Enfatizamos en algunos pasos para mitigar el riesgo de ataques de ransomware

Imagen: Zdzisław Beksiński

por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™ y mentor del Centro de Ciberseguridad 05000.

Como lo han mostrado diferentes ataques en fechas recientes, el ransomware es una de las amenazas más importantes para las empresas en todo el mundo. Como hemos visto, puede causar mucho daño a una organización, más allá del costo financiero de pagar el rescate. El tiempo de inactividad, las ventas y clientes perdidos, así como los gastos de eliminación y recuperación de ransomware pueden impactar de forma negativa a cualquier organización.

De acuerdo con analistas del sector, el costo promedio de remediar un ataque de ransomware en 2021 fue de $1.85 millones de dólares, que es casi el doble que el año anterior. Y, al parecer, esta situación no mejorará en el corto plazo.

Como lo hemos señalado, un ataque de ransomware puede paralizar una organización en cuestión de minutos, dejándola incapaz de acceder a datos críticos y sin poder operar su negocio de manera habitual. Pero eso no es todo: recientemente, los ciberatacantes han pasado de solo infectar sistemas con ransomware a una extorsión en la que también nombran y avergüenzan públicamente a las víctimas, roban datos y amenazan con revelarlos al público o venderlos. Por lo anterior, nuevamente reiteramos algunos pasos para mitigar el riesgo de ataques de ransomware:

• Preparación estratégica: Integra evaluación de riesgos cibernéticos, ejercicios de simulación, capacitación en concientización sobre ciberseguridad, copias de seguridad de datos y pruebas de penetración.

• Prevención: Integra la administración de parches, listas blancas de aplicaciones, filtros de correo no deseado, privilegios mínimos, así como la implementación de software antimalware y de seguridad de end points.

• Respuesta a incidentes: Integra servicios y herramientas forenses para abordar las investigaciones del ataque de ransomware (que permite determinar cómo ocurrió el incidente y obtener evidencia para la preparación de litigios); la remediación (fortaleciendo el entorno para que los atacantes ya no tengan acceso y para evitar una mayor propagación del ransomware); erradicación (para eliminar al atacante del entorno, por ejemplo, deshabilitando cuentas, restableciendo contraseñas, estableciendo la autenticación multifactor y eliminando el ransomware); esfuerzos de recuperación (para enfocarse en la restauración del negocio de manera segura sin arriesgar la reinfección de la infraestructura).

De igual forma, es importante aumentar la preparación de una organización contra el ransomware y garantizar que las herramientas necesarias para la remediación, erradicación y recuperación no solo estén en su lugar, sino que también funcionen como se espera.

Esto es fundamental para la recuperación de end points, que en la actualidad representan una herramienta esencial para que los empleados remotos realicen las tareas asignadas en entornos híbridos de trabajo desde cualquier lugar.

Los ataques de ransomware a menudo ponen los endpoints en un estado en el que son vulnerables a la reinfección o son casi imposibles de volver a crear imágenes o recuperarlas porque las herramientas necesarias ya no funcionan. En última instancia, esto crea mayores desafíos para los equipos de sistemas que, cuando se les asigna la tarea de recuperar los puntos finales de sus empleados, ya han agotado sus recursos.

En este caso, algunas de las sugerencias para las organizaciones son:

• Verificar la preparación estratégica contra el ransomware en los end points mediante la identificación de controles clave (por ejemplo, antivirus/antimalware, protección de endo points o soluciones de detección y respuesta en end points) y herramientas de administración de dispositivos para minimizar la exposición al ransomware y asegurar los esfuerzos de recuperación.

• Habilitar las buenas prácticas de ciberseguridad contra el ransomware en los end points mediante el establecimiento de políticas para garantizar que las aplicaciones de seguridad de misión crítica identificadas y las herramientas de administración de dispositivos están instaladas y funcionan según lo previsto.

• Evaluar la postura de seguridad de los dispositivos mediante la detección e informes continuos sobre antimalware, así como el software de detección y respuesta implementado en los activos digitales.

• Descubrir datos confidenciales de terminales mediante el escaneo en busca de información financiera, números de seguro social, información de identificación personal, información de patentes, secretos industriales y propiedad intelectual para identificar dispositivos en riesgo y garantizar un respaldo adecuado a través de las herramientas existentes.

• Mantener actualizado el software de administración de dispositivos y seguridad de end points para mantener las herramientas esenciales instaladas y efectivas para garantizar su disponibilidad en caso de necesidad de recuperación.

• Informar a los usuarios de manera oportuna y coordinada mediante el despliegue de mensajes en los dispositivos de los usuarios, lo que evita llamadas innecesarias a la mesa de ayuda y comunicaciones fragmentadas.

• Agilizar las tareas de recuperación mediante la recopilación de información precisa, la ejecución de flujos de trabajo personalizados y la automatización de comandos para la recuperación de dispositivos mediante el aprovechamiento de una biblioteca de scripts personalizados, para ayudar con tareas como la identificación de máquinas que han sido infectadas y cifradas, la cuarentena de end points, la deshabilitación de redes o el desbloqueo de los puertos de dispositivos específicos, así como la creación de nuevas imágenes de dispositivos.

En última instancia, las organizaciones deben mirar más allá de las medidas preventivas cuando se trata de lidiar con las ciberamenazas actuales e invertir en estrategias de respuesta, lo que mejora su capacidad para preparar y recuperar rápidamente los puntos finales en caso de un incidente por ciberataque de ransomware.

Para mayor información, visite: https://www.silikn.com/

--

--

--

Founder of SILIKN

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Víctor Ruiz

Víctor Ruiz

Founder of SILIKN

More from Medium

Cybersecurity is a serious matter… even if you think you don’t matter.

Don’t Give Special people Special Access

My story until eJPT!

Update on my Journey in Information Security