Autor: Gustavo García, Ventas y Marketing en Tecnoav
Más del 90% de los ataques de ransomware se pueden prevenir. Hemos compilado una lista de los errores más comunes que conducen al usuario a ser víctimas de ransomware. ¿Reconoces alguno?
Según Gartner, «el análisis de la preparación de los clientes para el ransomware muestra que más del 90% de los ataques de ransomware se pueden prevenir». Y, sin embargo, cada día son más las organizaciones que van desde marcas de alto perfil hasta pequeños ayuntamientos, que no logran prevenir el ransomware. Muchos de estos compromisos se producen debido a errores humanos. Gracias a Lumu, hemos compilado una lista de los errores más comunes que conducen al usuario a ser víctimas de ransomware. ¿Reconoces alguno?
- Creer que una copia de seguridad es suficiente
El consejo de la mayoría de los expertos para prevenir el ransomware repite este estribillo: «asegúrese de realizar copias de seguridad periódicas». Y, sí, esta es una buena práctica, pero el problema es que nos han dicho que tener una copia de seguridad es suficiente para evitar que el ransomware afecte a nuestras organizaciones. La mala noticia es que los adversarios saben que la mayoría de las empresas tienen un plan de respaldo. Ahora, estos actores de amenazas exigen dinero a cambio de no vender los datos personales que roban. Sin duda, la mejor estrategia es prevenir el ataque antes de que cause un daño real Si el atacante está solicitando un rescate, ya es demasiado tarde.
- No rastrear las señales de ransomware
La red es la vía del ransomware, lo que significa que es imprescindible monitorear los contactos con la infraestructura adversaria. Muchas empresas y profesionales de la seguridad tratan el ransomware como una fuerza de la naturaleza que no se puede prevenir, y eso está lejos de ser cierto. Puede aprovechar sus propios metadatos de red para detectar rastros del adversario y prevenir el ransomware antes de que se produzca un daño real. Si espera a que aparezcan pruebas de ransomware, ya es demasiado tarde. Debe comenzar a rastrear las conexiones a la infraestructura adversaria en las primeras etapas de la cadena de eliminación cibernética.
- Suponiendo que su organización, sector o geografía no es un objetivo
Ninguna industria, geografía o empresa es inmune. Varios informes muestran un aumento de los ataques a todo tipo de industrias, como la manufactura, el gobierno, la salud, la agricultura e incluso los servicios religiosos. También podemos observar que, aunque Estados Unidos tiene la mayoría de los ataques, el resto se distribuyen uniformemente en prácticamente todos los países. Por lo tanto, si cree que su organización no pertenece a un grupo que es un área de enfoque para los adversarios, nuestra inteligencia muestra que tal suposición no es correcta.
- Solo monitoreando las «Joyas de la Corona»
Tendemos a pensar que los atacantes solo se centran en nuestros sistemas más críticos. La realidad es que esto rara vez sucede, la mayoría de las veces el compromiso comienza con un simple correo electrónico con un enlace o ejecutable. En un mundo cada vez más conectado, esta es la receta perfecta para el desastre. Por esta razón, no solo se deben monitorear los activos críticos, sino toda la organización, incluidos los entornos OT e IOT.
Como dijo Bruce Schneier en nuestra última Cumbre de Iluminación: «Vivimos en un mundo en el que todo se está convirtiendo en una computadora… lo que significa que la seguridad informática se convierte en toda seguridad». Por lo tanto, monitorear todos los dispositivos es clave. En su libro Secretos y mentiras, también afirma que «la seguridad del sistema en general está limitada por la seguridad de su eslabón más débil. Cualquier debilidad puede destruir la seguridad de todo el sistema». En consecuencia, es fundamental monitorear todo el sistema y no dejar que el eslabón más débil comprometa su sistema.
- Pensar que las evaluaciones de vulnerabilidad y las pruebas de penetración son suficientes para prevenir el ransomware
El objetivo de las pruebas de penetración y la evaluación de vulnerabilidades es probar la seguridad de la red, que es solo una parte del problema. Estas son buenas prácticas, pero por sí solas son insuficientes para prevenir el ransomware. El primer problema es que estas prácticas parten de una hipótesis falsa: que el sistema es seguro. Sin embargo, en el momento en que haces estas pruebas no sabes si el adversario ya está dentro.
Otro problema es que estas pruebas son incompletas porque se realizan solo en las «joyas de la corona». Este es otro ejemplo de ignorar el eslabón más débil, que mencionamos anteriormente, porque se supone que los atacantes ingresan a la red explotando vulnerabilidades. La verdad es que comprometer a una organización es tan fácil como enviar un correo electrónico.
El ransomware es, de hecho, un problema significativo en el ámbito de la ciberseguridad y puede tener consecuencias devastadoras para individuos y organizaciones. La prevención y la conciencia son elementos clave para protegerse contra este tipo de amenazas.