No descubrimos la pólvora si admitimos que el ransomware es una de las mayores amenazas para las empresas hoy en día. Llevamos años ya leyendo titulares sobre ataques basados en esta técnica y que han provocado importantes problemas a organizaciones de cualquier sector y en todos los rincones del planeta. Y, por si quedaba alguna duda aún, un estudio realizado por CrowdStrike muestra cómo una de cada tres empresas (el 32 %) fue atacada en más de una ocasión durante 2021; a este número hay que sumar que una cuarta parte (el 25 %) fue atacada al menos una vez durante ese mismo año. Es decir, más de la mitad de las empresas ha sufrido una amenaza relacionada con ransomware en los últimos doce meses.
Las cifras en 2020 fueron similares, pero es cierto que el mundo fue muy diferente ese año. Lo que habría cabido esperar, sin embargo, es que las organizaciones hubieran estado más preparadas para sufrir ataques después de un traslado masivo a las actividades en línea debido al aumento del trabajo remoto. Más bien al contrario: lo que ha ocurrido es que las empresas se han acomodado después de las grandes inversiones de 2020 y los delincuentes han aumentado su confianza; de hecho, los rescates solicitados para liberar la información secuestrada crecieron un 63 % en 2021. Para algunas empresas pagar el rescate parece ser la única opción pero está claro que en realidad es siempre la peor opción. Según el estudio de CrowdStrike, el 96 % (es decir prácticamente todas) de las empresas que pagaron un rescate fueron extorsionadas de nuevo.
Vistas estas alarmantes cifras, nos toca preguntarnos ¿hay algo que podamos hacer para evitar un ataque o al menos sus nefastas consecuencias? Y la respuesta, como siempre es: depende.
Depende de si (incluso sin haber sufrido un ciberataque en nuestra organización), estamos dispuestos a contratar proactivamente y con antelación a los “bomberos de elite”, el también conocido “Servicio de Retainer”, por el cual en menos de dos horas un equipo de ciberexpertos se pone a analizar el escenario en detalle y despliega herramientas forenses para estabilizar cualquier situación anómala que ocurra en tu red.
Depende de si estamos dispuestos a emplear recursos para analizar los sistemas de protección con los que contamos. Los sistemas tradicionales, de la vieja escuela, basados en firmas han demostrado no ser una medida de confianza: son absolutamente ineficientes contra la mayoría de ataques dirigidos, que son los más típicos en los últimos tiempos ya que no incluyen malware.
Depende de si somos capaces de interconectar las herramientas de detección y respuesta para cubrir cualquier hueco de seguridad. Muchos ataques llegan desde cuentas legítimas pero con credenciales robadas y son por ello más difíciles de detectar con medios convencionales. Por eso, es importante invertir en soluciones de autenticación multifactor y desplegar estrategias de confianza nula para que cualquier usuario sea escrutado incluso después de la autenticación inicial, ya que es muy probable que un delincuente permanezca inactivo durante meses tras conseguir el acceso a la red para pasar desapercibido, pero el sistema debe ser capaz de actuar en cuanto sospeche. Miles de notificaciones independientes provenientes de distintas herramientas no hacen más que entorpecer la toma de decisiones y la actuación urgente ante un incidente.
Depende de si estamos dispuestos a desplegar soluciones de protección para cualquier infraestructura incluso aunque no sea un endpoint: servidores cloud, impresoras conectadas, pantallas… Para ello es necesario utilizar soluciones específicas para la nube pero también herramientas XDR que trabajen de forma conjunta y coordinada.
Y, por último, depende de si el equipo humano de la organización colabora en la protección. La automatización de los procesos facilita la protección porque es más sencillo descubrir un incidente, pero confiar en exceso en la tecnología es un error muy grande. Y lo decimos nosotros sin ambages a pesar de ser proveedores de tecnología. Muchas empresas creen que con desplegar una aplicación ya pueden olvidarse de todo, pero la realidad muestra que las empresas cada vez son más lentas en descubrir un incidente relacionado con la seguridad, y eso es precisamente porque confían en exceso en que sea la herramienta de protección la que lo descubra. Los profesionales bien formados son capaces de afinar los modelos de inteligencia artificial, de llevar a cabo análisis de inteligencia de amenazas o de responder ante eventos o de probar las vulnerabilidades en los sistemas mucho mejor que cualquier máquina.
Como siempre decimos, el cibercrimen evoluciona más rápidamente que las políticas y tecnologías de protección, por lo que hay que estar siempre preparados para adaptarnos a cualquier situación cambiante. En 2020 probamos que no era tan complicado hacerlo pero ahora hay que demostrar de qué somos capaces cuando hablamos de ciberprotección.
