Skip to main content

5 vectores clave en un ataque de ransomware

Conozca los cinco vectores clave en un ataque de ransomware ¡Énterese!
Ransomware Marsh Ciberseguridad

El ransomware es considerada como la principal ciberamenaza de las organizaciones en el mundo. Según el reporte del Estado de la Resiliencia Cibernética 2022 de Marsh y Microsoft, 7 de cada 10 empresas se ven confrontadas a esta realidad. 

¿Qué es el Ransomware? 

El ransomware es un tipo de software malicioso que se enfoca en limitar el acceso a los archivos y/o bases de datos a través del uso de mecanismos de cifrado.  

El objetivo de esta práctica es pedir una extorsión a cambio de la llave para descifrar la información. Además, busca replicarse rápidamente por la red para generar una afectación generalizada de gran impacto en sus víctimas y, en muchos casos, puede incluir el robo de información sensible.  

Esta amenaza puede afectar a tanto a usuarios individuales como a empresas de cualquier sector y tamaño. Según el mismo estudio de Marsh y Microsoft, estas son las principales amenazas cibernéticas a las que está expuesta la organización. 

Principales amenazas cibernéticas para la organización

El ransomware no solo genera un impacto a nivel operativo y económico en las organizaciones, sino que también puede implicar un riesgo reputacional.  

Muchas entidades públicas y privadas que han sido víctimas de esta amenaza han sido expuestas públicamente, poniendo en tela de juicio su capacidad para proteger la información de sus clientes, así como para enfrentar las ciberamenazas que afectan hoy en día a las organizaciones. 

Principales vectores de un ataque cibernético 

Los grupos cibercriminales que se encuentran detrás de los ataques de ransomware pueden variar en su nivel de agresividad y sofisticación.  Sin embargo, existen cinco vectores de ataque que son los más utilizados para vulnerar la seguridad de las organizaciones: 

Vector # 1: Explotación de vulnerabilidades en servicios expuestos a Internet 

Gran parte de las organizaciones están exponiendo servicios web para ser consumidos por: aplicaciones, servicios de intercambio de archivos, correo electrónico, entre etc. La brecha está en qué no siempre cuentan con las mejores prácticas de seguridad.  

En muchos casos, estos servicios ni siquiera necesitan estar expuestos. Es entonces cuando los atacantes aprovechan vulnerabilidades técnicas en las plataformas o servicios expuestos que no han sido remediadas, para sus ataques. También se aprovechan de configuraciones débiles que les permitan acceder a la red de una compañía o que directamente puedan afectar bases de datos expuestas a Internet. 

Vector # 2: Ataques de contraseñas 

Existen servicios expuestos a Internet que requieren un usuario y contraseña para acceder al entorno empresarial como:  la VPN, el correo electrónico, el escritorio remoto, entre otros. Estos servicios son preciados para los ciberatacantes, ya que representan un punto clave de acceso.  

En muchos casos estas plataformas son vulnerables, ya que no exigen un doble factor de autenticación. Por lo tanto los atacantes utilizan distintos ataques de contraseña, que les conceden acceso a los sistemas de la compañía sin mayor complicación.  

Entre los principales tipos de ataque más utilizados están: los denominados ataques de adivinación de contraseñas, “fuerza bruta” o password spraying, con los que los delincuentes usan contraseñas fugadas en Internet para probar si son válidas para intentar acceder a uno o varios servicios. 

Vector # 3:  Ataques de spearphishing 

Este tipo de ataques están enfocados en enviar correos o mensajes maliciosos solo a algunas personas de la organización, para que realicen alguna acción no autorizada que le permita al atacante acceder a la red de la compañía.  

Este tipo de ataques puede enfocarse en el robo de credenciales (usuarios y contraseñas), el acceso a un sitio web malicioso o la ejecución de un malware (software malicioso). 

Vector # 4: USB infectado 

Si bien el uso de los dispositivos USB está siendo cada vez más restringido en las organizaciones, este es un vector que no debemos dejar de lado.  

El software malicioso puede ingresar a la red, a través de un archivo en un dispositivo USB que se conecte a algún equipo de la compañía. 

Vector # 5: Compromiso de un tercero con acceso o con conexión a la red 

El quinto vector importante en los casos de ransomware es el que es generado por un tercero. En muchos casos, los terceros pueden conectar sus equipos a las redes de la organización, sin contar con las medidas de seguridad adecuadas o con los mismos niveles de protección que sus clientes.  

Del mismo modo, un tercero puede tener acceso a las redes de la organización para distintos tipos de servicios. Si estas conexiones no están protegidas adecuadamente, un ransomware que afecte a un tercero, puede terminar infectando a sus clientes.  

Hoy en día muchas empresas dependen de terceros para soportar servicios críticos. En estos casos, puede que el impacto sea directamente en la interrupción de las operaciones o incluso en la fuga de datos sensibles a los que el tercero tenga acceso. 

 Ciclo de vida de un ataque de ransomware: 

Buenas prácticas para enfrentar el ransomware 

Dada la relevancia de esta amenaza y el impacto crítico que puede tener en las empresas es importante trabajar proactivamente en la prevención de los ataques de ransomware, desde 4 pilares diferentes: Personas, Tecnología, Procesos y Terceros. 

A continuación, exponemos algunas buenas prácticas que pueden ayudar a las organizaciones a enfrentar esta amenaza y mitigar el riesgo cibernético en su organización. 

¿Cómo prevenir los ataques de ransomware?

selected option
  • Capacitar a nuestros empleados y terceros acerca de las amenazas que pueden afectarlos (phishing, ransomware, etc.). 
  • Realizar pruebas periódicas de ingeniería social para generar una mayor conciencia. 
  • Realizar simulaciones de cibercrisis periódicas a nivel del Comité de Crisis y del Equipo de Respuesta ante Ciberincidentes. 
  • Habilitar mecanismos de doble factor de autenticación para el acceso a los sistemas expuestos a Internet y a la red de la organización. 
  • Realizar una adecuada gestión de vulnerabilidades. 
  • Configurar los sistemas según buenas prácticas. 
  • Mantener los sistemas y aplicaciones de la compañía actualizados (el tiempo es clave). 
  • Hacer uso de herramientas de protección de malware avanzado. 
  • Aislar las redes según niveles de criticidad (servidores, usuarios, ICS/SCADA, administración, etc.). 
  • Hacer uso de herramientas de gestión de usuarios privilegiados.
  • Implementar capacidades de monitoreo de eventos de seguridad en los sistemas y aplicaciones críticas. 
  • Realizar pruebas de ethical hacking y red team para validar la seguridad de la organización. 
  • Realizar copias de respaldo, mantenerlas fuera de la red y probarlas periódicamente para validar su integridad. 
  • Definir y probar un Plan de Respuesta ante ciberincidentes. 
  • Definir y probar un Plan de Continuidad del Negocio. 
  • Definir y probar un Plan de Recuperación ante Desastres. 
  • Evaluar la posibilidad de implementar y probar planes organizacionales de respuesta ante ransomware. 
  • Definir requisitos mínimos de seguridad para los proveedores. 
  • Asegurar los puntos de conexión con los terceros y monitorear su actividad. 
  • Realizar evaluaciones periódicas de los terceros. 
  • Definir cláusulas de seguridad y continuidad de las operaciones en contratos. 
  • Realizar pruebas de los planes de respuesta ante ciberincidentes y de recuperación ante desastres en conjunto con terceros (incluyendo a la compañía de seguros y corredor). 

El riesgo cibernético ya no es simplemente un problema tecnológico: se ha convertido en un riesgo sistémico en constante evolución que debe gestionarse de forma activa por parte de las organizaciones. La anticipación será siempre la clave para gestionarlo y mitigarlo, sin importar el sector o el tamaño de una empresa. 

Gestionamos el riesgo cibernético 

En Marsh, le ayudamos a abordar el riesgo cibernético y tomar las medidas adecuadas para su organización. Marsh puede ayudarle a enfrentar estas amenazas, no dude en contactar con uno de nuestros consultores especializados en riesgos cibernéticos

Autor

Placeholder Image

Edson Villar

Líder Regional de Consultoría en Riesgo Cibernético, Marsh Advisory LAC