En 2021 un ataque de ransomware ocurrirá cada once segundos, con consecuencias sumamente perjudiciales como la interrupción en la productividad, daños a la marca, pérdida de lealtad de los clientes, entre otros, lo cual se resume en pérdidas millonarias estimadas por $20 MMD. En tanto, el costo promedio de un pago de ransomware es de 84 mil dólares y el tiempo promedio por inactividad durante un incidente de ransomware es de 16.2 días, según el estudio “Resurgimiento del ransomware, cómo fortalecer sus defensas más allá del perímetro” de Guardicore. Dado el gran crecimiento de ciberataques de ransomware en los últimos años, Oswaldo Palacios, Director de Ingeniería de ventas para México y LATAM de Guardicore, opinó que una de las debilidades en las estrategias de ciberseguridad de las organizaciones que más aprovechan los atacantes es la falta de visibilidad este-oeste en los centros de datos. Los movimientos laterales pocas veces son detectados oportunamente, lo cual es bien sabido por los desarrolladores de ransomware, quienes continuamente aprovechan las adolescencias de seguridad y obtienen acceso a activos críticos por la falta de visibilidad y segmentación.

El directivo explicó que un ejemplo sencillo de un ataque por ransomware inicia en el momento en que un usuario infecta su computadora haciendo clic en una pieza de malware. Este código malicioso le da al atacante un punto de partida para el movimiento lateral hacia sistemas más sensibles. Luego, sin nada que los detenga, pueden lanzar ransomware sin restricciones en todo el entorno. Los atacantes suelen tomar el controlador de dominio, comprometen las credenciales, luego encuentran y cifran la copia de seguridad para evitar que el operador restaure los servicios congelados.

A decir del experto de Guardicore, la forma más utilizada para la propagación del ransomware en una compañía sigue siendo el correo electrónico, al tener debilidades propias del protocolo, es relativamente sencillo confundir al  usuario diciendo que tiene un paquete pendiente de entrega, una compra recha - zada, incluso algunos emails vienen con mensajes tales como “tu pareja te engaña y aquí tengo las pruebas”. El usuario al dar clic en el enla - ce sin saber que está insta - lando un software de cifrado con lo cual su información será secuestrada. O en otros casos está abriendo la puerta para que el ataque llegue a activos críticos y el daño sea aún mayor.

A continuación, Oswal - do Palacios detalló algunas técnicas comunes para intro - ducir y propagar malware: Correos electrónicos.

Estos correos electrónicos pueden ser generales o involucrar tácticas de spear phishing que adaptan el contenido a una organización o persona específica, con la esperanza de que provoque una interacción, como abrir un archivo adjunto o hacer clic en un enlace, y brindar a los malos actores un vehículo para entregar malware.

URL maliciosas. Las URL maliciosas aparecen comúnmente en campañas de phishing, pero también pueden estar incrustadas en un sitio web o en cualquier lugar en el que un usuario pueda hacer clic. En el caso del ransomware, después de que el objetivo interactúa con la URL, el malware a menu - do intentará auto instalarse en la máquina de la víctima, donde puede comenzar a propagarse y extenderse a múltiples activos.

Protocolo de escritorio remoto. El uso de la infraes - tructura de escritorio virtual (VDI) se ha convertido en una superficie de ataque de rápido crecimiento. Un riesgo significativo de VDI incluye el hecho de que toda la infraestructura y las aplicaciones a menudo se encuentran en el mismo ser - vidor. Si un atacante puede introducir software malicioso con éxito, puede resultar complicado detectarlo hasta que sea demasiado tarde.

De acuerdo con Oswal - do Palacios, los directorios activos y aplicaciones críti - cas son de los puntos más atacados ya que ahí reside la información de los usua - rios y sus permisos, accesos y privilegios dentro de la compañía. Una vez que un atacante ha tomado posesión del directorio activo estarán comprometidos los accesos de los usuarios a las aplica - ciones del negocio, causando una afectación total o parcial en la operación.

Las organizaciones de todos los tamaños e indus - trias corren el riesgo de sufrir un gran ataque de ran - somware; las compañías más atacadas serán aquellas que tengan información valiosa susceptible de ser cifrada y por la que se pueda pedir un rescate en dinero o bitcoins.

Una de las mejores de - fensas contra el ransomware es evitar el movimiento lateral dentro de su períme - tro, aseguró Oswaldo Pala - cios, quien agregó que esto puede ser difícil de realizar para el tráfico de este a oeste con firewalls tradicionales.

Además, si bien puede lograr cierta segmentación utili - zando VLAN, a menudo es amplio y no es exactamente el enfoque más ágil cuando necesita aislar activos sobre la marcha, como en el caso de una infracción exitosa.

"No puedes proteger lo que no puedes ver; por lo tanto, las compañías nece - sitan una herramienta que les brinde una completa visibilidad de todas las co - municaciones del centro de datos, no solo entrantes o salientes del perímetro, sino las que existen dentro de las redes y que al no ser visi - bles por los firewalls pue - den resultar en amenazas moviéndose lateralmente", aseguró Oswaldo Palacios.

Por último, el directivo aseguró que existen herra - mientas de ciberseguridad que cuentan con visibilidad a nivel de proceso dentro de los servidores y se pue - den hacer segmentos tan pequeños como permitir o denegar la comunicación entre procesos de un acti - vo. Este tipo de soluciones brindan una granularidad la cual permite tomar acciones preventivas contra cualquier amenaza que se quiera mo - ver lateralmente.