El informe «State of the Phish 2023» de Proofpoin revela que el 89% de las organizaciones en España fueron objeto de intentos de ataques de ransomware el año pasado, y el 72% resultaron infectadas. Este tipo de malware, que bloquea el acceso a un sistema o información hasta que se pague un rescate, es cada vez más común, situando a prácticamente todos los usuarios de internet en la mira como posibles víctimas. «El ransomware ha trascendido su etapa epidémica y ahora es una amenaza omnipresente, que tiene más impacto que nunca en nuestra vida cotidiana y de la que ninguna organización está exenta», señala Fernando Anaya, director de Proofpoint para España y Portugal.
Con cada año que pasa, los ciberdelincuentes perfeccionan sus tácticas, incorporando técnicas de extorsión doble y hasta triple, cada vez más prevalentes. La capacidad de mantener el acceso y filtrar grandes volúmenes de datos confidenciales les permite a los atacantes incrementar la suma exigida como rescate y lograr mayores ganancias. No obstante, aunque sus ataques se vuelven más sofisticados, su objetivo sigue siendo el mismo: conseguir acceso no autorizado.
Hoy en día, muchos grupos de ransomware se enfocan únicamente en el robo de datos, sin cifrar ni destruir ninguna información. Esto es especialmente peligroso para las víctimas, dado que no cuentan con ninguna garantía de recuperar sus datos y, si logran hacerlo, es muy probable que los ciberdelincuentes ya los hayan vendido, revelado o utilizado en su perjuicio de alguna manera.
Además, es cada vez más común que las empresas opten por no pagar el rescate, por lo que los estafadores deben encontrar otras formas de rentabilizar sus acciones: robar gran cantidad de datos y venderlos en la dark web, mientras exigen un rescate a cambio de no revelarlos.
Ransomware y BEC: ¿dos ciberataques diferentes?
Tradicionalmente, el ransomware y el Business Email Compromise (BEC) se han atribuido a grupos diferentes de ciberdelincuentes. Sin embargo, aunque es cierto que algunos grupos tienen especialidades, competencias e infraestructuras enfocadas a cada una de estas modalidades de ataque, las técnicas básicas que utilizan son las mismas.
Por este motivo, aunque ambas amenazas sean ligeramente diferentes, tienen asimismo mucho en común desde el punto de vista de la defensa. En la mayoría de casos, los atacantes obtienen el acceso inicial a un entorno mediante phishing por correo electrónico; protocolo RDP, que permite tomar el control de un ordenador a distancia; o malware para robar tokens de autenticación, cookies y credenciales. Además, en los dos casos se suele utilizar el secuestro de hilos para meterse en conversaciones legítimas.
“El hecho de que existan tantas coincidencias entre el ransomware y BEC da a las organizaciones una gran ventaja a la hora de diseñar su estrategia de defensa. Se trata de evitar las mismas actividades, independientemente de cómo los delincuentes quieran rentabilizar el ataque”, puntualiza el directivo experto en ciberseguridad de Proofpoint.
Implementar una defensa para todo tipo de ataques
Las soluciones tradicionales no funcionan en los casos actuales en los que los ciberdelincuentes vulneran las cuentas para robar los datos. Las herramientas que buscan indicadores de compromiso utilizando reglas de clasificación de datos ya no cumplen su objetivo si se utilizan solas.
Los responsables de seguridad tienen que buscar los indicios que encajan con el comportamiento actual de los atacantes. Por ejemplo, si se identifican varios inicios de sesión con la misma cookie, puede ser indicio de que un ciberdelincuente está usando credenciales comprometidas. Y si además se observa en el endpoint de ese mismo usuario la instalación de un programa de compresión de archivos, como 7zip o WinRAR, o la transmisión de una gran cantidad de datos a alguna plataforma para compartir archivos en la nube, es recomendable implementar una respuesta ante incidentes.
Los ciberdelincuentes de hoy en día son muy oportunistas, siempre van a buscar el punto débil de una organización. Intentarán localizar dispositivos VPN o puertos RDP vulnerables, pero sin duda saben que la manera más fácil de acceder es a través de los usuarios. Las cargas maliciosas casi siempre se transmiten mediante el uso de ingeniería social y necesitan de la interacción humana para funcionar, por lo que es suficiente con que un empleado haga clic en un enlace o descargue un archivo adjunto de un mensaje de phishing para que los atacantes consigan su objetivo.
“Proteger a los empleados y formarlos en ciberseguridad refuerza la ciberresiliencia y reduce las posibilidades de que la mayoría de ataques tengan éxito”, afirma Fernando Anaya. “Si los ciberdelincuentes no pueden acceder a una organización, tampoco pueden cifrar sus archivos, robar sus datos e interrumpir su actividad empresarial. No hay ninguna fórmula mágica, lo más efectivo es equipar y educar al personal para evitar las amenazas y proteger la información”.
