Ransomware: recomendaciones para prevención, detección y recuperación de ataques
Share
Por Tania Palacios, Especialista en Seguridad de la Información y Ciberseguridad.
El ransomware es una amenaza latente en Ecuador. Según el estudio «Estado Actual de la Ciberseguridad» realizado por IT ahora y Deloitte en 2022, el 66% de las empresas encuestadas señalaron que el ransomware sigue siendo la principal preocupación para las empresas ecuatorianas. Bajo estas circunstancias, cada compañía debe definir una guía de acciones frente a este tipo de amenazas que cada vez son más sofisticadas.
Un marco de referencia, como NIST, permitirá estructurar un plan para identificar los controles preventivos, detectivos, de respuesta y recuperación que cada organización deberá seguir, vinculándolo a la estrategia de seguridad y a los objetivos de cada institución.
Además, es necesario contar con un plan de capacitación que refuerce la cultura de seguridad en la organización. La capacitación debe extenderse tanto a los clientes internos, colaboradores externos e incluso ampliarse hacia los proveedores, atendiendo a a que cada vez existen ataques de la cadena de suministro( terceros) que pueden impactar en sus clientes. En ese sentido, es necesario realizar auditorías para el cumplimiento adecuado de las políticas y controles de seguridad de terceros. También es pertinente contar con un procedimiento de respuesta a incidentes.
Una de las recomendaciones importantes es probar regularmente el plan accionable, en cualquier momento, con el objetivo de medir la efectividad y obtener una retroalimentación sobre el plan de respuesta a incidentes, además, de sumar lecciones aprendidas para el mejoramiento del plan.
Una buena práctica de los planes de contingencia es el almacenamiento y restauración de los datos. Para probar la restauración, copias y respaldos de datos es importante contar con una red aislada y el uso de prácticas como la metodología 3-2-1 que consiste en realizar 3 copias de datos en 2 locaciones diferentes y distantes la una de la otra; y 1 copia fuera de línea. Además, practicar estos procesos de restauración de datos varias veces al año. Todas estas acciones deben ser consensuadas con las áreas de TI y de continuidad del negocio.
Si, a pesar de las acciones preventivas, una organización sufre un ataque de ransomware, deberá aplicar inmediatamente el procedimiento de respuesta a incidentes, una guía de actuación para recuperación frente a incidentes.
Los controles preventivos, como el servicio de monitoreo, ayudan a minimizar el impacto de los ataques de ransomware. Algunos servicios provistos con IA permiten una detección temprana de comportamientos anómalos, generando alertas y una investigación oportuna del equipo de respuesta a incidentes. Si una compañía dispone de un equipo especializado, software como servicio con tecnologías de monitoreo y una configuración adecuada, tendrá una mayor oportunidad de ser más eficiente y reducir el impacto de este tipo de ataques.
Si una organización ha sufrido un evento y se ha recuperado, debe realizar un análisis y seguimiento con el equipo de respuesta de incidentes para identificar los puntos débiles o las fallas de los controles. Las lecciones aprendidas del incidente permitirán visualizar los controles que fallaron o aquellos que no existen y son necesarios implementar para robustecer el esquema de seguridad.
El equipo de incidentes involucra a las áreas de negocios, riesgos, continuidad del negocio, tecnología, áreas comerciales financieras e incluso legal y comunicación.
Durante un incidente de ransomware, existe una alta probabilidad de que los ciberdelincuentes pidan rescate por devolver la información retenida. Sin embargo, esta decisión debe ser tomada desde la alta gerencia, analizando todos los pros y contras, incluso revisando la legislación de cada país.
En el caso de que una empresa acceda a pagar el rescate luego de un ataque de ransomware, la ayuda de una empresa especializada que cuente con profesionales técnicos y con conocimientos legales puede ser de mucha utilidad para establecer acercamiento y negociaciones con los ciberdelincuentes.
Las operaciones delictivas han aumentado, incluso se habla de ransomware como servicio que facilita este tipo de actividades. Las estadísticas mundiales señalan que el 60% de las empresas que han sufrido un ataque a su software están expuestas a volver a sufrir uno nuevo en el lapso de un año. Estas cifras son realmente altas e indican que cuando se tiene un ataque de cualquier tipo, es fundamental realizar un análisis que involucre a todo el equipo de respuesta a incidentes para fortalecer los controles de seguridad. Pero también requiere del apoyo para la provisión de todos los recursos necesarios para responder frente a incidentes.
Después de un ataque de ransomware, es importante medir la magnitud del impacto a través de un análisis tanto financiero, como legal/normativo y de reputación. La cuantificación nos permite medir de manera efectiva el impacto real del ataque.
El equipo de respuesta a incidentes debe encargarse de medir el impacto del ataque con la participación del área de riesgos, financiera y legal debido a las afectaciones económicas y legales que pueden surgir para la empresa. Si los datos personales de los clientes se ven comprometidos, la afectación será económica a causa de las multas, y también habrá un riesgo legal. La empresa deberá presentar descargos ante un ente regulador y ante los clientes afectados. Además, a futuro, la organización puede sufrir la pérdida de clientes actuales y potenciales.
Para cuantificar las pérdidas que resultan de un ataque de ransomware, se realizan varios ejercicios. Por ejemplo, para conocer las pérdidas financieras, se mide el número de días de indisponibilidad de los sistemas, y en base a datos históricos se obtienen las pérdidas financieras para la empresa.
En cuanto a la reputación, ésta va de la mano con la pérdida de clientes después de un ataque. Por lo tanto, se puede medir el número de clientes que se perdieron en distintos periodos de tiempo: 3, 6, 9 meses o un año. Además, como resultado de la pérdida de clientes, se puede medir la pérdida de ingresos.
