• Juan K LiBre

Dilema frente a un ataque de Ransomware empresarial: pagar o no pagar

La extorsión, luego del secuestro de datos a las empresas en Colombia ascendieron en el primer semestre de este año a 3.700.000 casos. Experto de NETDATA NETWORKS asegura que las organizaciones no deben pagar por estas solicitudes, sino establecer serias políticas de prevención y prepararse ante los inminentes ataques por medio de backups robustos y bien gestionados.

Dilema frente a un ataque de Ransomware empresarial: pagar o no pagar

Según el estudio Tendencias de Cibercrimen en Colombia 2019-2020, realizado por la Cámara Colombiana de Informática y Telecomunicaciones, en ese periodo Colombia recibió el 30% de los ataques de Ransomware en Latinoamérica, seguido por Perú con un 16%, México con un 14%, Brasil con un 11%, y Argentina con un 9%, siendo en general las PYMES el blanco preferido por los ciberdelincuentes. Para el primer semestre del 2021, la situación no mejoró y las empresas del país sufrieron más de tres millones setecientos mil de estos ataques, mientras en el resto de América Latina hubo más de 91 mil millones en este periodo. Estas cifras tan alarmantes sobre el secuestro de datos, por medio de las tácticas de Ransomware, llevan a las empresas al dilema de pagar o no pagar el rescate a cambio de la recuperación de su información. Sin embargo, cualquiera de los dos escenarios es oscuro, porque sin llegar a considerar factores como la ética o la cantidad de recursos económicos disponibles de la organización, la verdad es que nunca hay garantía de que luego de pagar se recibirá un descifrador, o que este efectivamente funcionará, o que los datos devueltos no sean la totalidad, o en peor de los escenarios, que continúen las demandas extorsivas a cambio de la información restante. Frente a este tipo de casos el dilema para las víctimas es enorme pero definitivamente es el desenlace de las malas prácticas de seguridad, tanto en los niveles más altos de la estrategia TI como en los más bajos, correspondiente al de los usuarios finales en las redes corporativas. Según Santiago Rangel, ingeniero experto de Gestión de Incidentes de Ciberseguridad de NETDATA NETWORKS, “en este sentido, lo más importante siempre serán las estrategias preventivas que deben partir desde las políticas de la organización al crear un equipo de respuestas de incidentes de seguridad y tomarlo en cuenta en el Business Bontinuity Plan ya que nunca se sabe cuándo una compañía será atacada por un malware, por lo que es necesario establecer un equipo que esté preparado para este tipo de situaciones y sepa responder ante un incidente de seguridad”. En el caso de presentarse el incidente, el primer paso que hay que dar es el de mantener informados al CEO y al Business Owner de la compañía porque siempre sarán ellos quienes tomen el mando antes de pasar a las acciones tecnológicas y técnicas, pero si la empresa no desea llegar a estos puntos de no retorno, lo ideal es trabajar con tiempo en las acciones preventivas adecuadas para cada organización. En este sentido, el experto de NETDATA NETWORKS recomienda tener en cuenta estas estrategias que le permitirán a la organización estar preparada frente a un ataque de Ransomware: 1. Tener backups generados según su RPO (Recovery Point Objective).

2. Proveer de la seguridad adecuada a estos backups, dependiendo de la información que contengan. Es decir, si hay información confidencial o sensible de la empresa, la seguridad que se le debe aplicar debe ser la misma que la que se usa para la producción. 3. Guardar siempre los backups en redes diferentes a los servidores que están realizando estas copias de seguridad, ya que los atacantes pueden eliminar también esta información si esta se mantiene en la misma red o en el mismo servidor. 4. Nunca realizar los backups si su empresa no tiene las habilidades dentro de su equipo de análisis forense. 5. En caso de perder alguna información y de no tener forma de recuperarla, contactar inmediatamente a expertos en análisis forense y preparar y notificar a las personas interesadas en la información que fue robada. Pero más allá de estas acciones, el ingeniero Rangel asegura que las organizaciones deben prepararse tácticamente mediante un trabajo previo que debe incluir estos pasos:

  1. Trazar una política de Business Continuity Plan, donde se debe establecer el RTO (Tiempo objetivo de recuperación) y RPO. El punto más importante es el RPO, el cual nos ayuda a determinar cada cuanto tiempo se deben generar los backups de nuestros sistemas más críticos.

  2. Los sistemas críticos deben estar protegidos por el principio de Defense in Depth, donde se deben aplicar varias capas de seguridad como EDR, Firewall o File integrity.

  3. Establecer políticas de acceso para los sistemas críticos y las actividades de los usuarios.

  4. Realizar brigadas de entrenamiento dentro de la compañía para cambiar la cultura de la organización hacia una conciencia por la seguridad debido a que los principales vectores de infección de un Ransomware por lo general son los usuarios a través de la navegación o las campañas de phishing.

  5. Crear un doble factor de autenticación para las conexiones remotas y para poder ingresar a los sistemas críticos.

  6. Establecer un Gateway email para controlar los correos corporativos.

  7. Instalar al menos un EDR (sistema de protección de los equipos e infraestructuras de la empresa) en los equipos que manejan los usuarios (esto se debe de establecer como política y estándar según el compliance que esté cumpliendo).

  8. Mantener reglas de patch management, alineadas con lo estipulado en la política de controles de cambio.

Ahora, teniendo en cuenta que el teletrabajo es otro de los grandes riesgos para mantener en privado la información corporativa, es importante buscar soluciones como el doble factor de autenticación a los accesos de VPN, segmentar bien las redes a través de un firewall y establecer la técnica de bastion host para conectarse a los sistemas críticos desde la VPN.