El ransomware y los efectos a largo plazo de COVID-19 en las organizaciones serán elementos clave a cubrir en los planes de auditoría de 2022, de acuerdo con la firma de consultoría Gartner, Inc. Independientemente del tamaño o ingresos, las empresas deben asumir que serán atacadas con ransomware y tendrán que examinar sus medidas de prevención, detección, mitigación, respuesta y recuperación.
Cifras preliminares de Guardicore Labs, indican que los ciberataques aumentaron un 600% durante 2020 y lo que va de 2021. “Desafortunadamente el ransomware ha llegado para quedarse; los ciberdelincuentes han encontrado un nicho bastante productivo, con ganancias que se cuentan en millones de dólares con lo cual seguiremos viendo cada vez más ataques y más sofisticados para el siguiente año”, opinó Oswaldo Palacios, Director de Ingeniería de Ventas para México y LATAM de Guardicore.
El reciente estudio IDC’s 2021 Ransomware Study: Where You Are Matters!, encontró que más de un tercio de las organizaciones en todo el mundo han experimentado un ataque de ransomware o una brecha que bloqueó el acceso a sistemas o datos en los últimos 12 meses. Y para aquellos que fueron víctimas de ransomware, no es raro haber experimentado múltiples eventos de ransomware.
Nota relacionada: Buenas prácticas para proteger y recuperar los negocios ante ataques de ransomware
Para Oswaldo Palacios, los usuarios habituales de sistemas informáticos son uno de los principales puntos de entrada no solo de ransomware sino de la mayoría de ciberataques, ya que se apela a la curiosidad humana y falta de conocimiento para enviar correos electrónicos con mensajes falsos y enlaces maliciosos que usan el error humano como ventaja y ganar acceso privilegiado.
En ese sentido, Oswaldo Palacios recomendó cinco consejos a seguir por los empleados a fin de evitar que se conviertan en el medio perfecto para generar un ataque de ransomware a sus organizaciones.
- 1) Revisar siempre el remitente real de un correo electrónico, con esta simple acción se estará eliminando gran parte de las amenazas tipo ransomware. Basta con dar clic en el remitente y verificar el dominio de correo o dirección de donde se envió dicha comunicación.
- 2) Dudar de correos con enlaces hacia Internet, correos que piden actualizar datos o que indican que una cuenta ha sido bloqueada. Deberá revisar la legal procedencia de dicho correo.
- 3) Tener un antivirus actualizado; una forma de propagación es a través de un archivo alojado en una memoria USB, es más fácil detectar un programa malicioso si se cuenta con un antivirus tipo EDR instalado (Endpoint Detection and Response).
- 4) En caso de recibir un e-mail de un banco en el cual no tiene una cuenta, o piden información que ya debería de tener, seguramente es un ataque, deberá eliminar de inmediato este tipo de correos.
- 5) La primera línea de defensa es el conocimiento, las compañías deben tener una campaña permanente de capacitación a los usuarios de sistemas informáticos, de esta forma se añade una capa adicional de seguridad sobre la información a la que se tiene acceso.
A fin de fortalecer dichas medidas de seguridad, Gartner recomendó cinco pasos para que los auditores brinden seguridad sobre los esfuerzos de sus organizaciones para mitigar el riesgo de ataques de ransomware. En primer lugar propone evaluar la capacitación en seguridad de los empleados, en segundo, evaluar las relaciones externas para los servicios de soporte de ransomware, en tercera posición, revisar los planes de respuesta a ataques de ransomware, como cuarto punto, evaluar las políticas de almacenamiento de datos, y por último, revisar los protocolos de comunicación de ataques de ransomware del proveedor de servicios.
Finalmente Oswaldo Palacios dijo que sus clientes cuentan con gran visibilidad de las comunicaciones en sus centros de datos o nube, gracias a esto pueden hacer una segmentación y microsegmentación inteligente con base en las dependencias y trazabilidad de las aplicaciones, esto es el siguiente paso en una estrategia de ciberseguridad. “Podemos recuperar las operaciones de una compañía aún y cuando han sido atacados por un ransomware y prevenir nuevas infecciones o propagación de amenazas”, concluyó el directivo.