Pagar o no pagar, es el dilema que tendrían que enfrentar las organizaciones que hayan sido víctimas de ransomware, y cuya recuperación puede tomar casi un año. Este ataque, aseguran expertos, requiere de una preparación constante tanto de infraestructura como del personal, pues no existe una red 100 por ciento segura.
De acuerdo con Statista, en 2020 hubo un aumento importante en pagos realizados a los atacantes de ransomware. En concreto, las víctimas pagaron más de 406 millones de dólares en Bitcoin Cash, Bitcoin, Ethereum y Tether. Hasta el 10 de mayo del 2021, se calcula que van al menos 81 millones de dólares.
Para los especialistas no basta con pensar que se cuenta con equipos seguros o con antivirus actualizados, pues los delincuentes siempre estarán al acecho de objetivos de cualquier tamaño y el factor humano es un eslabón importante en la cadena de seguridad de toda organización, al igual que una estrategia robusta de respuesta y de contención.
“Las personas tienen la desventaja o responsabilidad de ser la última o la primera línea de defensa, según cada escenario. Y en ese sentido, es importante que se defina una política de ciberseguridad alrededor de las personas, que vaya permeando en la organización los temas de sensibilización, pero esto no significa una plática anual, sino trabajar todos los días para que surta efecto”, sugirió Juan Pablo Carsi, fundador y socio director de CAPA8.
En el webinar “Secuestrados: El ransomware y cómo proteger a tu organización”, realizado por la Asociación Mexicana de la Industria de Tecnologías de Información (AMITI), el experto sugirió poner énfasis en los temas de phishing, malware, macro y archivos riesgosos y uso de contraseñas.
De nada sirve que existan respaldos, incluso si está muy bien hechos, si el atacante tiene el poder de acceder, por lo que todo el personal de la red, usuarios y administradores, insistió, deben estar capacitados y saber qué hacer en caso de que suceda un incidente.
En el mismo punto coincidió Frederic Coste, managing director de Kippeo, para quién también es esencial contar con un buen backup o respaldo, pero -advirtió- respaldos seguros. “Sin respaldos seguros es casi imposible recuperarse”, recalcó.
Un ransomware explota vulnerabilidades, por lo que si bien es importante parchar los sistemas y tener antivirus autorizados, un antivirus, agregó, no es la solución que evitará que se ejecute un ransomware. Asimismo, contar con soluciones como endpoint detection (EDR) and response, que monitorea los procesos que están corriendo los sistemas y detecta comportamientos sospechosos.
Aislar los sistemas es otra de las recomendaciones, para no tener todo en la misma red, porque si cae un ransomware en la red de finanzas, por ejemplo, éste se quedaría en esa área y no se extendería a otra; asimismo, sugirió limitar los derechos, que cada usuario tenga los permisos que le corresponden.
Una vez que se ha detectado que el equipo no responde, que no se puede acceder al contenido guardado, desde archivos de texto, videos o fotografías, incluso a respaldos, y se exige un pago en criptomonedas, para lo cual los delincuentes proporcionan un wallet o liga donde deben transferirlo, y no saben qué hacer lo mejor es acudir a las autoridades.
Daniel Aldrete, chief information security officer de Metabase Q, explicó que los delincuentes piden los pagos en criptomonedas para cobrar tan pronto como sea posible y sin que sean rastreados. Es una característica de estas monedas virtuales, en ningún momento se tiene que dar datos personales y nunca se sabe quién es el beneficiario último, agregó.
Y si bien la recomendación de los expertos es no pagar, pues nada garantiza que los archivos secuestrados serán liberados, reconocieron que la decisión y el riesgo está en manos de las propias organizaciones, que siempre deben tener presente que es mejor prevenir.
En México se cuenta con el CERT MX, que es el centro de respuesta a incidentes cibernéticos, que opera 24 horas los siete días de la semana, y donde las víctimas pueden recibir asesoría en caso de un ciberataque.
Armando Varela, ingeniero en informática de la Guardia Nacional, explicó que al solicitar apoyo al CERT MX las autoridades ven el caso desde el aspecto legal, pues se trata de un ciberdelito, y brindan asesoría a las víctimas para intentar recuperar la información encriptada y volver a operar.
C$T-GM