“Para proteger a las empresas frente al ransomware, los responsables de la seguridad y la gestión de riesgos deben ir más allá de los endpoints”.
— Cómo prepararse para los ataques de ransomware, Gartner
El ransomware supone un riesgo importante para las empresas. Estos ataques, que con frecuencia comienzan por un simple clic en un mensaje de correo electrónico o un enlace al que no se presta mucha atención, pueden dar lugar al cierre total de las operaciones empresariales hasta que se paga el rescate. Y actualmente hemos llegado a un punto crítico en el que el ransomware constituye un problema de seguridad mundial. Las organizaciones y los países están evaluando cómo defenderse mejor de esta amenaza que sale tan cara.
En el informe, How to Prepare for Ransomware Attacks (Cómo prepararse para los ataques de ransomware), los analistas de Gartner Mark Harris, Brad LaPorte y Paul Furtado ofrecen indicaciones sobre cómo deben prepararse las empresas para los ataques de ransomware.
Los ataques de ransomware son ahora ejecutados por humanos
En el informe, Gartner destaca que “Los ataques recientes han pasado del modelo de propagación automática, como WannaCry y NotPetya, a otro más selectivo, en el que se ataca a una organización, en lugar de a los endpoints personales de los usuarios”. En muchos ataques de ransomware recientes, el ciberdelincuente ha conseguido acceso inicial mediante malware, credenciales comprometidas o un servicio expuesto a Internet vulnerable. En las investigaciones de amenazas de Proofpoint hemos observado que los operadores de ransomware con frecuencia compran el acceso a agentes de acceso inicial o afiliados a un ransomware que se infiltran en las víctimas y venden a los operadores el acceso a cambio de una parte de las ganancias ilícitas que estos obtienen.
La protección frente al ransomware requiere un enfoque integrado y por capas
Los ataques de ransomware, según hemos observado, han evolucionado y ahora son ejecutados por humanos, por lo que el informe de Gartner recomienda a las organizaciones desarrollar una estrategia multicapa para protegerse frente al ransomware. Según el informe, “Para protegerse frente a estos ataques, las organizaciones no se pueden limitar a la protección de los endpoints, deben incluir muchas herramientas y controles de seguridad diferentes”.
Los ataques de ransomware comienzan por un compromiso inicial, normalmente un ataque dirigido o de phishing, con el objetivo de distribuir malware o bien robar credenciales. Según las investigaciones del equipo Unit 42 de Palo Alto Networks, el correo electrónico sigue siendo el principal vector de ataque de ransomware y representa más del 75 % de las veces el origen de los ataques. Dado que el correo electrónico es uno de los principales vectores de ataque, es fundamental invertir en seguridad avanzada del correo electrónico para identificar y neutralizar el acceso inicial. Gartner también destaca que “Hay tecnologías, como las de aislamiento web, que también limitan el impacto” del phishing y los ataques dirigidos.
La mayoría de los ataques de ransomware comienzan cuando los usuarios interactúan con un enlace o adjunto malicioso recibido por correo electrónico. Según nuestro informe State of the Phish 2021, la tasa de fallo media de los usuarios es del 11 %. Visto lo cual, según Gartner, “concienciar a los usuarios sobre la seguridad también es importante”. Implementar un programa de formación para concienciar en materia de seguridad eficaz y focalizado le permite educar a sus usuarios sobre el ransomware y dotarles de las herramientas necesarias para proteger su organización a través de la denuncia del phishing. La formación de los usuarios que reciben más ataques en la organización y que interactúan con amenazas reales será una de sus mejores armas de defensa frente a los ataques de ransomware. Después de todo, los usuarios son la última línea de defensa de las empresas.
Con frecuencia los equipos de seguridad sufren carencias de personal y un exceso de alertas que deben ser investigadas y clasificadas con rapidez. Las herramientas de automatización y las funciones de organización, automatización y respuesta de seguridad para el correo electrónico (mSOAR) pueden ayudarle a mejorar el tiempo de respuesta y reducir la carga de trabajo para su equipo de seguridad. Los clientes de Proofpoint han observado una reducción de hasta un 90 % en recursos para la investigación y respuesta en relación con mensajes maliciosos. Este cliente ha conseguido ahorrar en tres años el equivalente a 345 000 dólares en trabajo directo a jornada completa.
En el informe, Gartner explica los pasos esenciales necesarios para defenderse frente a los ataques de ransomware y subraya qué hacer antes, durante y después de un ataque:
- Antes del incidente: una estrategia de preparación y una prevención multicapa que va más allá de la protección del endpoint.
- Durante el incidente: la detección de ataques en marcha, así como técnicas de mitigación para minimizar el impacto.
- Después del incidente: la recuperación y el análisis de la causa, que debe incorporarse al plan de preparación.
¿Pagar o no pagar?
Uno de los dilemas principales a los que se enfrentan las organizaciones que sufren un ataque de ransomware es si deben o no pagar el rescate. El informe de Gartner aborda las consideraciones de esta importante cuestión. Sin embargo, parece obvio que las organizaciones necesitan tener la respuesta a esta pregunta antes de enfrentarse a un ataque de ransomware.
Para más información sobre cómo prepararse para los ataques de ransomware, descargue el informe de Gartner, How to Prepare for Ransomware Attacks (Cómo prepararse para los ataques de ransomware).
Gartner, “How to Prepare for Ransomware Attacks” (Cómo prepararse para los ataques de ransomware), Mark Harris, Brad LaPorte, Paul Furtado, 16 de noviembre de 2020
Gartner es una marca comercial registrada de Gartner, Inc. y/o sus filiales en Estados Unidos e internacionales, y se utiliza en el presente documento con permiso. Todos los derechos reservados.