Medidas de Seguridad Esenciales para PYMES frente al Ransomware: Lecciones de WannaCry y Estrategias Futuras

by on

El ciberataque de WannaCry en 2017 creó una alarma a nivel global, poniendo de manifiesto la urgente necesidad de medidas de seguridad eficaces en pequeñas, medianas y grandes empresas. La repercusión de WannaCry rompió la primera barrera para lograr una seguridad eficiente: ser conscientes de que cualquier dispositivo que conectamos a Internet puede ser atacado y utilizado para propagar un virus de grandes dimensiones porque hoy día todo está conectado entre sí. Expertos aseguran que el impacto de WannaCry fue una primera alarma y que ya se están generando nuevos virus aún más dañinos.

Desde entonces, los ciberataques se han profesionalizado y multiplicado exponencialmente, impactando a todo tipo de organización, independientemente de su tamaño y sector de actividad. Las PYMES, en particular, se encuentran especialmente desprotegidas al no contar con soluciones de ciberseguridad integral, sino que disponen solo de soluciones parciales, que no cubren todos los posibles frentes de ataque y dejan puertas abiertas a los ciberdelincuentes.

El Ransomware: Una Amenaza Creciente para las PYMES

El ransomware es un tipo de software malicioso o malware diseñado para cifrar los datos de una empresa, haciéndolos inaccesibles para los usuarios legítimos. De esta forma, la información se vuelve inutilizable para la empresa y los ciberdelincuentes exigen un rescate económico para devolverla a su estado original.

¿Por qué atacan los ciberdelincuentes a las PYMES?

Aunque pueda parecer que los datos de las pequeñas y medianas empresas no son tan valiosos como los de las grandes organizaciones, en realidad, las PYMES son uno de los principales objetivos de los ciberdelincuentes para realizar ataques de ransomware. Las PYMES no siempre cuentan con sistemas de seguridad avanzados y suelen tener menos recursos dedicados a la ciberseguridad, lo que las convierte en objetivos más fáciles que las grandes empresas.

Además, aunque sean pequeñas, estas empresas a menudo manejan información sensible, de gran valor para los ciberdelincuentes. Los propietarios cada vez invierten en ciberseguridad ya sea para proteger la información confidencial de sus clientes, los secretos comerciales o la valiosa propiedad intelectual. Esto se ha traducido en pérdidas económicas de hasta 400.000 millones de dólares solo en el último año a nivel mundial. De hecho, 4 de cada 10 PYMES españolas han sido víctimas de un ciberataque en 2016 (Fortinet).

Las empresas pequeñas despiertan una gran codicia por varias razones:

  • Las PYMES disponen de datos sobre bancos, tarjetas de crédito y personales con gran valor para los ladrones y los defraudadores.
  • Son además proveedores de grandes empresas. Estos datos, que los hackers adquieren a “pequeña escala”, pueden utilizarse como puerta de entrada hacia las grandes empresas.
  • PYMES que compiten las unas con las otras tienen con frecuencia los mismos proveedores. Un ataque sobre esos proveedores puede revelar datos que bajo ninguna circunstancia deben caer en manos de una persona o empresa equivocadas.
  • Casi ninguna PYME dispone de un departamento de seguridad o de personal que pueda descubrir y proteger frente al ataque de hackers. Pocas veces se cuenta con el software que se necesita para registrar, seguir y evaluar estos ataques. Y los delincuentes lo saben. El peligro de ser demandados, condenados y castigados es menor, y eso hace que sea un área de mayor interés para ellos.

Estrategias de Ataque Comunes

El correo electrónico es una herramienta que la mayoría de pequeñas y medianas empresas utilizan en su día a día. Casi todos sus empleados tienen acceso al correo electrónico y, en ocasiones, no son conscientes de los peligros que acarrea por falta de concienciación. Los correos electrónicos fraudulentos, de tipo phishing, son una amenaza latente para este tipo de empresas. Estos correos están diseñados para engañar y manipular a las víctimas, haciéndoles proporcionar información confidencial o descargar archivos maliciosos.

Asimismo, las vulnerabilidades en el software no actualizado pueden permitir a los ciberdelincuentes infiltrarse en los sistemas y hacerse con el control de estos, infectándolos con ransomware para, posteriormente, extorsionar a la empresa. Visitar sitios web comprometidos que descarguen el software malicioso sin el conocimiento ni consentimiento de la víctima, malvertising (publicidad maliciosa), la descarga de software y aplicaciones piratas, un USB infectado y otras técnicas de ingeniería social pueden llevar a las empresas a sufrir un ataque de ransomware y poner en riesgo la información empresarial y la continuidad del negocio.

Los piratas informáticos están cada vez más preparados y aprovechan incluso el RGPD para chantajear a las PYMES pidiendo cantidades algo menores al importe de la sanción por incumplimiento de la normativa europea de privacidad.

Ransomware más Frecuentes

Según el informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en su Threat Landscape Report 2023, el número de ataques de tipo ransomware han seguido aumentando en los últimos años significativamente, siendo LockBit3 el más común. LockBit es un tipo de malware que, en los últimos años, los ciberdelincuentes han utilizado para extorsionar a sus víctimas y que ha destacado por su sofisticación y efectividad.

Otros nombres conocidos en el mundo del ransomware son los siguientes:

  • Ryuk: Aunque este tipo de ransomware se enfoca principalmente en las grandes organizaciones, también ha afectado a pequeñas y medianas empresas. Se propaga a través de correos electrónicos maliciosos y explota vulnerabilidades en la red.
  • Sodinokibi (REvil): Este ataque se propaga principalmente a través de vulnerabilidades en el software y correos electrónicos maliciosos. Amenaza con filtrar datos si no se paga un rescate sustancialmente alto.
  • Dharma: Se propaga a través de protocolos de escritorio remoto (RDP) que no cuentan con las medidas de seguridad adecuadas.
  • Maze: Además de cifrar la información, los ciberdelincuentes la roban y amenazan con hacerla pública si no se paga el rescate.

Cómo Proteger tu Empresa frente al Ransomware

Ante la creciente amenaza del ransomware, es vital que las empresas, especialmente las PYMES, implementen una estrategia de ciberseguridad robusta. El Día Anti-Ransomware, celebrado el 12 de mayo, nos recuerda la importancia de la prevención.

Medidas de Prevención y Defensa

  1. Actualizar Software y Sistemas Operativos: WannaCry no hubiera tenido las dimensiones pandémicas que alcanzó si todos los equipos hubieran tenido instalados parches de seguridad y sistemas de antivirus actualizados en sus sistemas operativos. El software malicioso aprovecha las vulnerabilidades de los equipos, es decir, los fallos de diseño o configuración tanto del sistema operativo como de los programas que utilicemos, para entrar en nuestros sistemas. Estas brechas de seguridad suelen ser parcheadas por los desarrolladores, pero necesitamos actualizar las versiones para que las soluciones del fabricante sean efectivas.
  2. Programa de Seguridad o Antivirus: Los piratas informáticos desarrollan constantemente nuevos tipos de software malicioso por lo que debemos tener un software de seguridad totalmente actualizado que nos ayude a detectarlos y eliminarlos antes de infectar a toda nuestra red conectada. Invertir en tecnologías de protección eficaces que abarquen prevención, detección y respuesta es ya algo vital.
  3. Copias de Seguridad Periódicas: Realizar copias de seguridad de los datos importantes de forma periódica asegura la posibilidad de recuperar la información en caso de que la empresa sea atacada. Estas copias de seguridad deben cifrarse para proteger los datos ante cualquier vulnerabilidad y al menos una debe almacenarse en un lugar aislado de la red empresarial. Se aconseja hacer copias de seguridad no conectadas y aisladas, es decir, que no sean siempre accesibles a través de Internet y, por lo tanto, no puedan ser infectadas en caso de ataque.
  4. Concienciación y Formación de Empleados: Es fundamental capacitar a los empleados sobre buenas prácticas en ciberseguridad e invertir en su formación y concienciación para convertirse en una empresa segura. Concienciar sobre los peligros que corremos en nuestro trabajo diario al conectarnos es fundamental para mantener la seguridad en cualquier empresa.
  5. Cuidado con el Correo Electrónico y Enlaces Sospechosos: No pinchar en enlaces sospechosos. No se sabe con total fiabilidad el origen de la propagación del virus. En un principio se creyó que este ataque comenzó por “phishing”. En cualquier caso, se aconseja no abrir nunca enlaces o archivos de fuentes desconocidas. Asegurarse del origen de los enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos. También al descargar ficheros adjuntos aunque sean de contactos conocidos.
  6. Limitar Permisos de Administrador: El uso de cuentas de usuario sin permisos de administrador debe limitarse a aquellas situaciones en las que necesitamos disponer de privilegios: realizar cambios en la configuración, instalar una nueva aplicación, dar de alta un nuevo usuario, etc.
  7. Seguridad en las Conexiones a Internet: El uso de cortafuegos o firewalls permitirá controlar el tráfico desde y hacia Internet, y detectar posibles intentos de intrusión. Separar el acceso a Internet de sus empleados del de los invitados de su empresa que utilicen ordenadores o teléfonos inteligentes privados. Muchos routers disponen de funciones para este fin.
  8. Autenticación Multifactor (MFA): Muchos de los ataques de ransomware empiezan de la misma forma: acceso remoto con credenciales robadas. Por eso la medida que cierra esa puerta es tener MFA activo, así las credenciales robadas no sirven de nada. Es una de las inversiones con mejor retorno en cuanto a ciberseguridad se refiere.
  9. Zero Trust y Segmentación de Red: Una vez dentro de un primer equipo, el ransomware se mueve. Busca controladores de dominio, servidores de ficheros, bases de datos, sistemas de backup. Zero Trust y la segmentación limitan ese movimiento. Zero Trust significa que ningún sistema tiene acceso implícito a otro por el simple hecho de estar en la misma red: cada comunicación se autoriza explícitamente. La segmentación divide la red en zonas aisladas con políticas de tráfico controladas entre ellas.
  10. No Pagar el Rescate: En caso de haber sido infectado, se aconseja no pagar nunca el rescate ya que, aunque realicemos el pago, los cibercriminales podrían no devolver el control sobre el dispositivo y pedir una cifra de rescate aún mayor. Pagar el rescate, por otro lado, no garantiza que los datos no se publiquen igualmente, ni que el grupo no vuelva a atacar.
  11. No Borrar Datos en Caso de Infección: Los expertos aseguran que en un futuro se podrían recuperar las claves de algún servidor e incluso se podría descubrir alguna herramienta que repare los daños del ataque y descifre los documentos perdidos.
  12. Plan de Respuesta a Incidentes: Cuando el ransomware está activo, no es el momento de decidir quién lidera la respuesta, cómo se comunica la situación a dirección, si se notifica a clientes o proveedores, o cuándo se involucra a las autoridades. Todo eso tiene que estar decidido de antemano. Un plan de respuesta a incidentes real define roles, protocolos de comunicación interna y externa, criterios de escalada, y pasos ordenados para la recuperación.
  13. Análisis Post-Incidente: Después de gestionar el incidente, hay una pregunta que no puede quedar sin respuesta: ¿cómo entró el atacante? ¿Qué vulnerabilidad explotó? ¿Qué credencial usó? ¿Por qué no se detectó antes? El análisis post-incidente o revisión forense de lo ocurrido, es lo que permite no solo cerrar el vector de entrada específico, sino identificar debilidades sistémicas en la arquitectura de seguridad que lo hicieron posible.

Es importante destacar que la mejor protección es una política de ciberseguridad completa, que incluya puertas cerradas; frentes cubiertos y usuarios concienciados son la mejor defensa.

¿Qué es RANSOMWARE y cómo puedes protegerte?

Evolución de los Ciberataques y el Futuro del Ransomware

El ransomware de hoy en día no se parece a WannaCry casi en nada. WannaCry era un gusano ruidoso que cifraba rápido y se detectaba rápido. Por eso cambia completamente la forma de afrontarlo. No es solo una cuestión de filtros y antivirus.

Los próximos ciberataques ransomware infectarán redes completas, igual que hizo WannaCry, pero se quedarán “latentes” hasta que el máximo de ordenadores esté conectado para maximizar el potencial económico del rescate que los cibercriminales pedirán a empresas o instituciones.

El ransomware moderno no solo cifra: primero roba. Antes de activar el cifrado, los grupos más sofisticados exfiltran datos sensibles (información de clientes, datos financieros, propiedad intelectual, contratos…) y amenazan con publicarlos o venderlos si no se paga. Esto cambia radicalmente el escenario. Tener un buen backup te permite recuperar la operativa sin pagar el rescate por el descifrado. Pero no te protege del daño reputacional, legal y regulatorio de una filtración de datos.

La Defensa por Capas

No busques el producto perfecto. El principio de prudencia general dice: “Desconfía de quien te ofrezca un sistema infalible”. Por eso una combinación de soluciones que, unidas, hacen que un ataque de ransomware sea mucho más difícil de ejecutar y mucho más fácil de detectar antes de que cause un daño irreversible. Ninguna capa individual es suficiente.

  • El antivirus tradicional detecta amenazas conocidas por sus firmas.
  • EDR monitoriza el comportamiento de cada equipo en tiempo real.
  • XDR amplía esa visibilidad a todas las capas del entorno (endpoints, red, correo, identidades, cloud…) y las correlaciona.

Contar con un sistema de respaldo que no se haya visto afectado puede ser nuestra única salvación en caso de desastre. Los grupos de ransomware modernos localizan y destruyen o cifran los backups antes de lanzar el cifrado masivo. Descubrir que el backup está corrupto o incompleto en el momento de necesitarlo es uno de los peores escenarios posibles.

El ransomware moderno pasa semanas dentro de la red antes de cifrar. Durante ese tiempo (dwell-time) está realizando reconocimiento, extrayendo datos y preparando el ataque final. Un SOC (Security Operations Center) operativo 24 horas con analistas que monitoricen y correlacionen alertas de forma continua es lo que permite aprovechar esa ventana. Los ataques más devastadores no se lanzan durante el horario de oficina: ocurren en fines de semana, madrugadas y festivos, precisamente cuando la guardia del departamento de IT está baja.

Ante los recientes acontecimientos de ciberseguridad, muchas grandes y medianas empresas están formando a sus trabajadores para evitar ser víctimas de nuevos ataques. No hace falta convertir a nuestros empleados en expertos en ciberseguridad, simplemente dotarlos con algunas nociones básicas que permita reconvertirlos en piezas clave para la prevención de ciberataques.

La defensa correcta es la que asume que algo fallará y tiene más capas debajo.

tags: #medidas #seguridad #wannacry #pymes

Publicaciones populares: