Experto en Ciberseguridad entrega claves de un ataque de Ransomware

195

Ante el reciente ciberataque que afectó al Colegio Médico de Chile, mediante el cual hackers secuestraron la base de datos de ese gremio y solicitaron una recompensa para reponer los archivos, especialistas de AVANTIC explicaron las principales etapas que involucra una acción de esta naturaleza que, generalmente, se atribuye en un comienzo a un simple virus, pero que a posteriori resulta ser un incidente más complejo como un Ransomware.

Francisco Fernández, gerente general de AVANTIC explica que un Ransomware es un malware o programa malicioso que busca infectar un computador o servidor, cifrando sus archivos mediante una técnica criptográfica y cuyo objetivo es exigir un pago de dinero para normalizar el funcionamiento del sistema.

Asimismo, señala que los hackers tienen tres grandes motivaciones para realizar esta clase de ataques: realizar transacciones fraudulentas para conseguir dinero; la existencia de problemas o razones políticas; y la extorsión mediante la captura de información sensible y amenaza de difundirla a no ser que la víctima pague un rescate.

“Es importante señalar que el Ransomware no es el fin de un ataque, sino que un medio. Es decir, generalmente, es el último paso después que los atacantes capturaron y exfiltraron la información”, asevera el experto.

ETAPAS DE UN CIBERATAQUE

Fernández sostiene que son cuatro las fases cruciales que involucra un incidente de esta naturaleza:

1.       Acceso a credencial. Implica que los hackers accedan a una cuenta de usuario válida dentro de la organización (credencial). Esto puede lograrse a través de prácticas como el Phishing o la ingeniería social. Hay actores que sólo se dedican a obtener credenciales para luego comercializarlas en la Deepweb.

2.       Uso de credencial. Comprende utilizar la credencial vulnerada en la infraestructura de red comprometida para lograr que dicha cuenta escale privilegios, es decir, que permita a los ciberdelincuentes en pocos minutos tomar el control de la plataforma del cliente, pudiendo acceder a servidores que contienen información confidencial como, por ejemplo, una base de datos.

3.       Desactivación de los sistemas de seguridad. Una vez que logran lo anterior, los hackers están en condiciones de desactivar las herramientas de seguridad informática.

4.       Realización del ataque. El último paso consiste en lanzar el Ransomware u otro malware.

Entre los principales vectores para iniciar un ciberataque, el experto mencionó el aprovechamiento de vulnerabilidades, los correos maliciosos y la “fuerza bruta”, es decir, el hecho de adivinar las contraseñas.

ALGUNOS CONSEJOS

Francisco Fernández compartió algunas recomendaciones para que las organizaciones no sean víctimas de este tipo de ataques:

1.       Prohibir las conexiones innecesarias a servicios de escritorio remoto desde redes públicas y utilizar siempre contraseñas seguras para dichos servicios.

2.       Instalar todos los parches disponibles para las soluciones VPN usadas con el fin de conectar trabajadores remotos a la red corporativa.

3.       Actualizar el software en todos los dispositivos conectados para evitar la explotación de vulnerabilidades.

4.       Enfocar la estrategia de defensa en la detección de movimientos laterales y exfiltración de datos, con especial atención a todo el tráfico saliente.

5.       Realizar copias de seguridad de los datos con regularidad y, en caso de emergencia, tener acceso a ellas.

6.       Aprovechar los datos de inteligencia de amenazas para mantenerse actualizado sobre tácticas, técnicas y procedimientos de ataque.

7.       Utilizar soluciones de seguridad de EDR e idealmente acompañada por un servicio Managed Detection and Response (MDR), el cual permite que especialistas puedan gestionar las alertas y ayudar a detener los ataques desde el principio.

8.       Capacitar a los empleados para que se preocupen por la seguridad del entorno empresarial.

9.       Emplear una solución confiable para la protección de endpoints que contabilice las vulnerabilidades y detecte comportamientos anómalos, y pueda revertir cambios maliciosos y restaurar el sistema.