En esta tribuna, Pablo García Pérez, Manager Systems Engineering, Fortinet, explica la gran variedad de tecnologías disponibles para las empresas en su lucha contra el ransomware.
El ransomware existe desde hace décadas, pero la amenaza de ser víctima de un ataque es hoy mayor que nunca. Si 2021 fue el año de su explosión en cuanto a volumen, 2022 vino marcado por una frecuencia acelerada. Las cifras son elocuentes: en la primera mitad de 2022, los servicios de inteligencia de amenazas FortiGuard Labs observaron 10.666 nuevas variantes de ransomware, el doble que en los seis meses anteriores.
Desde Fortinet hemos analizado la opinión de los líderes mundiales de ciberseguridad y responsables de la toma de decisiones para conocer sus perspectivas sobre el ransomware y cómo ha afectado a sus organizaciones en el último año. El Informe Global sobre Ransomware 2023 arroja interesantes conclusiones.
A medida que las operaciones de ransomware evolucionan y se vuelven más sofisticadas, no es sorprendente que el 84 % de las organizaciones afirmen estar “muy” o “extremadamente” preocupadas por esta amenaza, lo que es incluso superior al 76 % de los encuestados que expresaron el mismo nivel de preocupación en el informe de 2021. A pesar del alto nivel de preocupación, el 78 % también confirma estar “muy” o “extremadamente” preparado para prevenir o mitigar un ataque de ransomware.
Sin embargo, las respuestas cuentan una historia diferente. De los encuestados que se sentían bien preparados, la mitad fue víctima de un ataque de ransomware en los últimos 12 meses, y el 46% fue atacado por ransomware dos o más veces. No sólo eso, sino que, en contra de la opinión tradicional de que seleccionar el mejor producto de cada categoría (a menudo de un único proveedor) ofrece la mejor seguridad, las organizaciones que adoptaron el enfoque “best-of-breed” fueron más propensas a ser víctimas de ransomware en el último año. Por el contrario, las que habían consolidado tecnologías mediante un enfoque de plataforma -completa o con productos puntuales seleccionados tenían menos probabilidades de verse afectadas. La conclusión es clara: es hora de que las organizaciones consideren la ciberseguridad como un todo, no como proyectos y productos individuales, especialmente dada la prevalencia de las cibercampañas multivectoriales y multietapa.
El phishing siguió siendo la principal táctica (56%) utilizada por los ciberdelincuentes para infiltrarse en una red y lanzar un ataque de ransomware. Le siguieron los puertos abiertos a Internet (54%) y la explotación del protocolo de escritorio remoto (51%). Sabemos que incluso la mejor pasarela de correo electrónico seguro no puede mantener una eficacia del 100% todo el tiempo, dada la madurez del sector del ransomware como servicio. Y a pesar de toda la formación que podamos impartir a los usuarios finales, basta con que un empleado cometa un error para que los actores de la amenaza encuentren un hueco para acceder a la red.
Aunque estas dos medidas son absolutamente necesarias, no son suficientes por sí mismas. Necesitamos una capa de defensa fuerte, bien configurada y mantenida basada en el comportamiento en los endpoints. Aquí es donde residen los datos y el ransomware debe ejecutarse para lograr sus propósitos. Sin embargo, no es una tarea fácil de gestionar para las organizaciones. Se requiere de personas formadas y procesos eficientes, así como una tecnología completa e integral.
Lo mismo ocurre con la importancia de la gestión de la superficie de ataque, una disciplina emergente que, francamente, debería ser tan exhaustiva y programática como la gestión de vulnerabilidades. Comprensiblemente, es un reto estar al tanto de todos los posibles puntos de entrada y salida de una organización aunque existen herramientas y procesos que ayudan a gestionar eficazmente esta exposición.
Un ejemplo es el Protocolo de Escritorio Remoto (RDP), el más complicado, dado su frecuente uso legítimo en la mayoría de las organizaciones. Disponer del personal, el tiempo y la habilidad para supervisar el uso ilegítimo es bastante raro. Incluso las tecnologías para vigilarlo pueden generar mucho ruido y requerir mucho tiempo. Aunque se reduzca el riesgo de uso indebido mediante una gestión de identidades y accesos más sólida para evitar que las credenciales robadas den acceso a herramientas autorizadas, esta función de “ojos en el cristal” es complicada, y quizá sea mejor externalizarla.
Más inversión para luchar contra el ransomware
La buena noticia es que, a pesar de la incertidumbre económica, el 91% de los encuestados espera que sus presupuestos de seguridad aumenten este año, lo que les permitirá abordar los retos relacionados con la protección frente al ransomware y otras amenazas. Los encuestados mencionaron varias soluciones que consideraban esenciales para protegerse frente a los ataques de ransomware. La mitad o más citaron las siguientes tecnologías de seguridad como importantes: IoT Security, SASE, Cloud Workload Protection, NGFW, EDR, ZTNA, y Security Email Gateway . Cuando se les consultó en qué planean invertir, los encuestados señalaron la seguridad IoT (57%), NGFWs (53%), y EDR (51%).
Es alentador ver que la importancia de la seguridad del correo electrónico fue la que más aumentó, junto con la de la ZTNA, y que los planes para invertir tanto en seguridad del correo electrónico como en EDR fueron los que más se incrementaron respecto a los datos de informe anterior.
A largo plazo, los profesionales destacaron sus planes para invertir en tecnologías impulsadas por la inteligencia artificial (IA) y el aprendizaje automático (ML) para detectar antes el ransomware, seguidas de herramientas de supervisión central como la gestión de eventos e información de seguridad (SIEM) y la orquestación, automatización y respuesta de seguridad (SOAR) como sus principales áreas prioritarias.
En base a estos resultados, parece evidente que los principales retos para prevenir un ataque de ransomware están relacionados con las personas y los procesos, así como con una serie de tecnologías. A medida que las organizaciones tratan de mejorar sus estrategias de seguridad para protegerse frente al ransomware, existen tecnologías específicas que pueden utilizar y desplegar, pero es necesario abordar todo este proceso con una aproximación esencialmente diferente.
Hay que recordar que “más” no siempre significa “mejor”, especialmente en lo que respecta a la tecnología. En lugar de seguir seleccionando los mejores productos puntuales que operan en silos, es recomendable aprovechar estas mismas tecnologías como componentes de plataforma que están inherentemente diseñados para trabajar conjuntamente, casi como una arquitectura de malla de seguridad.
Sabemos que la experiencia en ciberseguridad escasea, y la defensa contra el ransomware no es una excepción. Es interesante recurrir a terceros que nos ayuden a evaluar nuestra preparación, identificar carencias y ejercitar al personal y sus procesos. Podemos aprovechar los servicios de preparación y respuesta ante incidentes y, de forma continuada, servicios como la detección y respuesta gestionadas (MDR) y el SOC como servicio (SOCaaS) para que ayuden a los sobrecargados equipos de seguridad a sacar el máximo partido de sus tecnologías implementadas.
Antes de apresurarnos a comprar la última “tecnología de moda”, centrémonos en las áreas de riesgo probadas, como una sólida seguridad del correo electrónico en el gateway y el endpoint, la identificación rutinaria y la mitigación de la exposición de la superficie de ataque, la autenticación fuerte y la gestión de identidades con cambios regulares de credenciales. Después, consideremos la posibilidad de utilizar tecnología adicional basada en IA para acelerar la detección y la respuesta.
Aunque el ransomware no se detendrá a corto plazo, las organizaciones tienen a su disposición una importante variedad de tecnologías y servicios para ayudarles a protegerse mejor contra esta creciente amenaza.