En 2021 el IC3 (Internet Crime Complaint Center) recibió más de 3mil reportes identificados como ransomware lo que fue el equivalente a mas de $49.2 millones en pérdidas en Estados Unidos y $20 billones a nivel mundial. Este crecimiento representó una pérdida de 57 veces más que lo reportado en 2015.
Como es bien sabido, los ataques de ransomware son un tipo de software malicioso , o malware, encriptando la información de una computadora haciéndola inútil. En general los criminales cibernéticos utilizan diversas estratagemas para presionar que se pague por recuperar la información incluyendo el publicar información sensible, amenazando con eliminar totalmente la información o negando el funcionamiento de sus servicios.
Por todo ello, este tipo de ciberataques es especialmente peligroso. El FBI (Federal Bureau of Investigation) ha mostrado particular preocupación considerando el aumento en ataques de ransomware a instituciones de salud, hospitales y departamento de atención a emergencias (911). En Septiembre de 2020, un ataque de ransomware provocó por primera vez un deceso. Las autoridades alemanas reportaron un ataque de ransomware al hospital Duesseldorf que causó una falla mayor a los sistemas de TI, en el momento en que una mujer que necesitaba atención urgente no pudo ser ingresada provocando su muerte en el traslado a otra ciudad.
Aún con la rápida evolución en métodos al llevar a cabo un ataque de ransomware, el phishing, uso de vulnerabilidades de software y tomar ventaja de RDP (Remote Desktop Protocol) son los tres principales vectores de infección de los ataques reportados. La popularización acelerada del home office y educación remota pueden ser las principales razones por las que estos tres métodos de ataque han permanecido como los más populares desde 2020 a 2021.
Acciones preventivas inmediatas
Considerando el esquema mundial y principales vectores de infección del ransomware, existen 4 acciones recomendadas para prevenir y/o mitigar el daño por el secuestro de datos.
Actualización de Sistemas
El actualizar los sistemas operativos y programas permite «parchar» cualquier vulnerabilidad que haya estado siendo explotada por los criminales cibernéticos. Esta actividad suele llevarse a cabo por el departamento de TI, pero también es posible utilizar un servicio administrado de TI para permitir que el personal pueda enfocarse en cuestiones más apremiantes.
Phishing
En la lista en vectores de ataques de ransomware el phishing encabeza la lista aprovechando la mano de obra remota derivada del COVID-19. En 2020 el 75% de empresas de todo el mundo experimentaron un ataque de phishing y para la primera mitad del 2022 esa cifra aumentó hasta alcanzar un 161%. Por ello es imprescindible tomar acciones preventivas.
Lo más recomendable es implementar la capacitación de usuarios y ejercicios de phishing que permitan crear conciencia, conocer más sobre los riesgos de links o archivos sospechosos y acciones que deben llevar a cabo en caso de ser víctimas.
El uso de antivirus/antimalwares de última generación así como filtrado de correo electrónico son de gran utilidad como salvaguardas. Una solución como es el Email Protection de Sophos + Firewall es una excelente alternativa ante esta necesidad.
Conexiones remotas
Remote Desktop Protocol (RDP) o Protocolo de Escritorio Remoto permite el acceso de un usuario desde un sitio distinto al que se encuentra el dispositivo en cuestión. Esta herramienta se ha popularizado para el trabajo remoto ya sea desde casa o durante viajes laborales. Debido a su extenso uso se ha convertido en un vector de infección de ransomware por lo que es vital que se asegure y vigile regularmente. En general el acceso por RDP se encuentra público en internet lo que genera una enorme oportunidad para ciber criminales. En NGX Networks, nuestra recomendación es sustituir su uso por una VPN que crea un túnel privado permite una conexión segura.
Respaldo
Al sufrir un ataque de ransomware una de las primeras acciones llevadas a cabo por los criminales cibernéticos es encriptar la información lo que en consecuencia provoca el paro de actividades y servicios para la empresa. Acto seguido se lleva a cabo la exigencia de pago a la empresa. Según el Informe sobre el estado del ransomware de 2021 de Sophos, solo el 8% de las empresas que pagaron el rescate recuperaron todos sus datos, por lo que incluso pagar el rescate no garantizará la recuperación completa de los datos.
Por ello es vital contar con un respaldo offline dentro de tu empresa. Como empresa especializada en telecomunicaciones y ciberseguridad nuestra sugerencia es implementar las siguientes acciones:
Mejores prácticas recomendadas: 3-2-1 Backup
- Respaldo Regular. Lo mejor es agendar los respaldos y validar que funcionen correctamente ya que hay información que si es perdida sería una pérdida inaceptable para tu negocio.
- Respaldos automatizados. El realizar respaldos manuales abre la posibilidad a errores humanos mientras que el automatizar esos procesos permite asegurar el tener las versiones actualizadas de sus archivos.
- Selecciona la información adecuada a respaldar. Archivos de base de datos financieros, sistemas operativos, archivos de registros, entre otros, son algunos de los ejemplos de información vital que es necesario respaldar.
- Prueba tus copias de respaldo. Muchas veces los archivos en el respaldo no se guardan correctamente lo que daría como resultado archivos corruptos inútiles haciendo esencial la verificación.
DRaaS: Disaster Recovery as a Service
En un estudio realizado por el Instituto Ponemon y Keeper reveló que el 39% de las organizaciones no tienen un plan de respuesta en caso de incidentes como ciberataques y filtración de datos lo que puede dejarlas en una situación en la que se vean obligadas a enfrentar pérdidas adicionales después de una crisis.
Un plan estructurado en caso de desastre permite cubrir las necesidades específicas de su empresa, como el tipo de información que desea proteger, así como el objetivo de tiempo de recuperación y el objetivo de punto de recuperación (RTO y RPO). El primero se refiere al tiempo máximo objetivo entre el desastre y la recuperación, y el segundo al tiempo que puede transcurrir desde el último backup.
DRaaS permite recuperar datos críticos ante desastres en cuestión de minutos, lo que reduce al máximo sus pérdidas económicas y de información fundamental para que sus clientes gocen de un servicio ininterrumpido.