Los ataques de ransomware están aumentando. ¿Está preparada su empresa?

Estamos viviendo tiempos sin precedentes en el mundo de la ciberseguridad, ya que los ataques de ransomware aumentaron un 150% en 2020 y crecieron aún más rápido en 2021. La mayoría de los comités de auditoría y la alta dirección que tienen que tomar decisiones en torno a los ciberataques dicen que nunca se imaginaron que estarían en una discusión sobre si pagar un rescate a los piratas informáticos que tienen a la empresa como rehén y cuánto. Con una buena preparación, una higiene de ciberseguridad y un plan establecido, su empresa reducirá el riesgo y estará mejor preparada para hacer frente a lo impensable.

••• Con[la migración al trabajo remoto](/2020/05/how-organizations-can-ramp-up-their-cybersecurity-efforts-right-now) durante el último año, los ciberataques aumentaron exponencialmente. Vimos más ataques de todo tipo, pero el titular de 2020 fueron los ataques con rescate, que fueron[un 150% más que el año anterior](https://www.infosecurity-magazine.com/news/ransomware-attacks-soared-150-in/). La cantidad pagada por las víctimas de estos ataques [aumentó más del 300% en 2020](https://securityandtechnology.org/wp-content/uploads/2021/04/IST-Ransomware-Task-Force-Report.pdf). En 2021 ya se ha registrado un aumento drástico de esta actividad, con ataques de rescate de alto perfil contra[infraestructura crítica](https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom?srnd=premium&sref=gKSeqgQQ), [empresas privadas](https://www.reuters.com/business/autos-transportation/toshibas-european-business-hit-by-cyberattack-source-2021-05-14/?campaign_id=4&emc=edit_dk_20210514&instance_id=30812&nl=dealbook&regi_id=4380490&segment_id=58046&te=1&user_id=cc690be81136c77f532ba1185d56aa59), y [municipios](https://www.kjrh.com/news/local-news/tulsa-system-shutdown-alters-backside-operations-ransomware-attack-still-being-investigated) acaparando los titulares a diario. La cantidad de rescate exigida también ha aumentado significativamente este año, y algunas demandas han alcanzado las decenas de millones de dólares. Y los ataques se han vuelto más sofisticados, con actores de amenazas que se apoderan de datos confidenciales de la empresa y los mantienen como rehenes a cambio de un pago. ¿Quién está detrás de la reciente oleada de ataques? ¿Y cómo deberían responder las empresas a este aumento de la amenaza? En este artículo, describiré cómo han evolucionado los ataques de ransomware y qué medidas pueden tomar las empresas ahora para protegerse. ## **Cómo han cambiado los ataques de ransomware** Hace unos años, la mayoría de los ataques de rescate solo implicaban el despliegue de ransomware. Los piratas informáticos accedían a través de un correo electrónico de suplantación de identidad que utilizaba malware cuando un empleado, sin saberlo, hacía clic en un enlace. El malware cifraba entonces los servidores de la empresa y el extorsionador ofrecía claves de descifrado a cambio de un rescate, normalmente de cinco o, a veces, seis cifras. Muchas veces, los actores de las amenazas ni siquiera tenían acceso a la información de la empresa y, a veces, ni siquiera sabían qué empresa sería el objetivo final. Se limitaron a buscar sistemas para explotarlos y esperaron a que llegara el día de la paga. Una vez pagado el rescate (con Bitcoin u otra criptomoneda), los piratas informáticos enviaban las claves de descifrado para acceder a sus servidores e incluso prometían no volver a atacar a la empresa. Las reglas del juego han cambiado recientemente y se han convertido en un gran negocio para quienes cometen estos actos.[Según Hiscox, Ltd.](https://www.hiscoxgroup.com/cyber-readiness), el 43% de las más de 6 000 empresas encuestadas habían sufrido un ciberataque en 2020 (un 38% más que en los 12 meses anteriores) y uno de cada seis de esos ataques fue un ataque de rescate. En 2020, la cantidad de rescate exigida aumentó hasta alcanzar rangos medios y altos de siete cifras. A finales de 2020 y principios de 2021, hemos visto algunas demandas de rescate que alcanzaron las decenas de millones de dólares. Además de las exigencias más altas, la metodología ha cambiado. Los ataques se centran en filtrar la información de la empresa, y cuanto más confidencial, mejor. Estos actores de amenazas, que suelen ser organizaciones delictivas altamente organizadas en Europa del Este y otros lugares, han realizado sus investigaciones. Comprenden el panorama financiero de la empresa, el sector en el que opera y cómo explotar la empresa para sacar el máximo provecho. Además de desplegar malware para cifrar los sistemas de la empresa (atacando incluso los sistemas de respaldo existentes), los actores de amenazas reconocen los archivos de la empresa y, en última instancia, extraen grandes cantidades de datos, un terabyte en muchos casos. El actor de amenazas sigue entonces con un ultimátum de «pague o no» y se pone en contacto con la empresa con una demanda de extorsión, para que le paguen en criptomonedas, para obtener las claves de descifrado y mantener la privacidad de los datos de la empresa. Se advierte a la empresa de que, si decide no pagar, su información confidencial se publicará en la dark web en un «muro de vergüenza» con otras personas que hayan sido hackeadas y no hayan pagado el rescate. Los periodistas que vigilan la dark web pueden recoger esta información e informar más ampliamente sobre el ataque, lo que a veces daña la reputación de la empresa o expone valiosa propiedad intelectual u otra información confidencial, incluidos datos de clientes y empleados. La empresa queda entre la espada y la pared: o paga millones de dólares en rescates a los delincuentes o hace que información confidencial confidencial confidencial y valiosa se dé a conocer públicamente. Cabe destacar que parece que hay «honor entre los ladrones» en el sistema. Estos extorsionadores dependen de que las empresas crean que, si pagan, se destruirán todas las copias de los archivos robados o se proporcionarán las claves de descifrado. Y los atacantes cumplen su palabra. De hecho, algunas de estas organizaciones están totalmente orientadas al servicio de atención al cliente, por ejemplo, y se adaptan a la criptomoneda preferida del extorsionado (con un pequeño porcentaje de recargo por hacerlo). Incluso hemos visto a un actor de amenazas «lanzar» las claves de descifrado como gesto de buena voluntad, a pesar de que la empresa ya había negociado un rescate más bajo por el hecho de que no necesitaba las claves. ## **¿Qué debe hacer una empresa en caso de ataque?** En caso de ransomware u otro caso de ciberextorsión, las empresas deben seguir sus instrucciones[plan de respuesta a incidentes](/2021/03/cyberattacks-are-inevitable-is-your-company-prepared), en particular, notificar a la alta dirección y al departamento legal. Contratar a un abogado desde el principio garantizará que la investigación esté protegida por el privilegio abogado-cliente y la doctrina del producto laboral del abogado, lo que reducirá el riesgo de exposición en cualquier demanda colectiva u otra demanda legal que pueda interponerse tras la violación de datos. También se debe notificar a la compañía de seguros de la compañía desde el principio para que pueda determinar si hay cobertura en virtud de la[póliza de ciberseguro](/2020/10/does-your-cyber-insurance-cover-a-state-sponsored-attack). La oferta de pago de un rescate debe ser aprobada previamente por la compañía de seguros antes de cualquier comunicación con el actor de la amenaza. La decisión de pagar un rescate recae en la alta dirección y, a menudo, en la junta. Cada caso de ransomware o ciberextorsión debe evaluarse de forma individual para determinar si se paga o no. Mantenga la mente abierta: a menudo, las empresas pierden un tiempo precioso, ya que los responsables de la toma de decisiones que no están familiarizados con los ataques de rescate prometen el primer día que la empresa «nunca, nunca» pagará, y luego se dan cuenta de la realidad de la situación, la disponibilidad del dinero del seguro y la necesidad de proteger a las partes interesadas antes de decidir, en última instancia, pagar. Además, mantenga la calma y compre tiempo. Los actores de amenazas tratan de crear urgencia y pánico con sus demandas. Ralentizar las cosas ayuda a tomar las decisiones correctas para su organización. Las principales cuestiones que hay que tener en cuenta a la hora de decidir si se paga un rescate incluyen: - ¿Qué tan confidencial es la información a la que se ha accedido o filtrado? - ¿La empresa tiene copias de seguridad de la información o necesita las claves de descifrado? - ¿Los costes de la negativa, como la interrupción del negocio, el impacto en los sistemas o los clientes, la publicidad negativa o el daño a la reputación, superan la demanda de rescate? - ¿El actor de amenazas está vinculado a una empresa que figura en la lista de entidades sancionadas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos? (Si es así, puede que sea ilegal según la legislación estadounidense pagar el rescate). Según la gravedad del incidente y otros factores, como mínimo la mayoría de las empresas presentarán una denuncia en línea al FBI informando sobre los indicadores de compromiso (COI) implicados en el ataque para ayudar a las fuerzas del orden a rastrear a estos grupos de amenazas y, con suerte, algún día llevarlos ante la justicia. Hasta ahora, las acusaciones en este ámbito son casi inexistentes y las empresas estadounidenses se han quedado prácticamente solas para frustrar estos ataques, a pesar de las buenas intenciones de las fuerzas del orden. ## **¿Cómo pueden las empresas reducir el riesgo?** Hay una serie de medidas que las empresas pueden tomar para reducir el riesgo de un ataque con rescate, así como el riesgo de daños en caso de que se produzca un ataque. Estos incluyen: 1. Revise el plan de respuesta a incidentes de su empresa para asegurarse de que, en caso de ataque, quede claro quién es responsable de qué acciones. 2. Revise la póliza de ciberseguro de su empresa y asegúrese de que el rescate esté cubierto y de que el nivel de cobertura refleje la realidad actual. 3. Asegúrese de que la autenticación multifactor esté activada _todos_ cuentas de empresa, incluidas las cuentas de servicio y las cuentas de redes sociales, y que existan filtros de spam potentes. 4. Establezca un canal de comunicación en una aplicación de mensajes de texto segura para que la alta dirección pueda comunicarse en caso de un ciberataque que destruya los sistemas de correo electrónico de la empresa. 5. Capacite a sus empleados para que identifiquen los correos electrónicos de suplantación de identidad e infórmelos sobre _modus operandi_ de actores de amenazas que buscan engañarlos para que hagan clic en los enlaces. 6. Identifique a los empleados de alto riesgo, como los que tienen derechos administrativos sobre los sistemas, que podrían ayudar a perpetrar un ataque interno. 7. Evalúe la necesidad de una cacería profiláctica de amenazas por parte de una firma forense acreditada contratada por un abogado por privilegio. Por ejemplo, muchas empresas trataron la migración a un entorno de trabajo desde casa como un «problema de seguridad de los datos» que justificaría una búsqueda de amenazas para el sistema. 8. Evalúe los programas y protocolos de ciberseguridad de sus principales proveedores, especialmente de cualquier entidad que gestione datos empresariales confidenciales o críticos. 9. Pruebe los sistemas de respaldo con regularidad y asegúrese de que están separados de los sistemas de la empresa. Son tiempos sin precedentes en el mundo de la ciberseguridad. La mayoría de los comités de auditoría y la alta dirección que tienen que tomar decisiones en torno a un ataque de rescate dicen que nunca se imaginaron que estarían en una discusión sobre si pagar un rescate a los piratas informáticos que tienen a la empresa como rehén y cuánto. Con una buena preparación, una higiene de ciberseguridad y un plan establecido, su empresa reducirá el riesgo y estará mejor preparada para hacer frente a lo impensable.