pide dinero a cambio para recuperarlo.

Chile no está ajeno a estos ataques, y hemos sido víctima de ataques. Para seguir tomando las lecciones aprendidas, debemos considerar las brechas críticas entre lo que es la prevención y la respuesta. Muchas veces, tanto las personas como las compañías están preparadas y cuentan con softwares, sistemas y herramientas, aunque la mayoría son para hacer detección de malwares, y no para tomar acción en caso de sufrir un ataque.

Aquí viene lo que se llama las acciones post infección. Si yo detecto una amenaza avanzada, no solamente en base a la forma tradicional, sino que también en base a comportamientos, a saber qué es lo que hace un malware, qué efectos produce y eso poder entenderlo de forma automatizada, ayuda a frenar los incidentes que se producen. Dentro de lo que es un ataque de ransomware, ocurre un fenómeno donde se van infectando muchas máquinas, computadores, servidores, tablets o teléfonos móviles de forma secuencial. Lo que hay que hacer es tener herramientas y tener personas calificadas que tomen acciones y puedan parar el crimen.

También deben tener herramientas que tomen datos para hacer análisis forenses, y realizar desinfecciones que sean automatizadas, y que esto esté detrás de planes que puedan parar y detener la disrupción de la operación.

Otro tema que se discute muchísimo es la fatiga de alarma y de los equipos profesionales de seguridad. Muchas veces ocurre que las personas reciben muchas alarmas de softwares maliciosos o de correos sospechosos. Al tener automatizado estos sistemas, ocurre que los profesionales reciben tantas alertas, que al final no saben qué hacer. Se dice que el 37% de los profesionales de seguridad enfrentan cerca de 10 mil alarmas mensuales. Muchas de ellas son falsos positivos, y no representan una amenaza real.

Los equipos de seguridad pueden estar hasta un mes trabajando sin parar 24/7 para detener un ataque. Muchas veces se toman acciones manuales, se generan turnos, y no solamente se fatigan de alarmas, sino que también están cansados por el nuevo formato de trabajo.

Lo que se puede hacer es usar las herramientas ad hoc y que estas se puedan automatizar, maximizar los controles, que puedan dar visibilidad y que además se utilicen de buena forma mediante un proceso adecuado, a través de planes que tengan una visión holística de la ciberseguridad. Si tienen 80 productos tecnológicos, estos deben gestionarse de manera centralizada y a través de una visión End to End.

También se requiere una mayor colaboración entre los sectores públicos y privados. La ciberseguridad no es una problemática de una persona en particular, es algo que nos afecta a todos. La visión más individualista también tiene que ir cambiando y para eso existen muchas iniciativas a nivel gubernamental y a nivel de empresas, formando caminos que permitan compartir información, colaboración entre los distintos sectores, ya sea compartiendo información o traspasando lecciones aprendidas, por ejemplo, de una organización que sufrió un ataque para que otra pueda ir tomando medidas.

Las áreas a trabajar son muchas. Debemos entrenar mayor personal, al punto que se habla de escasez de profesionales en ciberseguridad. Es importante también que se den las condiciones para que se desarrollen nuevos profesionales, que tengan el conocimiento actualizado, no solo para responder con la demanda, sino que todo el aparato gubernamental y las instituciones de educación tengan los medios para preparar a más personas.

Finalmente, y no menos importante, está la concientización de las personas que no son especialistas en seguridad, que sepan los riesgos que representan y cuenten con herramientas básicas para evitar la propagación de ransomware. También es relevante el higiene digital, con multi factor de autenticación, usar contraseñas seguras, actualizarlas frecuentemente, parchar los sistemas, mantener actualizadas los softwares que utilizamos, no solo los relacionados con seguridad, sino que todos los software que utilicemos tanto en el teléfono como en el PC.

Lo primordial para las compañías es tener herramientas de detección de respuesta, y que estas sean utilizadas y gestionadas por equipos, que puedan preparar planes de respuesta a incidentes, saber a quienes van a designar cuando ocurra un evento. Ya no basta con prevenir, y para estar realmente preparado hay que asumir que seremos víctimas y ahí hay que tener mecanismos para mantener la operación, y poder ser ciber resilientes ante los ransomwares que seguirán siendo un dolor de cabeza en esta era digital.