Proteja su negocio de un costoso ataque de ransomware

Desafortunadamente, los ataques de ransomware se han convertido en una plaga para las empresas, ya que es muy fácil para los piratas informáticos extorsionar grandes sumas de dinero. La demanda promedio de ransomware ahora es de casi $ 1 millón. La mayoría de las empresas no están preparadas para un ataque de ransomware y los piratas informáticos se aprovechan de la falta de preparación. Los ataques de ransomware están creciendo exponencialmente, por lo que no se trata de "si" sino de "cuándo" una empresa será atacada con ransomware y extorsionada con una gran suma de dinero.

Hay tres pasos para proteger una empresa de un ataque de ransomware. El primer paso es agregar protección de seguridad a la red informática, lo que dificulta mucho que el hacker acceda a los datos almacenados en la red. El segundo paso es capacitar continuamente a los empleados sobre la protección de la ciberseguridad y los procedimientos para evitar ataques. El tercer paso es tener un plan de recuperación que pueda implementarse rápidamente sin pagar el rescate en caso de que un pirata informático pueda plantar ransomware.

Todas las empresas deben invertir en ciberseguridad con urgencia antes de convertirse en la próxima víctima. Al seguir los puntos enumerados aquí, muchas empresas evitarán un ataque de ransomware. Las empresas que son atacadas deberían poder recuperarse en unas pocas horas sin pagar el rescate.

¿Qué es el ransomware?

Ransomware es el nombre de una técnica que utilizan los piratas informáticos para extorsionar a las empresas. El ransomware requiere los siguientes pasos.

• El hacker obtiene acceso al servidor comercial o a la nube donde se almacenan los datos de la aplicación comercial.
• El pirata informático cifra los datos comerciales para que la empresa ya no tenga acceso a los datos.
• El pirata informático envía una demanda por correo electrónico solicitando el pago de una gran cantidad de Bitcoin para proporcionar la clave para liberar los datos. Los pagos de Bitcoin no se pueden rastrear ni recuperar.
• Luego, la empresa paga el dinero de la extorsión y el pirata informático envía la clave para liberar los datos.

Aquí hay algunas estadísticas sobre el ransomware.

• La demanda promedio de ransomware está entre $ 500K y $ 1 millón.
• En el 30% de los casos en que la empresa paga la extorsión, el hacker no entrega los datos.
• Una vez que una empresa ha sido pirateada, el pirata informático compartirá la vulnerabilidad que se utilizó para piratear la red y, por lo tanto, seguirán más ataques de piratas informáticos.

• Los objetivos preferidos del ransomware incluyen la educación, la atención médica y las empresas más pequeñas, ya que pagan rápidamente. Los departamentos de TI de grandes empresas y bancos invierten en ciberseguridad como una prioridad y, por lo tanto, son mucho más difíciles de piratear; sin embargo, los piratas informáticos intentarán que todas las grandes empresas y bancos tengan un equipo de seguridad 24/7/365 que supervise los intentos de piratear la red y bloquee los ataques de piratas informáticos cuando sea necesario.
• El robo de ransomware está aumentando exponencialmente, ya que es fácil de explotar para el pirata informático, hay muchas herramientas disponibles y las empresas pagan rápidamente.
• La mayoría de los piratas informáticos de ransomware se encuentran en países que no son amigos de los EE. UU., por lo que el pirata informático no corre el riesgo de ser atrapado; mucho menos del 1% de los piratas informáticos se enfrentan a un proceso judicial.
• Los piratas informáticos no necesitan conocimientos de programación, ya existen varias empresas de ransomware como servicio (RaaS) en países extranjeros a las que el pirata informático puede pagar para proporcionar el servicio de piratería, y todo lo que el pirata informático tiene que hacer es extorsionar el pago. Esto abre el ransomware a organizaciones de tipo mafioso, que es la razón del crecimiento exponencial del ransomware.
• Solía ser que un gerente de negocios pensó que un ataque de ransomware nunca podría ocurrir. Ahora, todos los gerentes comerciales que no han sido pirateados con ransomware saben de un negocio que fue pirateado.
• Es inevitable que un hacker intente atacar un negocio; el éxito del hacker dependerá de las precauciones que la empresa tome ahora para bloquear al hacker.

• Atención médica: los piratas informáticos prefieren objetivos de atención médica medianos a pequeños por dos razones: son fáciles de piratear y pagan el rescate rápidamente. Las entidades de atención médica más grandes tienen departamentos de TI y presupuestos para implementar la regla de seguridad HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico), que especifica un control de acceso estricto a los datos del paciente. Todas las entidades sanitarias tienen la obligación legal de cumplir con la regla de seguridad HIPAA, que ofrece un alto grado de protección de ciberseguridad. Después de una violación de ransomware, las entidades de atención médica tienen la obligación legal de informar la violación de datos al HHS (Departamento de Salud y Servicios Humanos de EE. UU.) y luego deben pagar una multa correspondiente a la cantidad de registros de pacientes que fueron violados. HHS publica violaciones de datos en su sitio web. Hasta que las pequeñas y medianas entidades sanitarias aumenten las inversiones en ciberseguridad, seguirán siendo el objetivo favorito de los piratas informáticos.

Los segmentos menos afectados por el ransomware son el financiero y el minorista.

• Finanzas: las empresas financieras, como los bancos, siempre han sido el objetivo de los piratas informáticos que intentan acceder a las cuentas de los clientes. Los bancos dedican especialmente una mayor proporción de sus presupuestos de TI a la ciberseguridad que otros segmentos y esto se refleja en la menor incidencia de ataques de ransomware. Si una empresa financiera es pirateada, generalmente es para robar información y el ataque es noticia.


• Minorista: el comercio minorista viene detrás de las firmas financieras con pocos ataques. Muchas empresas minoristas tienen comercio electrónico en línea, lo que atrae a los piratas informáticos. Las empresas minoristas como los bancos dedican una mayor proporción de sus presupuestos de TI a la ciberseguridad que el promedio de la industria.

Hay muchos métodos que utilizan los piratas informáticos para instalar el software de virus troyano en una computadora del personal. A continuación se enumeran algunos métodos;

• Identifique los correos electrónicos de los empleados (generalmente provistos en el sitio web de la empresa) y envíe un correo electrónico falso que parezca ser de un banco o servicio como Amazon, con un mensaje que requiera atención urgente "su cuenta acaba de ser cargada", etc. con un enlace hacer clic para investigar el problema. Cuando se hace clic en el enlace, el virus se instala.
• Envíe un mensaje de correo electrónico con un archivo adjunto que parezca ser de otro empleado con un documento comercial. Cuando se intenta abrir el archivo adjunto, el virus se instala en la computadora.
• Proporcione una dirección de sitio web que sea muy similar a la de un proveedor o cliente en un correo electrónico y cuando se abre instala un virus en la computadora.
• Envíe a un empleado una memoria USB a través de la publicación sin explicación. El empleado puede insertar la memoria USB en la computadora para ver qué hay en ella, lo que inmediatamente instala el virus (esto funciona aproximadamente el 40% de las veces).

Una vez que el virus se instala en la computadora del empleado, llama al pirata informático para informarle que el ataque puede comenzar. Como esta llamada es saliente, el cortafuegos no la bloquea; los cortafuegos suelen estar configurados para bloquear solo el tráfico de datos entrante.

Los métodos empleados para plantar un virus en una computadora del personal solo están limitados por la creatividad del hacker. Por esta razón, muchos bancos y grandes empresas filtran los correos electrónicos comerciales para eliminar enlaces y archivos adjuntos, y brindan a los empleados un método seguro para intercambiar documentos. Las empresas también colocan candados en los puertos USB de las computadoras para evitar que se inserte una memoria USB. También es necesario bloquear el acceso a cuentas de correo electrónico personales en una computadora comercial, ya que los piratas informáticos también usarán correos electrónicos personales para enviar enlaces. Los correos electrónicos personales del personal comercial se pueden obtener de sitios web como LinkedIn.

Tres pasos para minimizar el ataque de un hacker

Hay tres pasos para minimizar el riesgo o prevenir un ataque de piratas informáticos en la red que podría resultar en el robo de datos o en una demanda de extorsión de ransomware

• Actualización de la red: es fundamental que se agreguen dispositivos de protección a la red informática empresarial. Estos dispositivos incluyen un firewall para la conexión a Internet, seguridad de punto final para autenticar a todos los usuarios de la red con control de acceso a la red y controles de seguridad para el acceso remoto a la red. Además, es fundamental contar con respaldo de datos fuera del sitio y es beneficioso mover las aplicaciones de software a la nube, donde tendrán mayor seguridad.
• Capacitación del personal: el punto de entrada del pirata informático a la red suele ser a través de la computadora de un usuario. La capacitación para reconocer una amenaza potencial de piratas informáticos ayudará al personal a prevenir un ataque a los servidores comerciales.
• Plan de recuperación: en el caso de que un pirata informático pueda atravesar las defensas y plantar ransomware para cifrar los datos comerciales, un plan de recuperación probado garantizará que el negocio esté en funcionamiento en unas pocas horas sin pagar el rescate.

Los tres puntos se desarrollan más en las siguientes secciones..

Una actualización de red mejora la protección de seguridad

No es posible proteger una red empresarial al 100% contra los piratas informáticos ransomware. Los piratas informáticos descubren constantemente alguna nueva vulnerabilidad en los sistemas operativos como Windows o en el software de aplicación que utilizan las empresas. La vulnerabilidad permitirá que el pirata informático obtenga acceso al servidor o la nube y cifre los datos comerciales y luego intente extorsionar un pago.

Los fabricantes de software se apresuran a parchear las vulnerabilidades recién descubiertas para bloquear a los piratas informáticos, pero siempre hay una ventana para que el hacker ataque entre el descubrimiento y el parcheo de la vulnerabilidad. Esto también significa que todas las empresas necesitan un contrato de mantenimiento continuo con una empresa de TI para aplicar parches de software a medida que se lanzan; de lo contrario, la ventana de vulnerabilidad se vuelve más grande, lo que aumenta el riesgo de ataque.

El objetivo del hacker es obtener acceso a la red comercial y luego acceder a la base de datos del servidor y cifrar los archivos. Si la empresa utiliza aplicaciones en la nube, el pirata informático primero necesita acceder a la red empresarial. La tarea de obtener acceso a la nube es mucho más difícil que con los servidores de red, pero se puede realizar si el servicio en la nube se ha configurado incorrectamente.

La siguiente figura ilustra los puntos en los que es importante que se actualice la ciberseguridad del sistema de procesamiento de datos comerciales, si no tiene estas características de seguridad ya instaladas.

• Un cortafuegos entre Internet y la red comercial es esencial. Asegúrese de que el cortafuegos esté configurado correctamente. Un cortafuegos sin la configuración adecuada no bloqueará a un hacker. Llame a un experto para que revise el firewall, verifique la configuración y posiblemente actualice a un firewall que tenga más funciones.
• Si es posible, mueva las aplicaciones comerciales y los datos a un servicio de alojamiento en la nube. El alojamiento en la nube es más seguro que un servidor ubicado en la red comercial, ya que las empresas de la nube invierten mucho en ciberseguridad. Esto podría significar cambiar el software de administración de ventas que se ejecuta en los servidores comerciales a la nube de Salesforce.com. El software que está instalado en servidores comerciales y no tiene un equivalente en la nube se puede mover a un servicio en la nube como AWS o Azure, sin embargo, esto debe ser realizado por expertos, ya que es posible dejar una entrada para los piratas informáticos si la cuenta en la nube no está protegida correctamente. . La instalación de software de aplicación en la nube también beneficiará a los trabajadores remotos e híbridos.
• El almacenamiento de datos de respaldo fuera del sitio no debe estar en línea; los archivos deben respaldarse a través de un túnel VPN usando un protocolo encriptado. Se debe hacer una copia de seguridad de los archivos del servidor de red y del servidor en la nube. Los piratas informáticos buscarán eliminar o cifrar los archivos del servidor de respaldo antes de cifrar los archivos de datos principales. El proceso de copia de seguridad no debe eliminar los archivos de copia de seguridad anteriores. Las copias de seguridad anteriores deben permanecer almacenadas. La razón de esto es que el pirata informático puede haber dañado el archivo de datos antes de cifrarlo y, por lo tanto, una o más de las copias de seguridad pueden estar dañadas.
• Todos los dispositivos de los usuarios que se conectan a la red deben tener un software antivirus que se actualice constantemente con los últimos parches. Algunos sistemas de seguridad de punto final tienen agentes activos instalados en las computadoras del personal que permiten verificar el software de la computadora antes de que se le permita tener acceso a la red.

• El siguiente elemento es muy importante, pero las empresas lo pasan por alto. Se debe instalar seguridad de punto final para garantizar que solo el personal autorizado tenga acceso a la red utilizando dispositivos que hayan sido aprobados. Los puntos finales de la red son el eslabón más débil en la seguridad de la red. El producto de seguridad de punto final se denomina controlador de acceso a la red (NAC) y se puede configurar con muchos parámetros. Todo el acceso de los usuarios debe pasar por la seguridad del punto final. Se recomienda encarecidamente configurar la autenticación de 2 factores (2FA) para garantizar la identidad del miembro del personal. 2FA enviará un código al teléfono móvil del miembro del personal después de ingresar la contraseña; luego se ingresa el código para completar el proceso de autenticación. La mayoría de las empresas de alto riesgo, como los bancos y los sitios de comercio electrónico, utilizan 2FA para proteger la información del cliente. El 75% de los ataques de piratas informáticos se realizan a través de los puntos finales de la red utilizando un virus troyano instalado en una computadora del personal.
• El acceso de usuario remoto es un punto de entrada para un hacker. Los usuarios remotos deben conectarse mediante el software de red privada virtual (VPN). El firewall está configurado para permitir la entrada de la conexión VPN. La conexión VPN se dirige al servidor VPN; que luego se conecta a la seguridad del punto final. El personal remoto que se conecta a la red tiene el mismo proceso de autenticación que el personal en el sitio; se ingresa un código 2FA después de la contraseña.
• Los expertos deben revisar la red con frecuencia, semanal o mensualmente. Los parches de actualización deben aplicarse al software en todos los dispositivos de la red. Esto incluye asegurarse de que se apliquen los parches del sistema operativo de la computadora del usuario. Un punto de entrada conocido que no está parcheado le dará acceso a un pirata informático a la red y provocará el robo de datos o el ransomware.

Cualquier empresa que no haya implementado la lista de puntos descrita anteriormente corre el riesgo de sufrir un ataque de ransomware. Además, cada negocio tiene debilidades específicas que están determinadas por el modelo de negocio y que pueden no estar enumeradas anteriormente. Es muy importante que se llame a un consultor de ciberseguridad que comprenda tanto la tecnología como los procesos comerciales para evaluar todas las posibles debilidades.

Capacitación del personal para la concientización sobre ciberseguridad

La capacitación continua del personal es necesaria para garantizar que todo el personal conozca los procedimientos de seguridad y los riesgos de un ataque de piratas informáticos. Una empresa puede asignar una hora cada mes para la capacitación de "concienciación sobre ciberseguridad". Muchos consultores de seguridad cibernética brindan este servicio y las empresas pueden organizar un programa mensual con el consultor. El consultor debe cambiar el formato de la capacitación cada mes para evitar el aburrimiento del personal que puede resultar en que se salten la capacitación. Las empresas deben hacer obligatoria la formación y destinar el tiempo en los horarios del personal para ello. Puede ser necesario programar varias sesiones de capacitación cada mes para diferentes grupos de personal.

Es muy importante que el experto en ciberseguridad comprenda la forma en que opera el negocio para poder identificar los posibles vectores de ataque. Un buen experto en ciberseguridad comprenderá tanto las tecnologías cibernéticas como las debilidades de los procesos comerciales. La capacitación del personal de concientización sobre seguridad cibernética debe incluir los siguientes puntos.

• Explique qué es un ataque de hacker.
• Explique qué es el ransomware.

• Explique qué daño puede causar el ransomware a la empresa.
• Explique los procedimientos de seguridad adicionales que requieren un esfuerzo adicional por parte del personal pero que protegerán el negocio; por ejemplo, el uso de autenticación de 2 factores.
• Enumere los diferentes métodos que los piratas informáticos utilizarán para atacar el negocio.
• Enumere las precauciones que el personal debe seguir al usar las computadoras de la empresa.
• Proporcione un documento de concientización sobre seguridad cibernética que describa los procedimientos que debe seguir el personal (sea breve, viñetas).
• Proporcione un método de informe cuando un miembro del personal identifique un posible ataque.
• Tenga un experto en seguridad cibernética de guardia para responder preguntas y asegurarse de que todo el personal se reúna con el experto (idealmente, el experto debería ser el capacitador).
• Proporcione un plan de recompensas para los miembros del personal que identifiquen un posible ataque.
• Proporcione un plan de recompensas para los miembros del personal que identifiquen mejoras para los procedimientos de concientización sobre seguridad cibernética.
• Use diferentes estudios de casos en cada sesión de capacitación para variar la presentación.

Es importante que el personal acepte participar en la capacitación de concientización sobre seguridad cibernética y evitar que el personal piense que esto es una pérdida de tiempo.

Plan de recuperación de ataques de ransomware

Es posible que el pirata informático haya podido encontrar un método para atravesar el anillo de seguridad y bloquear el software comercial con cifrado. Es necesario tener un plan para recuperar los sistemas de procesamiento de datos sin pagar el rescate. El plan requerirá la cooperación de una empresa de servicios de TI y expertos en seguridad cibernética para implementarlo. El plan de recuperación se implementa de la siguiente manera.

• Tenga a los consultores de TI y seguridad cibernética listos para el caso de que se descubra un ataque de piratas informáticos y no se pueda acceder a los datos comerciales. Esto requerirá mantener contratados a los consultores de TI y seguridad cibernética para brindar soporte las 24 horas del día, los 7 días de la semana.
• Paso de preparación 1: contrato con un experto en ciberseguridad para escribir un procedimiento de recuperación de ataques y planificar un presupuesto para implementarlo de inmediato.
• Paso de preparación 2: haga una copia de seguridad de los datos comerciales diariamente o cada hora en un almacenamiento de datos externo mediante un protocolo de transferencia encriptado. El almacenamiento de respaldo debe estar fuera de línea y olo conectado durante el proceso de respaldo VPN. El almacenamiento de respaldo debe conservar varias copias históricas de los datos. No utilice la copia de seguridad de datos en línea, el pirata informático la eliminará o bloqueará antes de bloquear la base de datos principal.
• Paso de preparación 3: tenga varios discos duros preparados para instalarlos en los servidores. Deben ser una copia exacta de las unidades instaladas en los servidores y mantenerse actualizadas. Se requieren copias múltiples porque cuando la unidad de respaldo está instalada en el servidor, los datos pueden corromperse nuevamente desde una fuente que no se identificó durante la evaluación de seguridad.
• El procedimiento que se sigue después de un ataque es eliminar los discos duros del servidor infectado y reemplazarlos con las unidades de respaldo, luego restaurar los datos desde el respaldo externo. Una vez que se haya recuperado el sistema de procesamiento de datos, el hacker intentará atacar nuevamente utilizando el mismo método de acceso. Será necesario desconectar la red empresarial de Internet antes de la recuperación hasta que los expertos en ciberseguridad hayan encontrado el punto de entrada y lo hayan bloqueado. Esto también significa que los usuarios no pueden acceder a la red durante este tiempo, ya que un virus informático del usuario podría escribir en el servidor.

• Es necesario probar el procedimiento de recuperación al menos una vez, y es preferible probar el procedimiento cada trimestre. Si el sistema de procesamiento de datos no se usa durante el fin de semana, se puede llamar al equipo de TI y seguridad para reemplazar las unidades, recuperar los datos y verificar los registros del servidor para obtener informes de acceso. Se detectarán y corregirán los problemas con el procedimiento de recuperación y se actualizará el plan de recuperación. Con práctica, la recuperación del negocio será más rápida y beneficiará al negocio cuando ocurra un ataque real. Si el sistema de procesamiento de datos se utiliza las 24 horas del día, los 7 días de la semana, desconéctelo durante un día festivo "para fines de mantenimiento"..

En el caso de que el almacenamiento de datos esté en un servidor en la nube, será más difícil para el pirata informático bloquear la base de datos, pero no imposible. Las debilidades ocurren cuando las cuentas en la nube están mal configuradas. Se debe realizar una copia de seguridad del almacenamiento en la nube cada hora o diariamente en un servicio en la nube o en un almacenamiento fuera de línea en la instalación del proveedor de servicios de TI. La empresa tiene opciones de recuperación con aplicaciones basadas en la nube.

• Cuando ocurre un ataque, cree un nuevo servicio en la nube, reinstale el software de la aplicación desde una copia de seguridad y luego rellene los datos.
• Mantenga un segundo servicio en la nube configurado y listo para usar. Cuando la primera cuenta es pirateada, cambie a la segunda cuenta y rellénela usando el almacenamiento de datos de respaldo. Como los servicios en la nube cobran por su uso, el servicio de copia de seguridad no debería tener un costo elevado hasta que se utilice.
• Al igual que con el sistema de servidor interno, la fuente de la violación de datos debe investigarse de inmediato y taparse rápidamente, ya que el pirata informático atacará nuevamente con el mismo método.

El plan de recuperación es una parte esencial del presupuesto de TI empresarial. El costo de no implementarlo es el daño parcial o permanente al negocio.