La proliferación del Ransomware parece no tener fin, ni tampoco muestra señales de que en el futuro tiendan a disminuir los ataques que buscan secuestrar los activos digitales de empresas, gobiernos y personas con la principal finalidad de obtener un pago a cambio. Atrás quedaron los tiempos de los "simpáticos" virus noventeros que formateaban el disco duro o habrían un canal de comunicación para espiarnos, siendo la motivación de sus creadores únicamente una suerte de cibertravesura o, en algunos casos, maldad pura. Esos días quedaron atrás porque los cibercriminales encontraron un nicho extraordinariamente rentable mediante la extorsión informática. Hoy en día prácticamente cualquier dispositivo que esté conectado a Internet puede sufrir un secuestro irrecuperable mediante ataques de Ransomware, lo que puede suponer un problema tremendamente serio. Este tema es tan grave, que el grupo G7, compuesto por las 7 economías más poderosas del mundo (Alemania, Canadá, EE.UU, Japón, Italia, Francia, Reino Unido más la UE), se han organizado para enfrentar conjuntamente esta amenaza a nivel mundial.
Los activos digitales son una parte importante de la economía moderna pero pareciera que no todos lo entienden así. Muchas personas no tienen mayor cuidado por sus datos personales y no es raro encontrar empresas o corporaciones que estén muy interesados en proteger sus sistemas contra ataques informáticos pero lamentablemente "el presupuesto no les alcanza". La mala noticia es que los criminales de Internet cuentan con recursos prácticamente ilimitados para extorsionar a sus víctimas a cambio de un pago que, muchas veces, tampoco garantiza que sus datos sean devueltos.
¿Qué se puede hacer entonces? La verdad es que no hay una receta mágica contra el Ransomware pero hay una serie de medidas que las organizaciones debiesen tener presentes como primera prioridad en sus sistemas informáticos para, al menos, minimizar la probabilidad de ser víctima de un secuestro de datos o, en caso de serlo, minimizar el impacto sobre las operaciones del negocio que ello implica. Aquí repasaré una lista con los principales elementos de protección que debiesen existir en toda organización y que ha nacido de los innumerables casos de clientes que sufren estos ataques y de casos donde hemos tenido que participar en procesos de recuperación de datos post ataque ransomware, que (como podrán suponer) prácticamente el 99,99% no tiene solución.
1. Una adecuada política de respaldos
Tal vez este sea el consejo más importante de todos. La organización que no respalda adecuadamente puede sufrir enormes pérdidas económicas y productivas ante un ataque exitoso. La política de respaldos al menos debe cumplir con las indicaciones clásicas:
- Generar respaldos automáticos de toda la data crítica
- Tener un respaldo off-site (uno o más)
- Generar respaldos de usuarios
- Probar periodicamente que los respaldos puedan restaurarse correctamente
Una alternativa interesante son las soluciones tipo DRaaS (Disaster-Recovery-as-a-Service) que se ofrecen en proveedores como Azure, Acronis y tantos otros, ya que generan respaldos automatizados en la nube con replicación instantánea en múltiples sites y con interfaces simples de gestión. Además, para poder respaldar data de usuarios existen inclusos herramientas gratuitas como Dropbox o Onedrive que sincronizan automáticamente los archivos de ciertas carpetas, permitiendo incluso mantener un historial de cambios de archivos. Así, si se infectan los datos relevantes de un usuario, estas plataformas permiten volver a la versión anterior (limpia) por un periodo de hasta 30 días.
Por otro lado no puedo dejar de mencionar que los respaldos DEBEN probarse cada cierto tiempo. Yo lo aprendí de la peor manera en algún momento de mi carrera: confiándome de que el respaldo estaba ok, pero en realidad se almacenaban copias corruptas y finalmente en aquella ocasión no pudimos restaurar nada.
2. Una política de ciberseguridad que tenga potestad por sobre la operación
"No podemos parchar este servidor Windows 2013 standard edition porque ahí corre el ERP de la empresa y si hacemos un cambio el sistema no funcionaría" es una frase que llevo muchos años escuchando. Claro, es entendible que los ciclos de desarrollo de las aplicaciones no siempre ocurran con la misma intensidad y rapidez que los cambios que la industria requiere, sobre todo porque aplicar ciberseguridad a los procesos de desarrollo de software termina inevitablemente encareciendo las soluciones, pero si se prioriza ese tipo de condiciones por sobre la necesidad de parchar y aplicar seguridad es cosa de tiempo que caiga un Ransomware desastrozo y termine eliminando el mismo ERP que se quiso proteger en un comienzo.
Las políticas de ciberseguridad NO solo deben estar declaradas, sino que deben contar con el apoyo unánime de las gerencias para que ante cualquier indicio de vulnerabilidad en los sistemas, la primera e inmediata acción sea parchar y luego reparar los componentes que dejaron de funcionar correctamente producto de ese parche. Si, sale caro, pero más caro es el ransomware (¿o alguien puede opinar diferente después de los 11 millones de dólares que pagó JBS para recuperar sus datos?. Ref.: https://www.wsj.com/articles/jbs-paid-11-million-to-resolve-ransomware-attack-11623280781)
3. Comprar ciberinteligencia
La ciberinteligencia se podría definir como la agrupación de recursos que permiten desplegar la capacidad de antecederse a un ataque informático y mitigarlo antes de que suceda. Las organizaciones deben considerar que la ciberinteligencia es un componente crítico de ciberseguridad corporativa y debe incluirse en los presupuesto la adquisición de sistemas de protección que incluyan este tipo de soluciones, como los NGFW (Next-Gen Firewalls) o NGAV (NextGen-Antivirus).
Aquí diré algo muy impopular y es capaz que me crucifiquen en la próxima conferencia de ciberseguridad que haya, pero las aplicaciones Open Source no siempre sirven (al menos para mitigar este tipo de amenazas). Todos amamos el Open Source, sobre todo porque muchas veces nos provee de soluciones gratuitas de muy alta calidad, pero si queremos un nivel de protección real entonces tenemos que olvidarnos de firewalls como pfSense, IPcop, Zeroshell, Untangle, Smoothwall y tantos otros, así como también Antivirus tipo ClamAV y tenemos que enfocarnos en adquirir plataformas que cuenten con soporte de ciberinteligencia como Thalos de Cisco, Palo Alto, Checkpoint, Fortinet y tantas otras. Estas plataformas nos proveeran una capa adicional de seguridad que permitirán contrastar procesos en la infraestructura TI contra los últimos ataques que han estado saliendo "on the wild" y cuyos Indicadores de Compromiso (IoC) pueden ser incluidos rápidamente. Tampoco son muy efectivos los antivirus tradicionales, incluso aquellos que traen protección anti-ransomware, ya que muchas veces esta protección consiste solamente en que la aplicación monitorea un directorio definido por el usuario y notifica (molesta e insistentemente) cada vez que un archivo almacenado ahí sufra un cambio. En pleno año 2021 lo más recomendado es evaluar soluciones avanzadas para protección de Endpoints tales como Carbon Black, SentinelOne, Crowdstrike cualquier plataforma de tipo EDR/XDR con seguridad avanzada.
4. Concientizar a los usuarios
Uno de los vectores más comunes de ataques exitosos es, sin duda, el ingreso a los sistemas engañando al eslabón más fácil: el usuario. Para nadie es secreto que los millones de correos falsos, con links a sitios dudosos y con archivos adjuntos que explotan vulnerabilidades de aplicaciones locales son la fuente más común de infección en las empresas. Para mitigar eso hoy existen soluciones que permiten capacitar y concientizar a los usuarios en este tipo de riesgos y se venden bajo el nombre de Security Awareness. Estos servicios incluyen típicamente ejercicios de Ethical Phishing donde los administradores de la infraestructura informática envían intencionalmente correos falsos a los usuarios para luego analizar su comportamiento y posteriormente ayudarlos a corregir esas actitudes capacitándolos y repitiendo el ejercicio hasta lograr bajar los niveles de personas que hacen caen en phishing.
Tip: Knowbe4 ofrece su servicio de Ethical Phishing gratis hasta 100 cuentas.
Podría extenderme por largo rato exponiendo más ejemplos de como defenderse contra la plaga de los ransomware, pero considero que esos 4 elementos son los más importantes. Hay que ser conscientes de que este problema no desaparecerá y que todos caeremos en algún momento en un ataque de Ransomware. La diferencia estará en la efectividad del plan que hayamos tomado para esa ocasión versus la lamentable situación de tener que improvisar una solución, aunque ya sea demasiado tarde. Si alguien tiene más tips, comentarios o consejos al respecto, bienvenidos sean.
