Ciberseguridad

El Ransomware es una forma de malware que esencialmente retiene información o dispositivos enteros como rehenes, por ejemplo, computadoras de escritorio, laptops o servidores. Los datos de las víctimas permanecen cifrados e inaccesibles a menos que se elimine la infección. A las víctimas de WannaCry, se les dijo que después de siete días sus archivos se perderían para siempre si el rescate no era pagado.

Más de 150 países fueron afectados, entre ellos México, Brasil, Ecuador, Chile, Argentina y Colombia. Rusia fue afectada desproporcionadamente, seguida por Ucrania, India y Taiwán. Las infecciones también se propagaron a través de los Estados Unidos, a través de interrupciones en bancos, hospitales, servicios de telecomunicaciones, estaciones de tren y otras organizaciones de misión crítica en varios países, incluyendo Reino Unido, España, Alemania y Turquía.

 ¿Qué podemos aprender de este ciberataque?

La variante de ransomware de WannaCry aprovechó la vulnerabilidad de ETERNALBLUE incluida en la filtración del kit de herramientas de la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) a principios de este año y que posteriormente fue reparado por Microsoft en su actualización MS17-010. Esto demuestra la importancia de realizar las actualizaciones de parches de manera oportuna.

En la recientemente publicada Guía Ejecutiva de Dimension Data para el Informe Global de Inteligencia de Amenazas 2017 de NTT Security, se reveló que el 53% de las vulnerabilidades identificadas en 2016 fueron expuestas en los últimos tres años, lo que significa que casi el 47% de las vulnerabilidades tienen más de tres años de antigüedad.

Principales amenazas NTT Security

“Si bien el nivel de vulnerabilidades detectado en la infraestructura de nuestros clientes es menor que en años anteriores (una reducción del 6% entre 2015 y 2016), todavía hay mucho margen de mejora. Las vulnerabilidades más antiguas todavía no se están corrigiendo,” comenta Armando González, director de ingeniería de Dimension Data México.

 Los gobiernos deberían considerarse como un objetivo de ataque atractivo

 El hecho de que el Servicio Nacional de Salud (NHS por sus siglas en inglés) en el Reino Unido fuera el objetivo inicial de WCry apoya las conclusiones del informe de amenazas de que los ataques al sector gubernamental están en aumento. El informe reveló que los ciberataques en las organizaciones gubernamentales aumentaron considerablemente en 2016, representando el 14% de todos los ataques, en comparación con el 7% en 2015.

“Las agencias gubernamentales tienen gran cantidad de información confidencial, desde registros de personal, datos presupuestarios y comunicaciones sensibles hasta las conclusiones de inteligencia. Por esta razón, se están convirtiendo en un objetivo de ataque cada vez más popular y deben elevar sus defensas en consecuencia” Armando González, Director de Ingeniería de Dimension Data México

También de acuerdo a resultados del informe, el ransomware fue responsable del 50% de las respuestas ante incidentes en el sector de la salud. Esto se debe en gran parte a su necesidad de mantener continuidad del negocio, así como el profundo impacto que el ransomware puede tener en la capacidad para operar con seguridad de estas organizaciones.

¿Qué se puede hacer para proteger un negocio contra incidentes de ransomware?

  1. Coordinar un entrenamiento de concienciación de seguridad de manera regular para todos los empleados para que estén al tanto sobre el phishing, ingeniería social y ransomware, cómo identificar ataques, qué hacer si necesitan ayuda y cómo informar de posibles ataques.
  2. Fortalecer las capacidades de continuidad de negocio de su organización para asegurar una restauración rápida de las operaciones en caso de producirse un incidente de ransomware. Esto incluye una estrategia de respaldo de información completa que incorpore almacenamiento seguro de copias de seguridad sin conexión y confirmación de la capacidad de la organización para reconstruir los sistemas y restaurar los datos.
  3. Programar evaluaciones de vulnerabilidad para determinar la susceptibilidad a esta vulnerabilidad de software.
  4. Desarrollar una política de manejo de incidentes de ransomware y decidir las condiciones bajo las cuales se autorizaría un pago de rescate, si lo hay.
  5. Considerar la posibilidad de contratar a un tercero para que proporcione servicios de gestión de amenazas en tiempo real (RTM) para actividades de monitoreo continuo de amenazas. RTM combina recopilación, correlación, administración, detección temprana y detección con análisis de seguridad 24×7 expertos y respuesta a incidentes, para mantener su red por delante de los riesgos en evolución de hoy en día.

 “Sabemos que un atacante persistente y altamente determinado siempre encontrará una manera de entrar, especialmente en el clima de negocios de hoy marcado por la adopción de la transformación digital en las organizaciones. Como tal, el enfoque no debe ser solo mantener a los atacantes fuera… sino cómo manejar la amenaza una vez que nuestras defensas han sido vulneradas,” concluye el ejecutivo de Dimension Data.

Julio-agosto 2017