El ransomware suele parecer un problema insuperable que nos acosará para siempre, pero datos recientes sugieren que por fin podemos estar haciendo progresos. La clave para resolver los problemas más difíciles es comprender el tamaño y el alcance de las amenazas, analizar su funcionamiento interno e idear medios estratégicos para atajar las causas de fondo. Necesitamos tratar la dolencia tanto como la medicina para aliviar los síntomas.
Crear confianza
Evaluar el tamaño y el alcance es más difícil de lo que parece. Durante años, la comunidad de TI ha condenado al ostracismo a las víctimas por sus “fallos” ante un ataque, culpando a la gente por hacer clic en cosas, conectar unidades USB (¡o disquetes!), o por estar demasiado ocupada para haberse dado cuenta de la publicación de un parche importante de un proveedor crucial, que requería una acción inmediata. Todas estas cosas han llevado a que se avergüence a las víctimas y a que no se denuncie la ciberdelincuencia.
Además, muchas empresas tampoco quieren que la vergüenza pública perjudique su reputación o baje la cotización de sus acciones, y cuantas más personas sepan que has sido víctima, más probable será que sufras daños adicionales, además del propio delito. Por supuesto, también hay una saludable dosis de fatalismo: para qué molestarse en denunciar estos delitos, la policía no puede ayudar, los delincuentes están en estados enemigos intocables, etc.
Los últimos consejos de la SEC (Securities and Exchange Commission) y las próximas normas CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) de la CISA (Cybersecurity and Infrastructure Security Agency) han intentado ayudar a cerrar esta brecha de visibilidad. Es probable que esto haya aumentado el número de organizaciones estadounidenses dispuestas a pedir ayuda mediante la normalización de la notificación de incidentes.
Los últimos datos de nuestra encuesta Sophos sobre el estado del ransomware muestran que hemos hecho progresos significativos en este frente. El 98% de las organizaciones estadounidenses (n=496) que fueron víctimas de un ataque de ransomware informaron del ataque a las fuerzas de seguridad o a los reguladores gubernamentales. Y lo que es mejor, el 65% de las que se pusieron en contacto con las autoridades recibieron ayuda para investigar su ataque, el 63% recibieron asesoramiento y un tercio recibieron ayuda para recuperar sus datos cifrados o robados.
Un pequeño número, el 11%, declaró que era muy difícil informar y colaborar con las fuerzas del orden. Según mi experiencia, esto se debe al caos y al pánico de la gestión de incidentes y a la falta de preparación. Las organizaciones no solo necesitan un plan de respuesta a incidentes bien ensayado, sino que también deben establecer una relación con la cibercaballería antes de que surja una crisis.
Saber con quién ponerse en contacto cuando se produce una emergencia es la razón por la que establecimos el sistema simplificado 9-1-1 en 1968 para emergencias policiales, médicas y de bomberos en Estados Unidos. Aunque no existe un número de tres dígitos para llamar a la cibercaballería, tener su nombre y número en los contactos del teléfono y en el plan de respuesta a incidentes puede aliviar el dolor de llegar rápidamente. De hecho, las prácticas recomendadas para la preparación ante incidentes te animarían a conocer de antemano a tu policía cibernética local, si es posible. No hay nada malo en presentarse o incluso tomar una taza de café antes de que todo esté en llamas.
En qué estamos fallando
Estamos mejorando nuestra cooperación y reduciendo nuestros tiempos de respuesta, que son dos avances excelentes. Es estupendo oír que casi todo el mundo se acerca ahora a denunciar estos delitos y que más de la mitad recibe un beneficio tangible de su compromiso. El problema es que todo esto es tratar los síntomas y no abordar realmente la enfermedad: la prevención y la disuasión.
Los dispositivos de red con vulnerabilidades expuestas y sin parches no se abordan con la suficiente rapidez o no se abordan en absoluto. En nuestro análisis “Sophos Active Adversary Report for H1 2024” descubrimos que, en casi una sexta parte de los incidentes, los atacantes accedieron a través de vulnerabilidades expuestas. Muchas de esas vulnerabilidades tenían parches disponibles desde semanas, meses o años antes de ser utilizadas para el ataque.
A pesar de que la autenticación multifactor hizo su debut para la mayoría de nosotros en la comunidad de seguridad en la década de 1990, con patentes tempranas que hacían referencia a la tecnología entonces vigente, como los bípers bidireccionales, todavía no está ampliamente implantada en las pasarelas de acceso remoto de las organizaciones pequeñas y medianas. En al menos el 56% de los casos analizados en los datos del informe 2023, las credenciales robadas fueron la causa principal de la brecha. El caso más reciente de Change Healthcare, en el que los atacantes consiguieron entrar en la multimillonaria empresa a través de un único servidor que carecía de MFA, es un recordatorio de que tales lagunas de implantación no se limitan a las organizaciones pequeñas o medianas.
Por último, por supuesto, no depende solo de nosotros mejorar nuestra actuación; los sistemas jurídicos de todo el mundo no han avanzado mucho en la prevención y disuasión mediante el encarcelamiento. Aunque ha aumentado el número de detenciones y de desarticulaciones de redes delictivas, no están haciendo mucha mella en este problema multimillonario. Con muchos de los autores en países que no cooperan, se trata de una tarea ardua de llevar a cabo, ya que la cárcel no es una opción en la mayoría de los casos.
¿Y ahora qué?
La respuesta obvia es hacer más de lo que funciona y no obsesionarse con lo que no puede lograrse. A muchos de nosotros nos llena de alegría ver a la gente detrás de hospitales y escuelas pirateados en la vieja cárcel de hierro, pero estos resultados son lentos de conseguir y a menudo no están disponibles debido a consideraciones geopolíticas.
He aquí una breve hoja de ruta basada en el punto en el que creo que nos encontramos actualmente.
– Aprovecha los datos que muestran altos niveles globales de víctimas que denuncian ataques de ransomware a las fuerzas de seguridad para defender la financiación de investigadores policiales especializados en ransomware que puedan trabajar para ampliar la interrupción que empezó a acelerarse en 2023. Hubo algunas victorias importantes, como QakBot, ALPHV/BlackCat y LockBit, pero hasta la fecha solo parecen haber sido unos pocos éxitos. Debemos amplificar estas interrupciones que no solo desmantelan gran parte de la infraestructura necesaria para llevar a cabo con éxito estos ataques, sino que también socavan la red de confianza entre los propios delincuentes. Esta es nuestra herramienta ofensiva más poderosa.
– Debemos mejorar nuestras defensas, lo cual es una tarea ingente. Hay algo más de 8,1 millones de organizaciones en Estados Unidos y aproximadamente 6,8 millones de ellas tienen menos de 500 empleados, el contingente del que hablamos largo y tendido en nuestro Informe Sophos sobre Amenazas más reciente. Las organizaciones de menos de 1.000 empleados rara vez cuentan con personal de seguridad dedicado y suelen tener departamentos informáticos esqueléticos. CISA ha estado haciendo un trabajo fantástico publicando listas útiles de vulnerabilidades explotadas y proporcionando otros consejos útiles, pero para que cuente hay que tener un público que escuche. La CISA lo está intentando, pero se limita a un pequeño número de zanahorias y un palo igualmente pequeño para influir en el cambio.
Hay dos enfoques al respecto, pero ambos deben plantearse como una iniciativa global, no solo como un problema de EE. UU. Parte de lo que da poder a estos delincuentes es la escala y la eficacia con la que operan. Hay que acabar con ellos en todos los ámbitos para conseguir una reducción significativa de la actividad. Los productos deben ser más seguros de usar sin intervención constante y las organizaciones deben ajustar su cálculo del riesgo para incluir la cantidad y calidad de sus dispositivos y servicios expuestos.
– Los proveedores de software y equipos de red deben suministrar productos más seguros y hacer que la actualización de esos productos sea segura y sin fricciones. Con este fin, Sophos se une al llamamiento de CISA para que los proveedores de software firmen un compromiso de seguir desarrollando productos que sean “Seguros por diseño”. Ya hemos hecho enormes progresos hacia muchos de los objetivos esbozados en “Seguros por diseño”, pero siempre hay más trabajo por hacer. Como industria, debemos seguir mejorando no sólo la calidad de nuestro código, sino la experiencia de utilizar los productos de forma segura. Los siete puntos del compromiso de CISA ayudarán a cerrar las brechas que se aprovechan con más frecuencia en el mundo real y proporcionarán una experiencia más segura a todos los clientes, incluso cuando carezcan de experiencia en seguridad o de la capacidad de seguir todas las actualizaciones de seguridad disponibles para mantenerlos a salvo.
– Una de las cosas más importantes que podemos hacer es que las actualizaciones sean sencillas o, mejor aún, automáticas. Como hemos visto con las vulnerabilidades de los navegadores e incluso con las actualizaciones de software de nuestros teléfonos móviles, las actualizaciones de seguridad continuas y automáticas mejoran drásticamente los resultados de seguridad de los clientes. Al igual que tu navegador, los firewalls de Sophos obtienen correcciones de seguridad de emergencia por defecto y se supervisan continuamente en busca de intrusiones que puedan introducir riesgos en los entornos de los clientes.
– Las empresas también deben responsabilizarse más de la información privada que se les ha confiado y evaluar con mayor precisión los riesgos de seguridad, especialmente en lo que respecta a las credenciales robadas y los equipos sin parches que se conectan a Internet. En el primer frente, el trabajo sostenido de los profesionales de la privacidad ha sacado a la luz pública los conceptos de controladores y procesadores de datos (dos tipos diferentes de custodios de datos, ambos con responsabilidades explícitas de manejar adecuadamente los datos privados). En el segundo frente, la CISA ha anunciado un programa beta para organizaciones con sede en EE. UU. que incluye el escaneado de vulnerabilidades de la lista de Vulnerabilidades Explotadas Conocidas (KEV). Además, los proveedores de seguridad ofrecen servicios similares con capacidad de corrección, así como servicios de detección y respuesta gestionadas (MDR) para vigilar la explotación activa.
– Por último, pero no por ello menos importante, está nuestro viejo amigo el abuso de criptomonedas. Aquí las acciones parecen ser similares a la situación del takedown: más por favor. Estados Unidos ha estado persiguiendo agresivamente a los mezcladores y tumblers de bitcoin, y esto debe continuar y ampliarse para convertirse en un esfuerzo internacional. Gracias a su flujo de efectivo extraordinariamente alto, el bitcoin es en sí mismo el único medio práctico de recaudación y blanqueo de grandes sumas de “riqueza” adquirida ilícitamente, pero la trazabilidad inherente a esa moneda específica es una característica, si se puede regular de forma significativa una parte suficiente del ecosistema. La imposición de sanciones, el cierre de anonimizadores / tumuladores / mezcladores y la aplicación agresiva de las leyes de “conoce a tu cliente” (KYC, por sus siglas en inglés) aplicadas de forma global o, como mínimo, a medida que los pagos de rescates atraviesan los mercados legales (ya que las bandas de ransomware no suelen cobrar sus rescates en EE. UU. o en países de acceso similar para las fuerzas de seguridad) ayudarán a frenar la hemorragia y a aumentar el riesgo para quienes ven en esto un delito “seguro” con un camino fácil para cobrar.
Lejos de estar indefensos
Las ruedas de la justicia giran con exasperante lentitud, pero están cobrando impulso. Mientras seguimos formando y educando a los sistemas judiciales y policiales sobre estos delitos modernos, debemos seguir ejerciendo presión en todos los aspectos de la infraestructura del ransomware: Cortar el dinero; perseguir agresivamente a los autores en aquellos lugares donde puedan ser perseguidos; mejorar nuestra preparación; socavar la red de confianza de los delincuentes; y unirnos más allá de las fronteras internacionales, públicas y privadas.
No hay tiempo que perder. Vamos allá.