Las semanas pasadas fueron fatales para muchas compañías debido al ataque cibernético que sufrió IFX, que afectó alrededor de 700 entidades entre el sector público y privado.
Por: Efrain Soler CEO de O4IT
Este ataque fue atribuido al grupo Ransomhouse, el cual es catalogado como un grupo de delincuentes informáticos dedicados al secuestro de la información para pedir dinero. Su primera aparición en diciembre del 2021 con el ataque a “Saskatchewan Liquor and Gaming Authority”, sus primeras menciones se encontraron en las notas de rescate del ransomware White Rabbit y Cyberint.
El ataque más reciente atribuido a este grupo en Colombia estuvo dirigido al grupo Keralty, donde perjudicó a empresas prestadoras de servicio de salud como Sanitas y Colsanitas.
Es importante observar cómo los ciberdelincuentes se han reinventado, cambiando sus estrategias de ataque y modus operandi; anteriormente se realizaban ataques de ransomware dirigido a los sistemas operativos de los servidores para cifrar información de la compañía, posteriormente decidieron cifrar y extraer información para publicarla y afectar la reputación de las compañías, no obstante, a inicios del 2023 se ha observado un aumento de ransomware dirigido VMware ESXi, lo cual afecta de manera directa a las organizaciones porque compromete toda la capa de virtualización, impidiendo tener una recuperación rápida de los servicios.
Normalmente si esto ocurre, el plan de contingencia es recuperarse del backup e idealmente esta copia de seguridad debe contener las imágenes de las máquinas virtuales y no solamente la data, de tal forma que la recuperación sea más rápida y no se deba desplegar máquinas virtuales desde ceros.
Pero, ¿qué pasa si la infraestructura donde están las copias de seguridad también está encriptada o comprometida? En este caso únicamente las empresas que tenían una réplica en otra nube diferente a la del proveedor afectado o un backup externo podrán recuperarse su operación tecnológica rápidamente.
Tener desplegadas las mejores herramientas de ciberseguridad con el mejor equipo de profesionales a cargo hará que sea bien difícil para el atacante lograr su objetivo, pero no imposible, por lo anterior es fundamental que cada organización revise a conciencia si ante un ataque cibernético se pueden recuperar. Esta es la tarea fundamental a realizar en las próximas semanas y no esperar más.
Ante esta situación, a continuación algunas recomendaciones para las organizaciones:
- Implementar una solución de Recuperación de Desastres en un Datacenter que no sea del proveedor del ambiente de producción, es una buena práctica debido a que permite recuperar servicios críticos en tiempo récord y disminuye el riesgo que tanto el ambiente tecnológico de producción y recuperación de desastres en una eventualidad de ataque quede fuera de servicio la organización.
- Tener una solución de Detección y Respuesta de Endpoint (EDR) moderna con capacidades para detectar, investigar y responder ante incidentes de seguridad. La seguridad de los Endpoints es fundamental para las organizaciones, ya que los Endpoints suelen ser los puntos de entrada para que los ciberdelincuentes se infiltren en la red de una organización.
- Contar con una solución de respaldo sólida con respaldo inmutable incorporado para ayudar a garantizar una recuperación exitosa ante un ataque de ransomware. Mantener copias de seguridad inmutables permite a las organizaciones recuperar datos después de un ataque de ransomware y evitar pagar un rescate.
- Hacer una autenticación sólida es fundamental para proteger los recursos confidenciales contra amenazas; las empresas deben migrar del tradicional single-factor authentication para todas las aplicaciones y el acceso a la red a una solución integrada Multi-Factor Authentication (MFA) que permita un acceso seguro a los recursos en cualquier nube, centro de datos o aplicaciones modernas web o legacy.
- Desplegar XDR Connect, que cuenta con diversos componentes que permiten detectar amenazas de manera rápida y efectiva, permitiendo gestionar de manera automatizada las alarmas generadas en la red, eliminando de manera efectiva falsos positivos.
- Contar con una solución Zero Trust Network Access (SDP) que permita un acceso seguro, en cualquier momento y en cualquier dispositivo, que se integre fácilmente con la arquitectura actual y que oculte los puntos de conexión en la red para que un atacante de Ransomware no pueda posicionarse en la red.
- Realizar un monitoreo constante de la superficie de ataque de la compañía, con Attack Surface Management, teniendo una visibilidad integral de los servicios expuestos a internet y que pueden generar algún tipo de riesgo para la organización.
Hoy en día no existe una garantía absoluta de que un control tecnológico y/o humano evite la materialización de un ataque cibernético, lo que sí puedo afirmar, es que la adopción de una estrategia de Seguridad de la Información y Ciberseguridad puede minimizar considerablemente la probabilidad de que un ataque cibernético se materialice y afecte la operación de una compañía.