De acuerdo con datos de la unidad de investigación de SILIKN, los ataques de ransomware son cada vez más devastadores y está cobrando nuevas víctimas, ya que en 2021 observaron un aumento en los incidentes de ransomware sofisticados y de alto impacto contra organizaciones de infraestructura crítica en todo el mundo.
La unidad de investigación de SILIKN ha estado realizando más esfuerzos para rastrear, combatir y mitigar las acciones de grupos cibercriminales que usan ransomware. Aun así, se siguen presentando casos en los que los cibercriminales continúan derribando numerosos objetivos, con total impunidad. Por lo tanto, las organizaciones deben prepararse ahora o prepararse para pagar rescates y sus consecuencias.
Para mejorar la resiliencia cibernética de las organizaciones mexicanas y extranjeras con operaciones en el país, así como las diferentes áreas de gobierno, se recomienda ampliamente que sus dirigentes revisen en primer lugar sus activos y las políticas y procedimientos con los cuales los están protegiendo, con la finalidad de tener una base de la cual partir para el desarrollo de estrategias.
En este sentido, la unidad de investigación de SILIKN, ha alertado que en 2021, 4 de cada 10 sectores de infraestructura crítica en México han sido vulnerados, incluyendo sector energético, organismos de agua, servicios financieros, comunicaciones, entre otros. Dos sectores que están siendo cada vez más afectados, con consecuencias letales, son el sector salud y el sector educativo. Se estima que en el transcurso de 2022, organismos de gobierno dentro del sector salud serán víctimas de ciberataques, complicando todavía más el panorama dentro del marco de la pandemia por COVID-19.
De esta manera, el ransomware se considera un riesgo para la seguridad nacional, por lo que, como país, debemos estar preparados para enfrentar incidentes dentro del sector de infraestructura crítica, que puedan interrumpir servicios fundamentales para la ciudadanía.
Es importante que se tomen medidas y que se dediquen más recursos de inteligencia y aplicación de la ley para rastrear e interrumpir las operaciones de ransomware, así como para intentar identificar y arrestar a los perpetradores. Además, es crucial tener mayores recursos, como alertas de amenazas, para ayudar a mejorar la resiliencia cibernética de las organizaciones nacionales.
Nota relacionada: Ransomware dirigido a empresas aumenta un 600% en México
Otras recomendaciones son:
- Mantenerse al día: Mantenga todos los sistemas operativos y el software completamente parcheados y actualizados.
- Bloquear el acceso remoto: El acceso a conexiones de protocolo de escritorio remoto (RDP, por sus siglas en inglés) poco seguras sigue siendo un vector de ataque muy exitoso para obtener acceso inicial a las redes corporativas.
- Capacitar a los usuarios: Junto con RDP y la explotación de fallas sin parches, el phishing sigue siendo una de las principales tácticas de ataque. En consecuencia, una respuesta efectiva debe incluir educación y formación para reforzar la respuesta adecuada del usuario a los correos electrónicos de phishing y spear-phishing.
- Menos administradores: Exija el uso de contraseñas seguras para todas las cuentas, minimice el acceso a nivel de administrador a los sistemas y use controles de acceso para otorgar acceso privilegiado temporal, cuando sea necesario.
- Mejor autenticación: Use la autenticación multifactor siempre que sea posible, pero especialmente para los sistemas críticos, esto le brinda protección adicional en caso de que los atacantes roben las contraseñas que necesitan para acceder a ellos.
- Proteja la nube: Hacer copias de seguridad en varias ubicaciones y cifrar los datos en la nube ayudará. Del mismo modo, si utiliza la gestión de claves basada en la nube para el cifrado, asegúrese de que las funciones de almacenamiento y administración de claves estén separadas.
Un punto importante es que independientemente de lo que haga una organización para mejorar sus defensas, los atacantes modificarán su enfoque para intentar vulnerar sus sistemas. Por lo que es recomendable garantizar que todas las copias de seguridad estén completamente cifradas y que varias copias se almacenen fuera de línea, lo que significa desconectadas físicamente, así como también se prueben y restauren periódicamente.
Para proteger aún más las copias de seguridad en la nube, considere la separación de los roles de la cuenta para evitar que una cuenta que administra las copias de seguridad se use para negar o degradar las copias de seguridad en caso de que la cuenta se vea comprometida. Otros consejos incluyen segmentar las redes, usar el cifrado de extremo a extremo, garantizar que el equipo de seguridad esté rastreando la telemetría de los entornos de la nube, investigar toda actividad anormal, documentar completamente todas las conexiones remotas externas.
Una última sugerencia: no pague rescates. La unidad de investigación de SILIKN desaconseja enfáticamente pagar un rescate a los criminales. La actividad delictiva está motivada por la ganancia financiera, por lo que pagar un rescate puede animar a los adversarios a apuntar a organizaciones adicionales, o volver a apuntar a la misma organización, o alentar a los ciberdelincuentes a participar en la distribución de ransomware. Además, pagar el rescate tampoco garantiza que se recuperarán los archivos de la víctima. Con este enfoque se busca reducir la ganancia financiera de los cibercriminales de ransomware y ayuda a interrumpir sus modelos comerciales.
Por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad.
