¿Qué hacer después de un ataque de ransomware?

¿Qué hacer después de un ataque de ransomware?
  • El ransomware puede crear una crisis de riesgo sistémico en los negocios y en la confianza del  consumidor. 
  • No existe una compañía o herramienta que pueda romper el código de cifrado de un ransomware, por  lo cual la estrategia de ciberseguridad se debe basar al 100% en prevenir un evento de este tipo. 

(ITNOW)-.    De acuerdo al reporte global de riesgos del Foro Económico Mundial 2022, el 85 % de la comunidad de liderazgo  en seguridad cibernética de este foro ha subrayado que el ransomware se está convirtiendo en una amenaza que  crece peligrosamente y representa una gran preocupación para la seguridad pública. 

Es por esto que los responsables de seguridad deben de estar cada vez más preparados ante un ataque de ransomware para ayudar a sus organizaciones a recuperar rápidamente la resiliencia. Asimismo deben  comprender y contrarrestar los nuevos desafíos que plantea este tipo de amenaza, fortalecer las defensas en los  recursos humanos, los procesos y la tecnología, además de demostrar por qué la seguridad es esencial para la  estrategia de los negocios. 

Oswaldo Palacios, Oswaldo Palacios, Director para América Latina de Guardicore, destacó que tras haberse confirmado un ataque de ransomware, los CISOs deben evitar que se propague en la red, verificar el tipo de  variante de ransomware, aislar lo más posible los activos infectados e investigar cómo ocurrió el ataque, y  comprender cabalmente la intrusión y la medición del impacto. 

El pago de los rescates puede abrir la puerta a una mayor criminalidad, por ello es recomendable no hacerlo;  desafortunadamente no existe la seguridad de que los datos se puedan recuperar.

“Es una moneda al aire hacer  un pago y además se estaría alentando la ya creciente ola de delitos de este tipo. Existe una cifra negra respecto  de las compañías que decidieron pagar para recuperar la información y, por el daño reputacional que añade, no  existe un registro de dicha actividad”, dijo el directivo.

Ver más: Cinco acciones para modernizar la administración tributaria en Costa Rica

Por su parte, el documento Respuesta y recuperación ante el ransomware elaborado por la firma de consultoría Accenture destacó que el ransomware puede crear una crisis de riesgo sistémico en los negocios y en la confianza  del consumidor.

Los impactos típicos en los negocios incluyen: disrupción en la producción, la entrega o los  servicios al cliente; pérdida de datos comerciales sensibles o información protegida; costos directos de reparación,  recuperación o potencial pago de rescate; costos asociados a litigios, que suelen ser demandas colectivas;  sanciones legales y regulatorias; y daño a la reputación. 

El directivo reiteró que un ataque de ransomware trae consigo un grave daño en la reputación de una empresa,  ya que en algunos países es obligatorio el dar a conocer cuándo se ha sido víctima de este tipo de acontecimientos y, en determinados casos, pagar una multa; con lo cual se pone en entredicho la capacidad de las compañías para  hacer frente a los ciberataques. 

Los ataques de ransomware van desde secuestro de información tales como bases de datos, respaldos y demás  información crítica; en otros casos, el daño involucra servidores y aplicaciones de producción con lo cual la  afectación es aún mayor, ya que la compañía podría dejar de operar y deberá asumir las pérdidas financieras que  esto implica.  

A decir de Oswaldo Palacios, desafortunadamente no existe una compañía o herramienta que pueda romper el  código de cifrado de un ransomware, por lo cual la estrategia de ciberseguridad se debe basar al 100% en prevenir  un evento de este tipo.

“Una opción para adelantarnos a estos eventos maliciosos es el crear microsegmentos de  comunicaciones con lo cual podemos asegurarnos de que nuestras joyas de la corona digitales serán accedidas por quien de verdad lo necesite y nos permite conocer al 100% la interacción de nuestro centro de datos. Es  importante tener visibilidad sobre todos nuestros activos, ya que no se puede proteger, lo que no se puede ver”. 

Reducir el riesgo de ransomware mediante el uso de una política de segmentación adecuada proviene de su  simplicidad: un bit puede viajar por el cable (o un Vswitch) a una máquina diferente (o una VM / contenedor) o  puede bloquearse, haciendo que el intento de los atacantes por alcanzar más recursos en la red sea inútil, dando  al equipo más tiempo para responder al ataque y actualizar a las partes interesadas clave de la organización para  que puedan tomar decisiones informadas sobre el daño de dicho ataque. 

El directivo reiteró que los encargados de ciberseguridad deben implementar soluciones que les permitan tener  una completa visibilidad a nivel de proceso de comunicación de cómo interactúan entre sí los servidores,  aplicaciones y ambientes dentro del centro de datos, y a su vez, les permita crear segmentos definidos por  software para aislar aplicaciones críticas y de esta manera estar preparados ante cualquier tipo de amenaza, no  solo de ransomware. 

La segmentación de la red no es una alternativa a un firewall o a una plataforma EDR (Endpoint Detection Android  Response), es un enfoque complementario que ha demostrado reducir significativamente, o eliminar por  completo, el riesgo de ataques basados en movimientos laterales a gran escala en las organizaciones.

Inclusive la  Orden Ejecutiva de Ciberseguridad, emitida por el presidente Joe Biden, destaca la importancia de la  segmentación de la red para la reducción significativa de los ataques de ransomware. 

La segmentación de la red ayuda no solo a mitigar el riesgo en algunos casos, sino también a reducir en gran  medida el riesgo de un ataque de doble extorsión si se implementa correctamente, al contener y minimizar el  “radio de explosión” de un ataque de ransomware. Incluso si los firewalls y los EDR no lograron evitar la ejecución  del ransomware, la segmentación adecuada mantendrá ese daño contenido y no permitirá que los atacantes se  muevan lateralmente a través de la red, robando más datos y cifrando más archivos.

¨La implementación de soluciones preventivas como la segmentación de la red maximizan la seguridad de las organizaciones ante la posibilidad de sufrir un ciber ataque, ya sea de ransomware o de cualquier otra índole,  que causaría además del gran costo económico un enorme daño a su marca y a su reputación¨, finalizó Oswaldo  Palacios. 

Lo último: Novedades en ciberseguridad para 2022: las predicciones más evidentes y las que no lo son tanto