¿Qué sucedió?
En el transcurso de una conversación casual, una persona expresó su frustración: «Adquirí una solución supuestamente Anti-Ransomware de la empresa ACME S.A. hace unos meses y, sin embargo, hace apenas dos días volvimos a enfrentar problemas. La ciberseguridad me parece una estafa». Ante tal afirmación, decidí intervenir y pregunté: «¿Podrías explicar por qué consideras que es una estafa?». La persona respondió: «Invertí en una solución de alto costo y, a pesar de ello, seguimos cayendo presa del Ransomware. ¿Podrías aclararme por qué sucede esto?».
La mejor forma de responder a esto es con una analogía de vida.
Luego asistir a un evento donde había múltiples personas estornudando, empiezas a sentirte mal, un poco enfermo y amaneces con dolor de cabeza y estornudando, vas al médico y te indica que se trata de un virus común, tome este medicamento. En una semana mejoras. Pasan 3 meses, te vas bajo la tormenta, llegas empapado a casa y dejas que el agua se seque sobre tu ropa, vuelves a enfermar y es mucho peor, esta vez, un virus totalmente distinto, que produce síntomas peores, ¿es el médico un estafador porque volviste a enfermarte?. Esta persona se quedó sin palabras y siguió atenta a mi explicación.
¿Qué es Ransomware?
El Ransomware es reconocido como uno de los programas maliciosos más peligrosos que existen, causando un daño económico significativo a nivel mundial. En el último año, miles de compañías han sufrido pérdidas millonarias debido a este tipo de ataque, y numerosas empresas se han visto obligadas a cerrar, despidiendo a sus empleados y generando un impacto socioeconómico de gran envergadura.
El Ransomware es un software malintencionado que los criminales informáticos usan para tomar “rehén” tu computadora o tus datos.
Aquí te explico de una manera muy simple
Imagina que un día intentas abrir la puerta de tu casa, pero te das cuenta de que está cerrada con una nueva cerradura y no tienes la llave. Luego, encuentras una nota pegada a la puerta que dice: «Si quieres la llave para entrar en tu casa, debes pagarme 1000 dólares». Eso es básicamente lo que hace el Ransomware.
Primero, se introduce en tu computadora, generalmente porque hiciste clic en un enlace o un archivo adjunto en un correo electrónico que parecía seguro, pero no lo era. Luego, cifra (hace inaccesible tus archivos) tus archivos y no te permite acceder a ellos a menos que pagues un rescate. De ahí viene el nombre, «Ransom» significa rescate en inglés. Y mientras más importante sea la información que tengas en tu computadora, mayor será la presión para pagar el rescate.
Ahora vamos un poco más profundo
El Ransomware, en un paralelismo con los virus humanos, puede experimentar evolución, adoptando nuevas formas de infección y propagación. Asimismo, puede desarrollar técnicas cada vez más sofisticadas para evadir sistemas de defensa, lo que dificulta enormemente su detención. Esta adaptabilidad y resistencia se observan incluso cuando implementamos controles de seguridad específicos con módulos Anti-Ransomware, lo cual subraya la importancia de mantener nuestros sistemas de defensa siempre actualizados y en constante evolución para contrarrestar las amenazas emergentes.
Los creadores de software malicioso poseen un profundo conocimiento de las tecnologías emergentes, llegando a tal grado de especialización que pueden identificar debilidades en los controles de seguridad. Estos «puntos ciegos», como solemos llamarles de forma coloquial, son el blanco ideal para estos actores malintencionados que, aprovechando estas vulnerabilidades, logran eludir los controles de seguridad. Este nivel de sofisticación se manifiesta en sus códigos, los cuales están diseñados con técnicas evasivas para evitar la detección. En algunos casos, incluso logran enmascarar su software malicioso para que parezca una aplicación benigna o un componente del sistema operativo, lo cual añade un nivel extra de dificultad a la hora de identificar y neutralizar la amenaza.
¿Entonces Ransomware es un Virus?
El Ransomware, a pesar de su naturaleza única, incorpora características de diversas amenazas cibernéticas, lo que lo hace especialmente peligroso. Ya sea WannaCry, Petya, Jigsaw, entre otras variantes, muchos de estos programas pueden emplear tácticas propias de Troyanos, es decir, infiltrarse de manera encubierta en sistemas, movilizarse por una red, aprovechando vulnerabilidades al estilo de un Gusano, e incluso infectar archivos como lo haría un Virus. No obstante, a pesar de su multifacética funcionalidad, su clasificación principal dentro de los tipos de programas maliciosos permanece como Ransomware. Esto se debe a que su característica más distintiva es el secuestro de los datos del usuario para posteriormente solicitar un rescate, tal como su nombre sugiere.
Regresando al punto principal ¿Qué es Ciberseguridad?
Para ello primero quiero definir que NO es Ciberseguridad:
- La ciberseguridad no se reduce a una simple tecnología, software o dispositivo adquirido a un proveedor.
- No es una certificación que la empresa pueda obtener, ya sea ISO27001 u otra similar.
- No se limita a ser un marco de referencia sobre el cual una organización se apoya.
- No es sinónimo de un departamento de tecnología o, irónicamente, de un departamento de ciberseguridad. Aunque lleve ese nombre, la ciberseguridad abarca mucho más.
La ciberseguridad representa un compendio de controles administrativos y técnicos implementados con el objetivo de resguardar el activo más valioso de cualquier organización: su información. Estos controles son fundamentales para prevenir accesos no autorizados, así como la modificación o pérdida de la información. Resulta esencial que estos controles no solo estén integrados entre sí, sino que también sean capaces de compartir información, favoreciendo así un proceso de mejora continua. Este enfoque holístico incluye la participación de usuarios, la optimización de procesos y la adaptación de tecnologías avanzadas.
Ciberseguridad basada en Anillos de protección
Esta concepción de anillos de protección se llama «defensa en profundidad», y es una estrategia muy común en la ciberseguridad.
En este modelo, cada «anillo» o capa de protección está diseñada para defender contra amenazas, de manera que si una amenaza logra pasar a través de una capa, aún queda otra capa de defensa que debe superar. Cuantas más capas de defensa tengas, más difícil será para un atacante llegar a tus datos o sistemas más valiosos.
Aquí están las capas de defensa, empezando por el usuario:
- Usuario: Los usuarios son la primera línea de defensa. La educación en ciberseguridad puede ayudar a los usuarios a evitar amenazas usuales como el phishing o la instalación de software malicioso. Un usuario consciente puede identificar y evitar muchas amenazas.
- Dispositivo: El siguiente anillo de defensa es el dispositivo que se está utilizando. Esto incluye el uso de software Antimalware, endpoint security y firewall, y mantener los sistemas y aplicaciones actualizados para proteger contra vulnerabilidades conocidas.
- Red: La red también debe ser protegida. Esto puede incluir el uso de firewalls de red, la segmentación de la red para limitar la propagación de amenazas, y la monitorización para detectar actividad sospechosa.
- Perímetro: Este anillo incluye protecciones como firewalls, sistemas de detección y prevención de intrusiones, y otros controles de seguridad para evitar que los atacantes accedan a la red.
- Aplicaciones y datos: Las aplicaciones y los datos también deben ser protegidos. Esto puede incluir el cifrado de datos confidenciales, la limitación de los privilegios de acceso a lo que es estrictamente necesario, y la realización de copias de seguridad regulares de los datos.
Entonces, ¿la Ciberseguridad es una estafa o no?
Ahora que ya tenemos claro, qué ciberseguridad no es un producto mágico que resuelve todos los problemas, sino un conjunto de controles integrados, cuyo objetivo es reducir las posibilidades de ser víctimas de cibercriminales, y en caso de serlo, estar en la capacidad de responder a la amenaza de manera oportuna, y recuperar en tiempo prudente las operaciones de nuestra organización, reduciendo el impacto que esto pueda generar.
Entonces podemos decir que la Ciberseguridad, NO, es una estafa, y solo se trata de una mala interpretación del concepto original.
¿Cómo Reducir las probabilidades de ser víctimas de Ransomware?
Concientización de Ciberseguridad
- Efectivamente, el usuario es la primera barrera de defensa, por lo que resulta esencial dotarlos de las herramientas adecuadas para que dejen de ser considerados el eslabón más débil de la cadena de seguridad, y se transformen en un Smart Firewall. Para lograr esto, es crucial proporcionarles una formación continua, actualizada e interactiva, elemento que se torna fundamental para potenciar la seguridad de toda la organización.
Campañas de Ingeniería Social
- Partiendo del punto anterior, evaluamos la aplicación de lo aprendido, y no simplemente a través de las tradicionales simulaciones de phishing. Vamos más allá, incorporando mensajes vía WhatsApp, Telegram e incluso llamadas telefónicas. De esta manera, podemos identificar áreas de mejora y desplegar un plan de acción efectivo.
Respaldos o Backups
- Mantener respaldos de todos tus sistemas y datos es fundamental, pero también es crucial que estos no se almacenen en tu propio servidor, ni en un disco conectado a este. Los programas maliciosos buscarán y tomarán control de todas las unidades montadas o compartidas. Por ello, el uso de servicios de almacenamiento en la nube que manejen versiones es esencial. Si la seguridad de la información en la nube te causa preocupación, tienes la opción de cifrarla antes de subirla utilizando herramientas como VeraCrypt, OpenPGP, o cualquier otra solución que prefieras.
Monitorear y probar que tus respaldos son funcionales
- He escuchado en varias ocasiones a empresas declarar: «Teníamos respaldos y, aun así, perdimos todo». ¿La razón? Cuando intentaron restaurar los datos, se dieron cuenta de que el respaldo estaba corrupto, no había suficiente espacio o simplemente habían cometido un error en la configuración que no habían detectado previamente.
Realizar ejercicios de TableTop
- Son una especie de simulacro o juego de rol que las organizaciones utilizan para prepararse para posibles eventos o situaciones, incluyendo incidentes de ciberseguridad.
- En un ejercicio de Table Top de ciberseguridad, los participantes (conformado por miembros del equipo de seguridad de la información, gerencia media y de ser posible alta, comunicaciones, legal y recursos humanos) se reúnen para discutir y trabajar a través de un escenario hipotético de ataque cibernético.
- El objetivo de estos ejercicios es probar y mejorar la capacidad de la organización para responder a un incidente de ciberseguridad, identificar cualquier brecha o debilidad en los planes de respuesta a incidentes, y fomentar la comunicación y la colaboración entre diferentes partes de la organización.
Incorporar soluciones avanzadas de ciberseguridad
Ya no es suficiente implementar simplemente un firewall y un antivirus tradicional. Hoy en día, necesitamos soluciones que incluyan las siguientes características:
- Capacidades de inteligencia artificial: Estas capacidades permiten el análisis del comportamiento en tiempo real, la identificación y el monitoreo de procesos, fortaleciendo la capacidad de respuesta ante amenazas.
- Aislamiento de Amenazas basado en Virtualización de Cero Amenazas (Zero Threat Virtualization): Esta función ayuda a evitar los falsos positivos, los cuales pueden paralizar operaciones. En caso de un ataque de ransomware, permite a los colaboradores seguir utilizando el software de forma segura en un espacio virtual aislado, sin afectar sus archivos. Todo esto es completamente transparente para el usuario.
- Integración con Inteligencia de Amenazas (Threat Intelligence): Esto garantiza que la solución esté actualizada con respecto a las amenazas más recientes, reforzando aún más la seguridad.
Monitoreo Activo
- Es crucial tener un conocimiento detallado de todos los dispositivos y sistemas que se conectan a nuestra red, y mantener una vigilancia constante para identificar cualquier anomalía en tiempo real. Esto implica un monitoreo activo y continuo en términos de ciberseguridad y rendimiento de los equipos.
Formación para sus equipos de respuesta
- Los equipos de tecnología de su empresa deben ser considerados y entrenados como si fuesen su propio equipo de Navy Seals o SWAT. Para ello, como organización, deben equiparlos con la herramienta más poderosa: el conocimiento. Proporciónenles cursos actualizados sobre seguridad defensiva y ofensiva para garantizar su capacidad de respuesta eficaz ante cualquier situación que pueda surgir.
Pruebas de Intrusión o Ejercicios de RedTeam
- Estas pruebas permiten identificar vulnerabilidades y brechas de seguridad en la infraestructura, sistemas y políticas de una organización, y ofrecen la oportunidad de corregirlas antes de que sean aprovechadas por atacantes reales.
Conclusiones
Afirmar que la ciberseguridad es una estafa es una afirmación infundada y errónea. Es un campo de vital importancia en el mundo digital actual, donde los ataques cibernéticos son una amenaza constante. La protección de los datos, la infraestructura y la información personal se ha vuelto crítica para individuos, empresas y gobiernos.
La ciberseguridad abarca una amplia gama de medidas y prácticas diseñadas para prevenir, detectar y responder a las amenazas cibernéticas.
Aunque ninguna solución de ciberseguridad puede garantizar una protección del 100%, la implementación adecuada de medidas de seguridad puede reducir significativamente el riesgo de ataques y minimizar el impacto en caso de incidentes.
Es importante reconocer que la ciberseguridad es un desafío en constante evolución y requiere esfuerzos continuos para mantenerse al día con las amenazas emergentes. Negar su importancia y considerarla una estafa es poner en peligro la seguridad de los datos y los sistemas, lo que puede tener consecuencias graves y costosas. En cambio, es fundamental tomar medidas proactivas y trabajar en colaboración con expertos en ciberseguridad para protegerse de manera efectiva contra las amenazas cibernéticas.