This post is also available in: Português Español
El caso de la empresa que pagó el rescate y fue atacada de nuevo por no proteger su red:
Quién ha sido víctima de ladrones en casa, generalmente toma medidas de seguridad más fuertes después de lo ocurrido. Coloca rejas en las ventanas, sube el alto del portón, compra cerraduras más modernas y se vuelve más estricto – todo para evitar que el ladrón regrese.
Si se aplicara esa misma lógica en casos de hacking virtual, como en ataques de crackers, sería mucho más difícil que los cibercriminales regresaran. Probablemente, ni siquiera lo conseguirían, y terminarían buscando otros objetivos que sean más fáciles de invadir.
Veamos el caso de una empresa del Reino Unido que hizo caso omiso a este consejo y fue atacada de nuevo. En resumen, fue víctima de un ransomware y pagó millones en Bitcoins para accesar a la llave de descifrado y así restaurar la red. No obstante, fue víctima de el mismo grupo delictivo solo dos semanas después, luego de dejar la investigación de como sucedió el primer ataque.
La historia se hizo pública a través del Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés), para advertir el ascenso de los ransomwares.
Dura lección
De hecho, la empresa no identificada falló en el análisis de cómo los cibercriminales se infiltraron en su red. Las consecuencias se vieron en seguida: el mismo grupo criminal hackeó su red con el mismo ransomware menos de dos semanas después. La empresa terminó pagando rescate por segunda vez.
«Nos enteramos que no se realizó ningún esfuerzo para identificar la causa y proteger la red. Cuando los ladrones regresaron, la víctima sintió que no tenía más opción que pagar el rescate nuevamente», dice un fragmento de un comunicado de NCSC.
El órgano detalló el incidente como una lección a otras empresas. La moraleja de la historia es, si usted llega a ser víctima de un ataque de ransomware, descubra cómo fue que los criminales entraron en la red sin ser detectados antes que la carga útil del ransomware fuese liberada.
«Para la mayoría de las víctimas que procuran el NCSC, comprendemos que su prioridad es obtener de vuelta sus datos y garantizar que sus actividades comerciales puedan operar de nuevo. No obstante, el verdadero problema es que el ransomware muchas veces es apenas un síntoma visible de una intrusión más grave en la red, que puede haberse mantenido por días”, dijo un líder técnico del NCSC que se encarga de gestión de incidentes.
Para instalar el ransomware, los criminales cibernéticos pueden conseguir un acceso backdoor a la red – muchas veces por medio de una invasión de malware previa – así como acceder a privilegios de administrador u otras credenciales de login.
Si los crackers obtienen lo anterior, podrían fácilmente implantar otro ataque si quisieran. Y eso fue exactamente lo que sucedió en el ejemplo citado por el NCSC, ya que la víctima no examinó cómo fue comprometida su red.
Medios para resolver
Examinar la red después de un incidente de ransomware y determinar cómo el malware pudo entrar en la red – y no ser detectado por tanto tiempo – es, por ende, algo que todas las empresas que son víctimas de ransomware deben considerar junto con la restauración de red.
Algunos pueden creer que pagar el rescate a los criminales será el medio más rápido y económico de volver a la normalidad. Pero eso raramente sucede, porque existe el costo del rescate en sí, el análisis pós evento y también la reconstrucción de la red dañada, que significa gastar grandes cifras.
Y, como señala el NCSC, ser víctima de un ataque de ransomware generalmente lleva a un largo período de interrupción antes que todo comience a ser como era antes. «La recuperación de un incidente de ransomware raramente es un proceso rápido. La investigación, la reconstrucción del sistema y la recuperación de datos generalmente conlleva días y días de trabajo», dice el post de la institución.
La mejor manera de evitar todo eso es, en primer lugar, asegurarse que la red esté protegida contra ataques cibernéticos, certificando que los sistemas operacionales y parches de seguridad estén actualizados – aplicando además la autenticación multifactor en toda la red.
También se recomienda que las empresas hagan backups de sus redes regularmente, y almacenen esos backups offline. HD’s externos portátiles pueden ser usados exclusivamente para esa tarea, siendo que algunos modelos de gran espacio de almacenamiento no tienen un costo muy alto. Así, en caso de un ataque de ransomware exitoso, la red puede ser restaurada con un nivel de interrupción mucho menor.
Sea cual sea el conjunto de soluciones adoptado, es necesario dedicación diaria para mantenerlo funcionando. Por más tiempo que exista entre dos intentos de ataque, es necesario mantenerse alerta constantemente. Al final, los cibercriminales solo necesitan de una sola oportunidad para invadir – y la cuestión no es si va a volver, sino cuando van a intentar robar otra vez.
This post is also available in: Português Español