Según el informe State of the Phish 2023 de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, el 89% de las organizaciones españolas sufrió un intento de ataque de ransomware en el último año, mientras que el 72% terminó infectado.
Este tipo de malware, que amenaza con bloquear el acceso a un sistema o información hasta que se pague un rescate, es cada vez más habitual, lo que convierte a prácticamente todos los usuarios de internet en víctimas potenciales. “Podría decirse que el ransomware ha superado su fase epidémica y ahora se ha convertido en una amenaza endémica, con más impacto que nunca en la vida cotidiana, y de la que ninguna organización es inmune”, apunta Fernando Anaya, country manager de Proofpoint para España y Portugal.
Año tras año los ciberdelincuentes van actualizando sus tácticas, por ejemplo, incluyendo técnicas de doble e incluso triple extorsión, que están cada vez más extendidas. La posibilidad de mantener el acceso y filtrar grandes cantidades de datos confidenciales permite a los atacantes aumentar las cifras del rescate exigido y conseguir un mayor beneficio. Sin embargo, aunque sus ataques evolucionen, el objetivo es el mismo: conseguir un acceso ilícito.
En la actualidad, muchos grupos de ransomware se centran exclusivamente en el robo de datos y no cifran ni destruyen ninguna información. Esto es especialmente peligroso para las víctimas, puesto que no tienen ninguna garantía de poder recuperar sus datos y, si lo consiguen, es muy probable que los ciberdelincuentes ya los hayan vendido, divulgado o utilizado en su contra de alguna manera.
Además, cada vez es más habitual que las empresas decidan no pagar el rescate, por lo que los estafadores tienen que rentabilizar sus acciones de otra manera: robar muchos datos y venderlos en la dark web mientras exigen un rescate para no hacerlos públicos.
Ransomware y BEC: ¿dos ciberataques diferentes?
Tradicionalmente, el ransomware y el Business Email Compromise (BEC) se han atribuido a grupos diferentes de ciberdelincuentes. Sin embargo, aunque es cierto que algunos grupos tienen especialidades, competencias e infraestructuras enfocadas a cada una de estas modalidades de ataque, las técnicas básicas que utilizan son las mismas.
Por este motivo, aunque ambas amenazas sean ligeramente diferentes, tienen asimismo mucho en común desde el punto de vista de la defensa. En la mayoría de casos, los atacantes obtienen el acceso inicial a un entorno mediante phishing por correo electrónico; protocolo RDP, que permite tomar el control de un ordenador a distancia; o malware para robar tokens de autenticación, cookies y credenciales. Además, en los dos casos se suele utilizar el secuestro de hilos para meterse en conversaciones legítimas.
“El hecho de que existan tantas coincidencias entre el ransomware y BEC da a las organizaciones una gran ventaja a la hora de diseñar su estrategia de defensa. Se trata de evitar las mismas actividades, independientemente de cómo los delincuentes quieran rentabilizar el ataque”, puntualiza el directivo experto en ciberseguridad de Proofpoint.
Implementar una defensa para todo tipo de ataques
Las soluciones tradicionales no funcionan en los casos actuales en los que los ciberdelincuentes vulneran las cuentas para robar los datos. Las herramientas que buscan indicadores de compromiso utilizando reglas de clasificación de datos ya no cumplen su objetivo si se utilizan solas.
Los responsables de seguridad tienen que buscar los indicios que encajan con el comportamiento actual de los atacantes. Por ejemplo, si se identifican varios inicios de sesión con la misma cookie, puede ser indicio de que un ciberdelincuente está usando credenciales comprometidas. Y si además se observa en el endpoint de ese mismo usuario la instalación de un programa de compresión de archivos, como 7zip o WinRAR, o la transmisión de una gran cantidad de datos a alguna plataforma para compartir archivos en la nube, es recomendable implementar una respuesta ante incidentes.
Los ciberdelincuentes de hoy en día son muy oportunistas, siempre van a buscar el punto débil de una organización. Intentarán localizar dispositivos VPN o puertos RDP vulnerables, pero sin duda saben que la manera más fácil de acceder es a través de los usuarios. Las cargas maliciosas casi siempre se transmiten mediante el uso de ingeniería social y necesitan de la interacción humana para funcionar, por lo que es suficiente con que un empleado haga clic en un enlace o descargue un archivo adjunto de un mensaje de phishing para que los atacantes consigan su objetivo.
“Proteger a los empleados y formarlos en ciberseguridad refuerza la ciberresiliencia y reduce las posibilidades de que la mayoría de ataques tengan éxito”, afirma Fernando Anaya. “Si los ciberdelincuentes no pueden acceder a una organización, tampoco pueden cifrar sus archivos, robar sus datos e interrumpir su actividad empresarial. No hay ninguna fórmula mágica, lo más efectivo es equipar y educar al personal para evitar las amenazas y proteger la información”.
Más información
- ¿Cómo pueden las empresas españolas luchar contra un ransomware cada vez más consolidado?
- Las 5 verdades del ransomware que actualmente desconocen las empresas españolas
- ¡Peligro ransomware! Estas son las seis medidas imprescindibles para una buena estrategia de ciberseguridad empresarial
- Ante un ciberataque de ransomware, ¿pagar o no pagar?
- El ransomware es la principal amenaza de ciberseguridad