Ransomware ahora se ha convertido en un problema global. Los grupos de ciberdelincuentes operan desde países que les ofrecen refugio seguro y les permiten lanzar incluso los ataques más sofisticados. Se necesita una estrategia global común para evitar una escalada. Una evaluación de Michael Veit, experto en seguridad de Sophos.
Estamos en medio de una crisis de ransomware. Se ha observado una gran cantidad de ataques de ransomware en los últimos meses, cada vez más extremos, como el cierre temporal de un importante oleoducto de EE. UU. El auge de los ataques de ransomware no es un fenómeno nuevo, pero este año este tipo de ciberdelincuencia ha pasado de ser una amenaza maliciosa a una crisis mundial en toda regla y se ha convertido en un tema de actualidad política.
Las autoridades también están siendo chantajeadas cada vez más.
Las agencias federales están acostumbradas a estar constantemente expuestas a ciberataques. Sin embargo, lo nuevo es que ahora también son el objetivo de los ataques comerciales de ransomware. Esta escalada se debe en gran parte a que los atacantes perfeccionan sus habilidades trabajando en "ejércitos de piratería" patrocinados por el gobierno y trabajando como autónomos para proveedores privados de ransomware.
La reciente acusación del Departamento de Justicia de EE. UU. contra el gobierno chino, que supuestamente ayudó a los ciberdelincuentes en sus ataques a un servidor de correo electrónico ampliamente utilizado, destaca la superposición entre los estados nacionales y los grupos de ransomware: las brechas de seguridad descubiertas por los servicios de inteligencia estatales son utilizado por actores privados como arma utilizada. Los estados que capacitan a los atacantes de ransomware y otros ciberdelincuentes han aumentado la amenaza del ransomware y elevado su perfil ante los ojos de los gobiernos de todo el mundo. Esto llevó no solo a la Casa Blanca, sino también a la OTAN y la cumbre del G-7 a emitir recientemente declaraciones sobre ransomware.
Una crisis global necesita una respuesta global
Una crisis global de ransomware necesita una respuesta global y acciones concretas que los gobiernos y sus socios puedan tomar para atacar el ransomware en todo el mundo.
1. Deja de pagar rescates
Para combatir eficazmente el ransomware, las víctimas deben dejar de pagar rescates. Mientras el ransomware sea rentable, los atacantes no tienen ningún incentivo para detenerse. La actitud del gobierno de "no negociamos con terroristas" también debería aplicarse al ransomware. Cualquier empresa que forme parte de una cadena de suministro del gobierno federal, estatal o local debe acordar contractualmente no pagar un rescate en caso de un ataque de ransomware. Incluir esta cláusula predeterminada en las políticas de adquisiciones del gobierno y anunciar que todas las cadenas de suministro del gobierno deben no pagar rescates podría ayudar a disuadir el ransomware, al menos contra las agencias gubernamentales.
La recuperación cuesta un promedio de $1,85 millones
Pero no pagar un rescate suele ser más fácil decirlo que hacerlo. Pero una forma de hacer que esta idea sea más atractiva, especialmente cuando se presenta como una recomendación en lugar de un requisito estricto, es enfatizar el enorme costo de la recuperación. Un estudio independiente reciente encargado por Sophos descubrió que las víctimas de ransomware gastan una media de 1,85 millones de dólares. Porque los costos de un ataque son mucho más que "simplemente" el rescate: se agregan los costos por tiempo de inactividad, empleados, dispositivos, red, oportunidades perdidas y actualizaciones de la infraestructura de TI atrasadas.
2. Regular los intercambios de criptomonedas a través de los cuales fluyen los rescates
Lo que ha convertido al ransomware en una crisis global es la medida en que los estados nacionales constantemente entrenan y/o brindan refugio seguro para los ciberdelincuentes. Desafortunadamente, hasta ahora no hay un manual. No hay recurso contra los gobiernos que albergan grupos de ransomware. Una posibilidad podría ser imponer sanciones comerciales a países asociados con ransomware. Pero probablemente sea más eficiente y productivo atacar a los grupos de ransomware donde más les duele: su dinero. Los ciberdelincuentes convierten los rescates en monedas fuertes en los intercambios de criptomonedas. Imponer regulaciones más estrictas en estos intercambios de cifrado dificultaría que los grupos de ransomware se beneficien de su trabajo. A nivel nacional, las regulaciones de criptomonedas y las políticas contra el lavado de dinero podrían evitar que las empresas de criptomonedas se utilicen como casas de cambio para los atacantes de ransomware.
La cooperación internacional debe ser el foco
Aquí también ayuda la cooperación internacional con directrices definidas. Los estados nacionales como Rusia y China tienen un incentivo para implementar este tipo de regulaciones de criptomonedas para sus propios comerciantes de criptomonedas, principalmente porque los obliga a convertir la criptomoneda en su moneda. Esto fortalece su propia fortaleza financiera y abre una nueva fuente de ingresos fiscales. Cuando los grupos de ransomware descubren que solo hay unos pocos países donde pueden pagar sus pagos de rescate de manera segura, el modelo comercial simplemente se vuelve poco atractivo.
3. Requerir higiene de TI y divulgación de brechas de seguridad
Hay algunas medidas básicas de higiene de TI que muchas empresas aún no están tomando: educar a los empleados sobre el phishing selectivo, adoptar la autenticación de dos y múltiples factores, la protección básica de puntos finales y asegurar los datos en el almacenamiento fuera de la red y fuera del sitio. Los gobiernos podrían ayudar aquí recomendando el cumplimiento de las certificaciones en lugar de promulgar estos requisitos en la legislación. Como beneficio adicional, las certificaciones, a diferencia de la legislación, son relativamente fáciles de actualizar, por lo que el cumplimiento de los proveedores también se mantendría actualizado.
La notificación de incidentes de seguridad debe convertirse en un estándar
Debe convertirse en estándar reportar incidentes de seguridad. Sin embargo, la obligación de informar no debe ser una medida punitiva. (salvo quizás en casos de incumplimiento de la normativa). Más bien, deben ser tratados como una medida de sensibilización. Cuantas más empresas o agencias gubernamentales estén obligadas a informar sobre las violaciones de datos tan pronto como ocurran, más se podrá informar a sus socios y proveedores y tomar medidas inmediatas para protegerse. Un requisito de informe a nivel nacional para las violaciones de datos también permite una comprensión más completa de cuán comunes son estos ataques. Obtener un control completo del ransomware solo es posible cuando se tiene una idea de la verdadera escala, volumen y frecuencia de estos ataques. El deber de revelar las violaciones de datos y los ciberataques ayuda a lograrlo.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.