Según un informe de la CEPAL, a octubre de 2020 se presentó un aumento interanual del 67 por ciento de ataques de ransomware en todo el mundo, una modalidad de ciberataque que consiste en secuestrar datos o información relevante de las víctimas a cambio de dinero. De acuerdo con datos de la compañía de ciberseguridad Kaspersky, a diario se registran unos 5.000 ataques de este tipo. Brasil, México y Colombia son los países más afectados en América Latina.
Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis en Latinoamérica de Kaspersky, destaca que la dimensión de la amenaza es tan importante que “hasta las fuerzas de seguridad de países como Estados Unidos o Inglaterra están utilizando sus recursos cibernéticos militares para ir detrás de este tipo de atacantes”.
Por eso, precisamente, es vital contar con protocolos definidos de protección, pues de lo contrario, como explica el experto en ciberseguridad, la posibilidad de un secuestro de datos o una interrupción de servicios es grande. Pero ¿cómo debería ser un plan adecuado de ciberprotección?
1. Prevenir, mejor que defenderse
Estar preparado ante un ciberataque implica contar con un sistema de varias capas que permita identificar y rastrear amenazas o debilidades de seguridad antes de un evento o ataque. “Un antivirus es la última línea de defensa. Realmente se necesita trabajar en un modelo de amenazas donde se incluya cómo los criminales cibernéticos pueden penetrar la red y las herramientas que utilizan. Por ejemplo, las redes de VPN muchas veces se descuidan”, explica Bestuzhev.
Si el atacante logra entrar a alguna de las redes, es necesario contar con mecanismos que permitan detectar esa actividad maliciosa. “En esta etapa ni siquiera hemos llegado a hablar de malware, sino solo de detección de desconocidos explorando en nuestra red”, agrega. En la última capa es cuando ya se utilizan mecanismos de endpoint.
Como parte de esa preparación es importante tener claro el accionar de los equipos en caso de que un ataque ocurra. Para eso, explica Bestuzhev, es necesario diseñar PlayBooks con guiones o protocolos que tengan respuestas a cada modalidad de ransomware. “Hay quienes usan personas infiltradas que trabajan dentro de la compañía, otros buscan vulnerar los servidores VPN o los escritorios de acceso remoto, y hay quienes usan los proveedores para lograr vulnerar a la empresa víctima, por eso es importante contemplar planes de acción ante cada modalidad”.
2. Actuar durante el ataque
Una vez confirmado el ataque es necesario llevar a cabo dos acciones en paralelo: por un lado, el denominado Threat Hunting, que es la cacería y rastreo del ataque, siempre conservando las evidencias; y segundo, la recuperación de los datos. Para esto último es importante contar con respaldos de información.
3. Contar con un aliado adecuado
Tener las herramientas adecuadas será clavé para defenderse de un ataque de este tipo. Bestuzhev, por ejemplo, destaca a Kaspersky Endpoint Detection and Response como una solución completa para detectar y rastrear todo el antes y durante del ataque. “También ofrecemos servicios de Threat Hunting para encontrar la amenaza rápidamente y capacitaciones sobre ciberseguridad, desde temas de concientización para todo el talento de la compañía hasta elementos mucho más técnicos para el equipo de ciberseguridad”.
*Contenido elaborado con apoyo de Kaspersky