La realidad en el siglo XXI: es más probable sufrir un ciberataque que un incendio en una organización

Por Dimitri Zaroubine, Director Senior de Ingeniería para Latinoamérica en Veeam.

Los datos son los activos más importantes de una organización, y cada vez surgen amenazas más sofisticadas que atentan contra la seguridad y el funcionamiento de las compañías. Los ciberataques se multiplican a una velocidad alarmante. Según el Informe de Tendencias de Veeam, el 85% de las organizaciones sufrieron al menos un ataque cibernético en los últimos 12 meses. A diferencia de posibles catástrofes naturales, como incendios o inundaciones, ser víctima de un hacker es mucho más probable que posible.

Estos fenómenos cada vez más frecuentes, se pueden definir como un juego de espías donde los hackers observan, esperan, y luego se infiltran. Los ciberataques se clasifican en dos tipos: el robo de información y el ransomware. En el primer caso, el objetivo de los atacantes es descifrar los códigos para robar los datos de una organización. Para una empresa, esto puede significar que miles de datos personales de clientes estén expuestos. Y, en el peor de los casos, publiquen información confidencial online, por ejemplo,
comprometiendo la seguridad de sus usuarios.

En el segundo tipo de ataque, el ransomware, los hackers encriptan los archivos y exigen un pago para su liberación. Este proceso puede durar hasta un año, porque se debe realizar un trabajo minucioso para ingresar sin ser detectado. El modus operandi de este ataque es “secuestrar los datos”, pedir un rescate y entregar una “llave” a las víctimas para poder descifrar la información una vez que se paga lo solicitado a los hackers. Sin embargo, esta dinámica presenta varias problemáticas. Por un lado, la empresa se enfrenta a un considerable esfuerzo económico al tener que afrontar el rescate, que generalmente se paga con criptomonedas. Una vez obtenida la llave, se presenta otro desafío: realizar el proceso inverso al cifrado. Es decir, si un hacker tardó, por ejemplo, seis meses en cifrar toda la información, la empresa necesitará el mismo tiempo para deshacer el cifrado. Esto implica meses de inactividad operativa mientras los sistemas permanecen bloqueados, lo que genera a las organizaciones la pérdida de miles de millones de dólares.

Pero ese no es el último obstáculo. Otra desafortunada consecuencia es que pagar el rescate no garantiza la recuperación total de la información. Según el Informe de Veeam, el 80% de las víctimas pagó el rescate, y a pesar de eso, una cuarta parte de ellas no pudo recuperar sus datos.

Ahora, ¿cuáles son los pasos que siguen los hackers? Primero y principal, observar. Buscan saber cuáles son los procesos de la empresa, quiénes son sus empleados, así como cuáles son los sistemas de ciberseguridad que utilizan. Su objetivo es detectar el eslabón más débil para infiltrar el código maligno.
Lamentablemente, la mejor forma de infiltrarse es aprovechando una falla humana, por ejemplo, un empleado despistado que haga click en un email de origen sospechoso.

La segunda fase es la infiltración, que consiste en colocar trampas y esperar a que alguien caiga. Pueden ser correos electrónicos o links malignos, siendo la mayoría de los ataques, sociales. Es muy común que los colaboradores utilicen la computadora del trabajo para su uso personal: hacer compras online, revisar su correo electrónico y utilizar redes sociales. Los hackers son cada vez más sofisticados al infiltrarse, algo que se puede observar, por ejemplo, en el caso de una empresa que sufrió un ataque de ransomware después de que un empleado utilizó su computadora laboral para una entrevista en Zoom a través de un enlace enviado en LinkedIn que permitió a los delincuentes entrar al sistema por ese medio. Una vez dentro, los atacantes crean una base interna para mapear a los empleados, determinar cuáles son los procesos, dónde están las falencias y cómo es el firewall. Finalmente, elevan sus accesos creando usuarios falsos y abriendo puertas para el ataque sin ser detectados. Otro caso, fue en una reconocida empresa de la industria tecnológica: donde se creó un usuario falso que con inteligencia artificial comenzó a chatear con el staff de la compañía como si fuese un empleado más. De esa forma, el hacker fue adquiriendo acceso a todos los sistemas y todos los clientes de la empresa fueron afectados.

El último paso es el bloqueo de los sistemas. En caso de no tener una estrategia sólida de
ciberseguridad, la empresa se va a enterar que sufrió un ataque de ransomware vía correo electrónico. Sí, luego de un proceso tan complejo de investigación y cifrado, todo culmina con un mail que le avisa a las víctimas que fueron atacadas. Un claro ejemplo de esto sucedió con una reconocida cadena de supermercados que al ser atacada, le comenzaron a salir tickets de todas las cajas registradoras cuyo mensaje decía que habían sido hackeados. El hecho parecería digno de ficción, como un episodio de Black Mirror, pero ocurrió.

Para poder prevenir los ciberataques es fundamental contar con una estrategia de ciberseguridad y tener un proveedor de Disaster Recovery. No sirve de nada tener un backup, si luego no lo podemos recuperar o es infectado, para eso se utilizan distintas soluciones, reglas para poder detectar y prevenir la infección de los datos. Veeam entre tantas cosas hoy ofrece la posibilidad de escaneo online de los archivos utilizando las reglas de YARA (las reglas de YARA permiten detectar y clasificar el malware), que nos permiten detectar en una temprana etapa posible ataque y de esta forma garantizar que los backup estén sanos, en caso de su utilización.

Por lo que, si los datos están cifrados, se eliminan y se instalan los datos de la copia de seguridad que están sanos. De esa forma se evita pagar un rescate y además la empresa puede volver a sus operaciones en cuestión de minutos. Así, se puede estar un paso adelante de los hackers y proteger los activos más valiosos de cualquier organización, los datos.

Autor

banner-web