Autor: Edson Villar ,
Líder Regional de Consultoría en Riesgo Cibernético, Marsh Advisory LAC
02/17/2023
El ransomware es considerada como la principal ciberamenaza de las organizaciones en el mundo. Según el reporte del Estado de la Resiliencia Cibernética 2022 de Marsh y Microsoft, 7 de cada 10 empresas se ven confrontadas a esta realidad.
El ransomware es un tipo de software malicioso que se enfoca en limitar el acceso a los archivos y/o bases de datos a través del uso de mecanismos de cifrado.
El objetivo de esta práctica es pedir una extorsión a cambio de la llave para descifrar la información. Además, busca replicarse rápidamente por la red para generar una afectación generalizada de gran impacto en sus víctimas y, en muchos casos, puede incluir el robo de información sensible.
Esta amenaza puede afectar a tanto a usuarios individuales como a empresas de cualquier sector y tamaño. Según el mismo estudio de Marsh y Microsoft, estas son las principales amenazas cibernéticas a las que está expuesta la organización.
El ransomware no solo genera un impacto a nivel operativo y económico en las organizaciones, sino que también puede implicar un riesgo reputacional.
Muchas entidades públicas y privadas que han sido víctimas de esta amenaza han sido expuestas públicamente, poniendo en tela de juicio su capacidad para proteger la información de sus clientes, así como para enfrentar las ciberamenazas que afectan hoy en día a las organizaciones.
Los grupos cibercriminales que se encuentran detrás de los ataques de ransomware pueden variar en su nivel de agresividad y sofisticación. Sin embargo, existen cinco vectores de ataque que son los más utilizados para vulnerar la seguridad de las organizaciones:
Gran parte de las organizaciones están exponiendo servicios web para ser consumidos por: aplicaciones, servicios de intercambio de archivos, correo electrónico, entre etc. La brecha está en qué no siempre cuentan con las mejores prácticas de seguridad.
En muchos casos, estos servicios ni siquiera necesitan estar expuestos. Es entonces cuando los atacantes aprovechan vulnerabilidades técnicas en las plataformas o servicios expuestos que no han sido remediadas, para sus ataques. También se aprovechan de configuraciones débiles que les permitan acceder a la red de una compañía o que directamente puedan afectar bases de datos expuestas a Internet.
Existen servicios expuestos a Internet que requieren un usuario y contraseña para acceder al entorno empresarial como: la VPN, el correo electrónico, el escritorio remoto, entre otros. Estos servicios son preciados para los ciberatacantes, ya que representan un punto clave de acceso.
En muchos casos estas plataformas son vulnerables, ya que no exigen un doble factor de autenticación. Por lo tanto los atacantes utilizan distintos ataques de contraseña, que les conceden acceso a los sistemas de la compañía sin mayor complicación.
Entre los principales tipos de ataque más utilizados están: los denominados ataques de adivinación de contraseñas, “fuerza bruta” o password spraying, con los que los delincuentes usan contraseñas fugadas en Internet para probar si son válidas para intentar acceder a uno o varios servicios.
Este tipo de ataques están enfocados en enviar correos o mensajes maliciosos solo a algunas personas de la organización, para que realicen alguna acción no autorizada que le permita al atacante acceder a la red de la compañía.
Este tipo de ataques puede enfocarse en el robo de credenciales (usuarios y contraseñas), el acceso a un sitio web malicioso o la ejecución de un malware (software malicioso).
Si bien el uso de los dispositivos USB está siendo cada vez más restringido en las organizaciones, este es un vector que no debemos dejar de lado.
El software malicioso puede ingresar a la red, a través de un archivo en un dispositivo USB que se conecte a algún equipo de la compañía.
El quinto vector importante en los casos de ransomware es el que es generado por un tercero. En muchos casos, los terceros pueden conectar sus equipos a las redes de la organización, sin contar con las medidas de seguridad adecuadas o con los mismos niveles de protección que sus clientes.
Del mismo modo, un tercero puede tener acceso a las redes de la organización para distintos tipos de servicios. Si estas conexiones no están protegidas adecuadamente, un ransomware que afecte a un tercero, puede terminar infectando a sus clientes.
Hoy en día muchas empresas dependen de terceros para soportar servicios críticos. En estos casos, puede que el impacto sea directamente en la interrupción de las operaciones o incluso en la fuga de datos sensibles a los que el tercero tenga acceso.
Dada la relevancia de esta amenaza y el impacto crítico que puede tener en las empresas es importante trabajar proactivamente en la prevención de los ataques de ransomware, desde 4 pilares diferentes: Personas, Tecnología, Procesos y Terceros.
A continuación, exponemos algunas buenas prácticas que pueden ayudar a las organizaciones a enfrentar esta amenaza y mitigar el riesgo cibernético en su organización.
El riesgo cibernético ya no es simplemente un problema tecnológico: se ha convertido en un riesgo sistémico en constante evolución que debe gestionarse de forma activa por parte de las organizaciones. La anticipación será siempre la clave para gestionarlo y mitigarlo, sin importar el sector o el tamaño de una empresa.
En Marsh, le ayudamos a abordar el riesgo cibernético y tomar las medidas adecuadas para su organización. Marsh puede ayudarle a enfrentar estas amenazas, no dude en contactar con uno de nuestros consultores especializados en riesgos cibernéticos.