Con el crecimiento acelerado de las conexiones remotas para asuntos laborales y personales, los últimos 18 meses han visto también un aumento importante en el número de ciberataques. Aunque por lo general los usuarios de Internet han debido responder a amenazas como el phishing o de robo de datos, para empresas grandes y pequeñas el ransomware se ha convertido en una de las formas de ataque más comunes y más letales. 

Un ataque de ransomware, por lo general, se produce cuando un atacante logra ejecutar código remoto en algún sistema empresarial. Con esta habilidad, los atacantes luego cifran o encriptan los datos de la compañía, cortan por completo el acceso a los sistemas y, efectivamente, detienen todas las operaciones. Para recuperar los datos que les permitan ser operativas de nuevo, las empresas por lo general deben pagar millonarias sumas a los atacantes. El mecanismo más común hoy día es el pago por medio de criptomonedas, que garantizan que la transacción permanece anónima. 

En Colombia y el mundo

Según el último reporte sobre el estado del ransomware realizado por Sophos, una firma mundial de ciberseguridad, el 19 % de las empresas en Colombia ha sido víctima de ataques de ransomware en los últimos 12 meses. Esta cifra es menor que la media global, que para 2021 se posicionó en un 37 % de 5.400 empresas encuestadas. Sin embargo, países como India y Estados Unidos –con 68 % y 51 %, respectivamente– muestran cifras más preocupantes.

“El ransomware no es nuevo, pero es una amenaza que se ha tornado más frecuente, principalmente a partir de la pandemia. A partir del año pasado han crecido mucho los ataques de ransomware”, explica Alexis Aguirre, director de ciberseguridad para Unisys en América Latina. Al igual que sucede en el mundo en general, los ataques cibernéticos también han evolucionado y se vuelven más sofisticados. 

En el mismo reporte, una de las cifras alarmantes es que los pagos que los atacantes están pidiendo han aumentado considerablemente. A nivel global, el pago medio estuvo rondando los 170.000 dólares (unos 640 millones de pesos), pero sube considerablemente en países como Estados Unidos y Canadá hasta los 214.000 dólares (alrededor de 790 millones de pesos). Aún más preocupante es que las empresas que pagan, en muchos casos, tampoco reciben sus datos de vuelta o los reciben parcialmente.

Imagen: Sophos

Los ataques de ransomware han tenido más éxito porque infelizmente la manera más fácil y menos costosa de salir de este tipo de ataque, por increíble que parezca, es pagar el rescate. Como han tenido éxito y conseguido los rescates, se estimula a los ciberatacantes”, dice Aguirre. Y es que, incluso pagando la recompensa, el costo de la recuperación de las operaciones se duplicó en el último año, llegando hasta los 1,26 millones de dólares en el caso de Colombia.

Si soy usuario, ¿estoy en riesgo de ser atacado por ransomware?

Por lo general, los ataques de ransomware tienen como blancos empresas y compañías. Lo cierto es que, aunque las empresas siguen siendo los objetivos principales, los usuarios finales pueden acabar siendo víctimas no intencionales. En muchos casos, para los usuarios es más rentable adquirir un nuevo equipo que pagar por liberar datos que a veces también viven en la nube. 

Según Unisys, los usuarios finales (equipos de personas, no sistemas de empresas) son mucho más vulnerables a otros ataques, como por ejemplo el phishing, el robo de datos y la utilización de sitios web falsos.

En caso de ser víctima, ¿qué puede hacer mi compañía?

Así el panorama, y entendiendo mejor la situación, las empresas podrán tener una mejor respuesta a los ataques de ransomware. Antes que nada, la primera enseñanza clave es que bajo ninguna circunstancia la víctima debe pagar las sumas que le piden como rescate. Esto no solo porque sirve como aliento para otros ataques, sino además porque incluso en ese caso no está garantizada la recuperación de los datos. 

En el último mes de mayo, la compañía estadounidense Colonial Pipeline fue víctima de uno de los ataques más grandes, y tuvo que pagar 5 millones de dólares. Este ataque a la empresa de energía y de oleoductos significó que casi 1.000 estaciones del sureste de Estados Unidos se quedaron sin gasolina. En últimas, Colonial Pipeline estuvo bajo fuerte escrutinio por parte del gobierno y no recuperó por completo sus datos. 

Con este ejemplo, la clave está entonces en nunca pagar por la recuperación de los datos. La principal recomendación es implementar una política de backups que permita a la organización recuperar la mayor cantidad de información posible en caso de un evento de ransomware u otros eventos que puedan devenir en el borrado intencional o no de información; esta política se debe integrar en un plan general de recuperación ante malware y planes de continuidad de negocio”, dice Juan Alejandro Aguirre, gerente senior de Ingeniería de Ventas para América Latina de Sophos.

En todos los casos, la mejor seguridad es aquella que existe desde antes del ataque. Tener herramientas que no solo no permitan la ejecución de código remoto, sino además pensar en el futuro de la compañía después del ataque. Además de esto, se deben implementar estrategias de zero-trust o de confianza cero, en las que todos los datos y movimientos son verificados constantemente. 

Porcentaje de las empresas que pagaron la recompensa cuando fueron atacados por ransomware. Los servicios esenciales y energéticos son los más vulnerables y apetecidos por los atacantes. Imagen: Sophos

De la misma forma, los sistemas empresariales deben estar pensados para evitar la multiplicación de los ataques. Para Alexis Aguirre, de Unisys, hoy en día no tiene sentido hablar sobre protección de perímetro, dado que en muchos casos los datos están almacenados de forma remota en la nube. La mejor idea es que estos sistemas funcionen independientemente y que frenen el esparcimiento del código malicioso en otras partes y sistemas de la compañía.  

La mejor seguridad es preventiva

Como muchos otros tipos de ataques, en muchos casos la pregunta sobre un ataque de ransomware no es si pasará o no, sino cuándo pasará. Un buen sistema de seguridad no solamente previene los ataques, sino que también prepara a las empresas y a los empleados para reaccionar y saber qué hacer en caso de caer víctimas, para prevenir colaborar con cibercriminales y tener costos altísimos de recuperación.

“Una empresa tiene que darse cuenta de que su postura de seguridad no está adecuada o al nivel de disminuir los riesgos, tiene que repensar su arquitectura, repensar por dónde entran los atacantes, el estado de arte de ciberseguridad y arquitectura zero-trust”, dice Alexis Aguirre de Unisys.

Esto es especialmente realidad para empresas en los sectores de comercio electrónico, bancos, servicios financieros e infraestructura crítica, que por lo general son algunos de los blancos más atacados. Esto se debe principalmente a que son servicios críticos, y en caso de un ataque la aparente salida más fácil y rápida para volver en línea es ceder frente a los atacantes. 

Con un presente y un futuro que cada vez más se vuelcan sobre el mundo digital, los ataques seguirán siendo cada vez más comunes, inteligentes y devastadores. La ciberseguridad deberá entonces ser también uno de los pilares de las empresas, para garantizar que el progreso tecnológico no sea saboteado por malas intenciones. Como dice Juan Alejandro Aguirre: “La mejor defensa es saber que en algún momento se va a ser golpeado por un ataque de este tipo. Esto permite planear la estrategia de ciberseguridad basada en este hecho y contar con un plan de acción adecuado en el caso de ser afectado”.

Imagen principal: FLY:D en Unsplash