Connect with us

Eventos

“¿Pagar o no pagar rescate en caso de ransomware?”, una discusión en mesa redonda

César Villaseñor

Published

on

El ransomware se ha convertido en uno de los medios de ataque más utilizados. En este tipo de ofensivas, los ciberatacantes se aprovechan de las vulnerabilidades conocidas para perpetrar la red de las víctimas. Una vez dentro, aprovechan las deficiencias del Directorio Activo para escalar privilegios y propagar código malicioso a lo largo de toda la organización.

Una de las formas más eficaces de detener los ataques de ransomware es concentrarse en los aspectos básicos, tales como adoptar un abordaje basado en el riesgo para la corrección de vulnerabilidades y evaluar periódicamente las configuraciones del Directorio Activo. 

Para ahondar en este tema de actualidad, CIO México realizó la mesa redonda virtual titulada “Defensa contra el ransomware en este 2022”, con Luis Padilla, Gerente Territorial de la empresa Tenable México, quien dio una introducción al tema y posteriormente se dio paso a un espacio de discusión entre los asistentes.

Ransomware, un nuevo enemigo al acecho

De acuerdo con datos provistos por Luis Padilla, 60% del nuevo malware incluye código específico que ataca al Directorio Activo. El especialista remarcó que esto se debe a que el 95% de las organizaciones lo utilizan como herramienta de verificación del usuario, mismo que da acceso a recursos privilegiados.

Luis Padilla, Gerente Territorial de Tenable México.

Adicionalmente, el 80% de las organizaciones admite tener problemas de configuración en su Directorio Activo. Este tipo de imprecisiones deja paso a ataques que pueden tomar sólo unas horas en ser efectuados y pueden pasar hasta 52 días sin que sean detectados. Vale la pena resaltar que en el 90% de los ataques por ransomware hubo una pérdida de datos

“¿Por qué las herramientas convencionales resultan poco efectivas para contener un ataque de este estilo?”, cuestionó Luis Padilla. “La valoración de Tenable es que una práctica errónea y común es que muchas organizaciones están enfocadas en la detección más que en prevención”. 

Agregó que en el mismo momento en que un ataque impacta en el muro, es posible saber que se tiene un intruso. “Nosotros planteamos un enfoque preventivo como complemento de la detección. En la mayor medida que tengamos éxito en la prevención, los ataques tenderán a la baja”.

Otro error común, según Padilla, es enfocar la detección de ataques por medio de DR y XDR, ya que sólo el 26% de los incidentes son detectados por estas plataformas de detección; pasando desapercibidos el 74% restante.

Por tanto, el ejecutivo concluyó que, desde el punto de vista técnico, los atacantes pueden vulnerar un sistema desde dos vertientes: Explotar una vulnerabilidad no parcheada y sacar provecho de una mala configuración.

Acciones y estrategias contra los ciberataques

Los participantes de esta mesa redonda virtual intercambiaron experiencias para enriquecer sus conocimientos en ciberseguridad. Uno de los temas que causaron mayor interés fue sobre las acciones se deben tomar para prevenir ataques de ransomware.

Juan Luis Rodríguez Apón, CIO de Arabela, sugirió realizar acciones dentro y fuera de la organización, refiriéndose a los usuarios que laboran de manera remota.

Considerando lo anterior, dijo, se debe planear una estrategia basada en la disciplina, continuo parcheo e implementación de actualizaciones de hardware, firmwares y software. Así como la aplicación de controles internos como backups y pruebas de ERP.

Por su parte, Alberto Rojas, CIO de Megalabs México Italmex Pharma, coincidió que la prevención es primordial para evitar ataques de tipo phishing y ransomware.

Para ello, sugirió la implementación de campañas de concientización donde se envíe a todos los empleados un correo electrónico simulando ser un correo malicioso. Tras varias de estas campañas, el especialista afirmó que es notorio el cambio de cultura entre los empleados favoreciendo así a la ciberseguridad corporativa.

Humberto Pantoja, director de TI de Farmacias Bazar, la cadena de establecimientos con presencia en Yucatán, Campeche y Quintana Roo, comentó que una acción eficaz al principio de esta pandemia fue la implementación de VPN, incluida en las operaciones de su ERP. Asimismo, remarcó la importancia de la concientización de los empleados.

En tanto, Marco Antonio Gómez, Director Corporativo de Sistemas y TI para ICEE de México, sugirió acciones como la autenticación de doble factor para verificar la identidad de los usuarios. Además de la realización de continuos respaldos para disponer de un Plan de Recuperación de Desastres (DRP) en caso de un ataque o pérdida de datos.

Eva Colli, Gerente de Infraestructura, Telecomunicaciones y Seguridad en Grupo Boxito, empresa distribuidora de materiales eléctricos, plomería, muebles para baño, pisos y azulejos, reforzó la idea de mantener campañas de concientización. Y agregó que éstas deben ahora enfocarse a los colaboradores que se encuentran fuera de la organización.

¿Pagar o no? Un dilema frente al de información

Tras el secuestro de información efectuado por un ataque de ransomware, queda en el aire el planteamiento de pagar o no a los ciberdelincuentes por el rescate de los datos.

Sin duda, esta es una situación muy complicada, ya que ceder ante el cibercrimen puede fomentar su crecimiento. No obstante, la operabilidad de una organización podría ser afectada en distintos grados en caso de no recuperar los datos sustraídos.

Sobre este tema, Víctor Rosales, America’s IT Director para GrandVision México, opinó que se debe actuar dependiendo del nivel de daño que genere la pérdida de información. En caso de ser catastrófico, podría considerarse un pago de rescate, pero es preferible no continuar la cadena de cibercrimen. 

El ejecutivo añadió que si está en juego la continuidad del negocio de una empresa se debe pagar para recuperarlo. Sin embargo, es un deber social denunciar ante las autoridades este robo de información. Y, si es el caso, se debe informar a los socios que posiblemente su información confidencial fue sustraída.

Hernán Elionay Guerra, Gerente de TI en Viakem Pyosa, dijo que es preferible que previamente se tengan políticas a nivel Consejo Directivo para saber cómo actuar ante la posibilidad de un secuestro de información. 

Recomendó que es necesario tener una postura inicial de no pagar para recuperar los datos, pero se debe hacer una revisión del caso para indagar qué información fue afectada.

Al respecto, Leonid Rosas, Gerente de Tecnologías de Información de Mavi de Occidente, comentó que se debe tener presente que pagar por un rescate no garantiza la recuperación de los datos.

También remarcó que, si es el caso, se debe revisar a detalle la información recuperada para detectar un archivo añadido que pudiera provocar un nuevo ataque en el futuro. Sugirió que este tipo de inspecciones en busca de archivos maliciosos se debe realizar en todos los backups.

Luis Padilla, de Tenable, agregó que dentro de las estrategias de seguridad se encuentran las enfocadas a la prevención, detección, respuesta de incidentes y remediación.

“Desde la perspectiva de prevención, nuestra solución está nutrida de inteligencia de amenazas para poder identificar aquellas que representan mayor riesgo a la organización. Con ello se podrá anticipar qué vulnerabilidad podría ser explotada en una campaña de ransomware”.

Explicó que el programa de gestión de vulnerabilidades basado en riesgo que propone su compañía se enfoca en este tipo de situaciones. Está complementado con una plataforma que verifica y audita la higiene del Directorio Activo, considerado como “la puerta de entrada por excelencia” para entrar en una organización.

“De manera práctica, podemos ayudar a identificar 42 indicadores de exposición en nivel de criticidad. Y si un ataque ya está en curso y está escalando privilegios, lo podemos identificar para contenerlo”, finalizó Padilla.

César Villaseñor, CIO México


Advertisement
Advertisement

VIDEOS

Resources

Recientes

Advertisement