Eleva tus habilidades de liderazgo y negocios

Súmate a más de 52,000 líderes en 90 empresas mejorando habilidades de estrategia, gestión y negocios.


Los ataques de ransomware están repuntando. ¿Está preparada su empresa?

Están subiendo un 150% en 2020, y cada vez más rápido en 2021.
Ataques de ransomware estão aumentando. Sua empresa está preparada?
Ataques de ransomware estão aumentando. Sua empresa está preparada?
Resumen.

Estos son tiempos sin precedentes en el mundo de la ciberseguridad, con ataques de ransomware aumentaron un 150% en 2020 y crecieron aún más rápido en 2021. La mayoría de los comités de auditoría y los altos directivos que tienen que tomar decisiones en torno a los ataques cibernéticos dicen que nunca imaginaron estar en una discusión sobre si y cuánto rescate pagar a los hackers que tienen a la compañía como rehén. Con una buena preparación e higiene de la ciberseguridad, y un plan establecido, su empresa reducirá el riesgo y estará mejor preparada para hacer frente a lo impensable.


Con la migración al trabajo remoto durante el último año, los ciberataques han aumentado exponencialmente. Vimos más ataques de todo tipo, pero el titular de 2020 fueron los ataques de rescate, que fueron 150% más que el año anterior. El monto pagado por las víctimas de estos ataques aumentó más del 300% en 2020.

Ya 2021 ha visto un aumento dramático en esta actividad, con ataques de rescate de alto perfil contra infraestructura crítica, empresas privadas, y municipios agarrando titulares sobre una base diaria. La cantidad de rescate exigido también ha aumentado significativamente este año, con algunas demandas que han llegado a decenas de millones de dólares. Y los ataques se han vuelto más sofisticados, ya que los actores de las amenazas se apoderan de datos confidenciales de la empresa y los mantienen como rehenes para su pago.

¿Quién está detrás de la reciente oleada de ataques? ¿Y cómo deben responder las empresas a esta creciente amenaza? En este artículo, describiré cómo han evolucionado los ataques de ransomware y qué acciones pueden tomar las empresas ahora para protegerse.

Cómo han cambiado los ataques de ransomware

Hace unos años, la mayoría de los ataques de rescate sólo implicaban el despliegue de ransomware. Los hackers obtendrían acceso a través de un correo electrónico de phishing que implementaría malware cuando un empleado involuntario hizo clic en un enlace. El malware encriptaría los servidores de la empresa, y el extorsionista ofrecería claves de descifrado a cambio de un rescate, normalmente en las cinco o a veces seis cifras.

Muchas veces, los actores de la amenaza ni siquiera obtuvieron acceso a la información de la empresa, y a veces ni siquiera sabían qué compañía sería el objetivo final. Simplemente buscaban sistemas para explotar y esperaron el día de la paga. Una vez pagado el rescate, a través de Bitcoin u otra criptomoneda, los hackers enviarían claves de descifrado para obtener acceso a sus servidores e incluso prometen no apuntar a la compañía de nuevo.

El juego ha cambiado más recientemente y se ha convertido en un negocio masivo para quienes perpetran estos actos. Según Hiscox, Ltd., el 43% de las más de 6.000 empresas encuestadas habían sufrido un ciberataque en 2020, un 38% más en los 12 meses anteriores, y uno de cada seis fue un ataque de rescate. En 2020, la cantidad de rescate exigido creció hasta los rangos medio a alto de siete cifras. A finales de 2020 y en 2021, hemos visto algunas demandas de rescate llegando a las decenas de millones de dólares.

Además de las mayores exigencias, la metodología ha cambiado. Los ataques se centran en exfiltrar la información de la empresa, y cuanto más sensible, mejor. Estos agentes amenazantes, que a menudo son organizaciones delictivas altamente organizadas en Europa oriental y en otros lugares, han hecho sus investigaciones. Entienden el panorama financiero de la empresa, la industria en la que opera y cómo explotar la empresa con el máximo efecto. Además de implementar software malicioso para cifrar los sistemas de la empresa, dirigidos incluso a los sistemas de copia de seguridad existentes, los actores de la amenaza realizan el reconocimiento de los archivos de la empresa, exfiltrando grandes cantidades de datos, un terabyte en muchos casos.

El actor de la amenaza luego sigue con un ultimátum de «pago o de lo contrario», contactando a la empresa con una demanda de extorsión, que se pagará en criptomoneda, para obtener las claves de descifrado y mantener los datos de la compañía privados. Se advierte a la compañía que si optan por no pagar, su información sensible será publicada en la oscura web en un «muro de la vergüenza» con otros que fueron hackeados y no pagaron el rescate. Los periodistas que monitorean la oscura web pueden recoger esta información e informar más ampliamente sobre el ataque, a veces causando daños a la reputación de una empresa o exponiendo valiosa propiedad intelectual u otra información confidencial, incluyendo datos de clientes y empleados.

La compañía se queda entre una roca y un lugar duro, ya sea pagar millones de dólares en rescate a delincuentes o tener información confidencial sensible y valiosa públicamente expuesta.

En particular, parece haber «honor entre los ladrones» en el sistema. Estos extorsionistas dependen de que las empresas crean que si pagan, todas las copias de los archivos robados serán destruidas y/o se proporcionarán las claves de descifrado. Y los atacantes mantienen su palabra. De hecho, algunas de estas organizaciones están francamente orientadas al servicio al cliente, por ejemplo, acomodar la criptomoneda preferida del extorsionee (con un pequeño porcentaje de recarga para hacerlo). Incluso hemos visto a un actor de amenazas «arrojar» las claves de descifrado como un gesto de buena voluntad, a pesar de que la compañía ya había negociado un rescate más bajo basado en el hecho de que no necesitaba las llaves.

¿Qué debe hacer una empresa si es atacada?

En el caso de un ransomware u otro evento de extorsión cibernética, las empresas deben seguir su plan de respuesta a incidentes, en particular notificando al personal directivo superior y al departamento jurídico. El bucle en un abogado desde el principio asegurará que la investigación esté protegida por el privilegio abogado-cliente y la doctrina del producto de trabajo del abogado, reduciendo el riesgo de exposición en cualquier demanda colectiva u otras demandas legales que puedan presentarse a raíz de la violación de datos.

El asegurador de la compañía también debe ser notificado desde el principio para que pueda determinar si existe cobertura bajo el póliza de seguro cibernético. La oferta de pago del rescate debe ser previamente aprobada por la compañía de seguros antes de cualquier comunicación al agente de la amenaza.

La decisión de pagar un rescate recae en la dirección superior y, a menudo, de la junta directiva. Cada evento de ransomware o extorsión cibernética debe evaluarse individualmente en cuanto a si debe pagar o no. Mantenga la mente abierta: a menudo, las empresas pierden un tiempo precioso ya que los tomadores de decisiones no familiarizados con los ataques de rescate prometen el primer día que la compañía «nunca, nunca» pagará, luego se acercan a las realidades de la situación, la disponibilidad de dinero del seguro y la necesidad de proteger a las partes interesadas antes en última instancia decidir pagar. Además, mantenga la calma y compre tiempo. Los actores de la amenaza intentan crear urgencia y pánico con sus demandas. Ralentizar las cosas es útil para tomar las decisiones correctas para su organización. Entre las cuestiones clave que hay que tener en cuenta al decidir si se debe pagar el rescate son las siguientes:

  • ¿Qué tan sensible es la información a la que se ha accedido o exfiltrado?
  • ¿La empresa tiene copias de seguridad de la información o necesita las claves de descifrado?
  • ¿Los costos de denegación, como la interrupción del negocio, el impacto en los sistemas o clientes, la publicidad negativa o el daño a la reputación, superan la demanda de rescate?
  • ¿Está el actor de amenazas vinculado a una empresa que está en la lista de entidades sancionadas de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos? (Si es así, puede ser ilegal en virtud de la ley estadounidense pagar el rescate.)

Dependiendo de la gravedad del incidente y de otros factores, al menos la mayoría de las empresas presentarán un informe en línea con el FBI informando sobre los indicadores de compromiso (IOC) involucrados en el ataque para ayudar a las fuerzas del orden a rastrear a estos grupos de amenazas y esperar que algún día los lleve ante la justicia. Hasta ahora, las acusaciones en esta esfera han sido casi inexistentes y las empresas estadounidenses se han dejado en gran medida solas para frustrar estos ataques, a pesar de las buenas intenciones de las fuerzas del orden.

¿Cómo pueden las empresas reducir el riesgo?

Hay una serie de pasos que las empresas pueden tomar para reducir el riesgo de un ataque de rescate, así como el riesgo de daños si se produce un ataque. Estos incluyen:

  1. Revise el plan de respuesta a incidentes de su empresa para asegurarse de que, en caso de un ataque, está claro quién es responsable de qué acciones.
  2. Revise la póliza de seguro cibernético de su empresa y asegúrese de que el rescate está cubierto y que el nivel de cobertura refleja la realidad actual.
  3. Asegúrese de que la autenticación multifactor está habilitada en todos , incluidas las cuentas de servicio y las cuentas de redes sociales, y que existen filtros sólidos de spam.
  4. Establezca un canal de comunicación en una aplicación segura de mensajes de texto para que la alta dirección pueda comunicarse en caso de un ciberataque que destruya los sistemas de correo electrónico de la empresa.
  5. Capacite a sus empleados para identificar correos electrónicos de phishing y educarlos en el modus operandi de actores amenazantes que tratan de engañarlos para que hagan clic en los enlaces.
  6. Identifique a los empleados de alto riesgo, como aquellos con derechos administrativos sobre sistemas, que podrían ayudar a perpetrar un ataque de información privilegiada.
  7. Evaluar la necesidad de una búsqueda profiláctica de amenazas por parte de una empresa forense de renombre contratada por un abogado por privilegio. Por ejemplo, muchas empresas trataron la migración a un entorno de trabajo desde el hogar como un «evento de seguridad de datos» que justificaría una búsqueda de amenazas en el sistema.
  8. Evalúe los programas y protocolos de ciberseguridad para sus proveedores clave, en particular cualquier entidad que gestione datos confidenciales o críticos de la empresa.
  9. Pruebe los sistemas de respaldo regularmente y asegúrese de que estén separados de otros sistemas de la empresa.

Estos son tiempos sin precedentes en el mundo de la ciberseguridad. La mayoría de los comités de auditoría y altos directivos que tienen que tomar decisiones en torno a un ataque de rescate dicen que nunca imaginaron que estarían en una discusión sobre si y cuánto rescate pagar a los hackers que tienen a la compañía como rehén. Con una buena preparación e higiene de la ciberseguridad, y un plan establecido, su empresa reducirá el riesgo y estará mejor preparada para hacer frente a lo impensable.


Escrito por
Brenda R. Sharton




Eleva tus habilidades de liderazgo y negocios

Súmate a más de 52,000 líderes en 90 empresas mejorando habilidades de estrategia, gestión y negocios.