De acuerdo al último reporte del Foro Económico Mundial (WEF), el 85 % de la Comunidad de Liderazgo en Seguridad Cibernética de éste ha subrayado que el ransomware se está convirtiendo en una amenaza que crece peligrosamente y representa una gran preocupación para la seguridad pública. El informe subraya que tan solo en 2020, los ataques de ransomware aumentaron un 435 %, y están superando la capacidad de las sociedades para prevenirlos o responder a ellos de manera eficaz.
A decir de Oswaldo Palacios, Senior AccountExecutive para Guardicore (ahora parte de Akamai),las demandas de los ciberatacantes están creciendo junto con un aumento en los ataques de ransomware, con un rescate promedio de $84 mil dólares. Sin embargo, el efecto negativo del ciberataque puede ir más allá del meramente funcional, generando pérdidas económicas relacionadas con aspectos financieros, legales, contractuales y reputacionales. Asimismo, Palacios afirma que existen varios parámetros para medir la afectación por ransomware, sin embargo el más importante será preguntarse: ¿cuánto dinero perdería por minuto, hora o día si mis sistemas informáticos dejan de funcionar? Pueden considerarse aplicaciones críticas tales como pagos, el portal transaccional, facturación, etcétera.
Luego de que un ransomware ha cifrado la información de la máquina donde se activó, no es posible recuperar dichos datos; con lo cual, la pérdida de información y afectación en la operación del activo son los daños más importantes. Dejar de operar puede traer pérdidas millonarias a las compañías dependiendo de qué sistemas se hayan visto afectados, sin contar el daño reputacional respecto de la interrupción de las aplicaciones involucradas, destacó el directivo.
Otro parámetro a considerar es el tiempo que llevaría a una compañía restaurar la operación de sus sistemas, o el costo de implementación de un sistema de recuperación de desastres que puede incluir, sitios alternos, programas de concientización y educación del personal, sistemas de respaldos, etcétera.
En marzo de 2021, el proveedor estadounidense de servicios gestionados CompuCom, confirmó que esperaba perder hasta 8 millones de dólares en ingresos por la suspensión temporal de ciertos servicios tras el ataque de ransomware DarkSide, además de un gasto total anticipado de 20 millones de dólares para restaurar completamente los servicios y abordar otros problemas causados por el ataque.
A pesar de que los expertos recomiendan no pagar un rescate exigido por la ciberdelincuencia para recuperar la información, algunas empresas pagan las tarifas de rescate en su totalidad, solo que nunca reciben los medios para descifrar sus datos. En estos casos, una organización gasta mucho tiempo y dinero para recrear o reconstruir lo que se perdió.
Acciones para contrarrestar el pago de un rescate por ransomware
Dado que el incidente de ransomware promedio dura 16.2 días, la creación de una estrategia de defensa que evite el movimiento lateral al principio de un ataque puede ayudar a una organización a evitar la pérdida generalizada de datos, los altos costos y el tiempo de inactividad si ocurriera lo peor.
Algunos atacantes pueden exfiltrar materiales sensibles para venderlos o aprovecharlos. Una vez que los datos de propiedad de la empresa se filtran o se ponen en peligro, el daño a una marca y la pérdida de lealtad del cliente suelen estar muy cerca. Según una encuesta de 2020, el 80% de las filtraciones de datos incluían la PII (Información de Identificación Personal) del cliente; la propiedad intelectual se vio comprometida en el 32% de las infracciones; los datos anónimos de los clientes se vieron comprometidos en el 24% de las infracciones.
Una vez descubierto un ataque de ransomware en un ambiente de TI, Oswaldo Palacios recomendó a los líderes de seguridad asegurarse de que no existan más activos infectados, lo cual se puede lograr con una herramienta de visibilidad a nivel de proceso de comunicación dentro de un servidor, de esta forma se neutralizará la activación del malware y sabrá con exactitud donde se encuentra. Otro punto importante es que no se pueda propagar en la red, algo fundamental para que esto no suceda es contar con una herramienta de microsegmentación que permita aislar los activos críticos de la compañía.
Una estrategia para evitar nuevos ataques de ransomware es tener visibilidad y segmentación a nivel de proceso en los servidores o activos dentro o fuera del centro de datos. Explica el ejecutivo: ‘No podemos proteger lo que no podemos ver” de esta forma es posible asegurarse de crear una lista blanca de procesos de comunicaciones, así sabremos cuando un activo infectado intente comunicarse con el servidor controlador y bloquear dicha petición; con esto se estará mitigando la amenaza de manera proactiva’.
Finaliza Oswaldo Palacios: ‘La planificación de una estrategia de mitigación y defensa contra ransomware debe comenzar mucho antes de que a una organización se le exija el pago de rescate. Mediante el uso de políticas de segmentación de red, las organizaciones pueden bloquear técnicas de propagación de ransomware comunes. Al utilizar microperímetros de confianza cero alrededor de aplicaciones críticas, copias de seguridad, servidores de archivos y bases de datos, los equipos de seguridad de TI también pueden crear políticas de segmentación que restrinjan el tráfico entre usuarios, aplicaciones y dispositivos, lo que también reducirá drásticamente la superficie de ataque’.