Los crímenes cibernéticos han evolucionado velozmente, pues tan solo en 2021 los bancos fueron víctimas de más de 3,7 millones de ataques al día, de acuerdo con cifras de la Superintendencia Financiera, de Colombia. Esto ha ocasionado que las estrategias para preservar los datos continuamente se estén fortaleciendo, teniendo en cuenta que en la actualidad los ataques se ejecutan con más tiempo y con una planeación más extensa, combinando múltiples técnicas y con código que se va modificando discretamente.
Así operan las estrategias de ransomware
Si bien antes los ataques a la información de una compañía financiera eran mucho menos articulados, en la actualidad son cuatro las fases en las que trabajan estos malwares.
Infiltración: en un primer momento, el ransomware busca el robo de alguna credencial o el uso de VPN para poder infiltrarse entre la infraestructura de estas organizaciones. Allí, se van explotando las vulnerabilidades de los sistemas expuestos.
Escalación de privilegios: una vez dentro del sistema de una empresa, el ransomware va a buscar credenciales de administradores que estén almacenadas en elementos como servidores, máquinas virtuales, ruteadores o puntos de acceso de wi-fi, con el ánimo de incrementar sus permisos en la red.
Movimiento lateral: a partir de la obtención de más privilegios, el atacante está en capacidad de explorar la red en búsqueda de información de valor. Así mismo, podría instalar código en las máquinas por las que pasa y hacer descargas de más código. Cada paso se ejecuta sin dejar rastro.
Ejecución del ataque: son diversos los males que se pueden generar al permitir una infiltración de este estilo. En el caso del ransomware, el objetivo consiste en encriptar datos vitales de las compañías y cobrar un rescate para devolverlos.
¿Cómo protegerse?
Una de las técnicas más eficientes para blindar a una entidad bancaria del ransomware es cerrar estas primeras puertas de acceso a través de la gestión de privilegios, la cual incluye el manejo de credenciales privilegiadas, endpoints, accesos remotos, activos y sesiones, identidades inteligentes e información en la nube.
Kelly Quintero, gerente de Ventas de BeyondTrust para Sudamérica, comenta: ‘La pregunta que los bancos deben hacerse es ¿cómo podemos eliminar algunos privilegios para que los atacantes no puedan evolucionar sus estrategias? El exceso de privilegios es lo que facilita que los malhechores se infiltren, expandan su ataque y puedan secuestrar datos, un activo valiosísimo no solo para este sector, sino para todos’.
En este sentido, son varias las herramientas que deben implementar los servicios financieros para evitar el ransomware. Por ejemplo, los ataques maliciosos pueden detenerse a través del otorgamiento de privilegios just-in-time. Este mecanismo trata de brindar el acceso a los empleados únicamente a las horas en las que van a usar determinados aplicativos para ejecutar sus tareas.
Por otra parte, la gestión de privilegios también trabaja con herramientas que permiten a las mesas de servicio proteger, administrar y auditar los accesos de proveedores y trabajadores sin necesidad de implementar una VPN.
Esta implementación debe incorporar plataformas que reduzcan la posibilidad de que se usen indebidamente las credenciales privilegiadas, por medio de la administración automatizada de sesiones y contraseñas.
Concluye Kelly: ‘La protección de la información avanza tan rápido como quienes buscan vulnerarla. Las empresas financieras, que ven en los datos uno de sus tesoros más valiosos, deben acercarse a expertos para salvaguardar de la mejor manera sus datos y evitar ser víctimas del secuestro de datos, lo cual, posteriormente, puede implicar gastos elevadísimos e inesperados’.