• Las empresas son más propensas a pagar por un rescate de sus datos ante el grave daño a su imagen y las consecuencias económicas de la paralización de su actividad.
• El número de ataques por ransomware se están reduciendo desde 2016, pero las pérdidas que provocan casi se duplican.
• Una correcta política de compartimentación del acceso a los datos importantes de la empresa contribuye a reducir la exposición a los ataques.

El ransomware lleva años siendo una pesadilla para los responsables de seguridad de millones de empresas en todo el mundo. Sin embargo, a pesar de toda la literatura técnica existente hasta la fecha que documenta de forma detallada los procedimientos de ataque, muchas empresas continúan en riesgo de recibir un ataque.

Si bien es cierto que el número de ataques registrados en el que se apunta al ransomware como principal responsable se han reducido considerablemente, los ciberdelincuentes continúan confiando en el ransomware como herramienta para comprometer la seguridad de las empresas.

Los atacantes han abandonado las técnicas de infección masiva para centrarse en sistemas dirigidos a empresas, mucho más propensas y generosas a la hora de pagar rescates para recuperar sus datos cifrados.

De la pesca de arrastre a los francotiradores

Las estadísticas recogidas por medios gubernamentales como el FBI muestran un cambio de tendencia reduciéndose el número de ataques por ransomware durante los últimos años, pero marcando un nuevo hito en las pérdidas que estos ataques han ocasionado en las empresas afectadas. 

Esta tendencia coincide con el cambio de modus operandi de los ciberdelincuentes que reflejan las estadísticas en los que se ha pasado de un modelo de infección masiva, en la que no se hacían distinciones entre empresas y particulares como si de una red de arrastre se tratase, a unos sistemas de ataque dirigidos (e incluso manuales) a empresas con brechas de seguridad o debilidades en la protección de sus redes.

Los cibecriminales han hecho sus cálculos y parece que les está saliendo más rentable poner la diana en las empresas, mucho más propensas a pagar por el rescate para recuperar su actividad productiva que practicar la pesca de arrastre a lo largo y ancho de la red para tratar de infectar al mayor número de usuarios posible y, por volumen, recoger beneficios por "rescates asequibles".

Los ciberdelincuentes saben que las empresas atesoran cada vez más datos e información valiosa de sus clientes, y normativas como el GDPR ha puesto más presión sobre la custodia de esos datos. Esto ha convertido a las empresas en un suculento botín y objetivo prioritario para los ataques por ransomware.

El beneficio económico por encima de todo

El beneficio económico continúa siendo el principal reclamo para mantener los ataques con ransomware a las empresas.

Mientras que en los ataques masivos no dirigidos a un objetivo claro los ciberdelincuentes reclamaban rescates asequibles para que cualquier usuario afectado pudiera pagarlo, a medida que las empresas se han ido convirtiendo en el objetivo prioritario se ha ido incrementando la cuantía del rescate de su información.

De hecho, incluso se han dado casos en los que se ha adaptado la cifra del rescate a la capacidad económica de la empresa atacada.

Pese a esta presión y ante la amenaza de un bloqueo que pueda suponer millones de euros en pérdidas, las autoridades recomiendan no ceder al chantaje. No solo por no contribuir a que los ataques sean rentables para los ciberdelincuentes, sino por evitar dar el mensaje erróneo de que, si se ha pagado una vez el rescate, puede volverse a pagar. Aunque los atacantes acostumbran a facilitar una herramienta de descifrado para los archivos cifrados, la propia herramienta puede establecer una cuenta atrás para volver a cifrarlos transcurrido un tiempo prudencial.

Las conexiones con el exterior son el eslabón más débil

La mejor defensa contra los ataques con ransomware es la implantación de mejores sistemas de seguridad y la correcta protección de los accesos externos a la infraestructura de redes de las empresas.

La constante evolución de las familias de ransomware utilizadas en los ataques hace que las herramientas de recuperación facilitadas por iniciativas como NoMoreRansom no sean lo suficientemente inmediatas y efectivas como para recuperar los datos cifrados sin ocasionar pérdidas a las empresas atacadas.

Por ello es importante reforzar la primera línea de defensa con políticas de acceso restrictiva y segmentada en distintos niveles, de forma que resulte más complicado el acceso al conjunto de datos que paralizaría la actividad de la empresa con nefastas consecuencias económicas.

Uno de los vectores de ataque más habituales en las empresas, aparte de la descarga de archivos adjuntos o la descarga involuntaria de archivos, son los accesos mediante el Protocolo de Escritorio Remoto o RDP por sus siglas en inglés.

Este protocolo de acceso remoto a menudo está protegido por una contraseña débil que requiere un esfuerzo mínimo descifrar para un ciberdelincuente, cuando no se encuentran con servidores que todavía conservan su configuración por defecto, lo cual convierte el ataque en poco más que un paseo hasta su botín.

Estos ataques dirigidos pueden requerir un mayor esfuerzo a los ciberdelincuentes que el hecho de enviar correos maliciosos a las cuentas de correo de las empresas esperando que alguno surta efecto, pero les posibilita un mayor control sobre el ataque permitiéndoles sortear la vigilancia de las soluciones de seguridad que acostumbran a monitorizar los servidores de correo.

Con la vista puesta en empresas de sectores estratégicos

Las empresas con actividades en sectores industriales estratégicos son las que más están acusando el cambio de rumbo en los ataques. Los ciberdelincuentes las han puesto en su punto de mira por la presión que soportarían ante las graves implicaciones económicas que conllevaría un bloqueo en la producción de estas empresas.

Lo hemos visto con ataques que protagonizó el ransomware LockerGoga una de las principales empresas productoras de acero de Noruega, o a la ingeniería de I+D Altran Technologies a principios de año. Este ataque les obligó a desconectar sus redes y a funcionar de forma manual afectando seriamente a su ritmo de producción.

Leer más: Así es cómo el Ejército español combate los ciberataques que amenazan la seguridad nacional

Por suerte, en estos casos no hubo que lamentar mayores brechas de seguridad y una correcta política de capas de seguridad a distintos niveles les permitió recuperarse en poco tiempo.

Sectores como el educativo, el sanitario o el de transporte han sido tradicionalmente los menos estrictos a la hora de acometer las tareas de refuerzo de la seguridad informática a nivel empresarial, lo cual podría haber colocado una diana en la espalda de las empresas que operan en estos sectores estratégicos por el enorme volumen de datos privados que atesoran.

Copias de seguridad aisladas y refuerzo de la seguridad

¿Cómo pueden protegerse las empresas de las amenazas del ransomware? No es una pregunta fácil de contestar ya que cada empresa es diferente.

Desde ESET sus expertos recomiendan estar preparados siempre para lo peor estableciendo una política sólida de copias de seguridad de toda la información que pueda considerarse como crítica para la empresa, y mantener estas copias de seguridad aisladas para, en caso de desastre, poder recuperar la normalidad operativa de la empresa en el menor tiempo posible.

Las empresas deben establecer controles de acceso a la red empresarial más restrictivos limitándolos solo a determinados puestos en la organización, y estableciendo políticas de conexión a través de VPN o con sistemas de autenticación de doble factor.

ESET, con más de 30 años ofreciendo soluciones de seguridad informáticas a empresas, recomienda establecer mayores controles sobre los dispositivos BYOD (Bring Your Own Device) para el acceso a la red empresarial, tales como smartphones o portátiles y ampliar la segmentación evitando que se pueda acceder a información crítica de la empresa desde dispositivos no registrados.

Huelga decir que la correcta protección de los endpoints es una pieza básica para la detección y el bloqueo y neutralización precoz de amenazas Zero-Day que todavía no han sido registradas, pero también lo son las soluciones de seguridad empresarial que permitan detectar patrones y tendencias para adelantarse a los ataques y mejorar su tiempo de respuesta.

Lejos de verse erradicada, la amenaza de los ataques por ransomware a las empresas se ha visto intensificada durante los últimos meses, por lo que conviene permanecer alerta y preparados para el peor de los escenarios posible para así minimizar los efectos del impacto de un ataque por este tipo de malware y mantener a salvo los datos de empresas y clientes.