Más allá del efecto ransomware

El viernes 12 de mayo de 2017 centenares de empresas se vieron afectadas por un ciberataque a través de un malware del tipo ransomware (denominado Wanna Cry). Este software malicioso cifra los datos y exige un pago a cambio de la clave de descifrado. Usted se preguntará: ¿es nuevo este tipo de ataque? No lo es, el ransomware lleva atacando de forma progresiva hace 5 años. No obstante, este último tiene una particularidad, viene acompañado de un gusano que lo transporta y es capaz de propagarse por la red de la compañía. Sin embargo, el método de entrada ha sido el mismo que el usado hace 5 años… «ingeniería social».

La ingeniería social es el método usado por los hackers a través del cual este interactúa e induce al usuario a proporcionar contraseñas o seguir instrucciones para vulnerar la seguridad. Es decir, un usuario dentro de la red puede llegar a interactuar con un correo no deseado, como podría ser un correo fraudulento (phishing), abrir archivos adjuntos no solicitados o es invitado a realizar una descarga de software libre desde una página web, lo que conlleva una infección inmediata si su equipo se encuentra vulnerable. Este tipo de actividades, como estamos viendo, tiene graves consecuencias, tanto para el usuario que pierde acceso a su información como para la organización que de un momento a otro puede ver detenida toda su operación.

Los equipos de respuesta están tomando medidas de “carácter reactivo” que son necesarias para mitigar el impacto dentro de la organización (a un alto costo), y podrán ser efectivas si nuestros equipos tienen la capacidad de respuesta, son capacitados y se manejan hábilmente en las acciones que ejecutan. En el mejor de los casos, estas actividades formarán parte de un plan de respuesta a incidentes que ha sido documentado y probado por los líderes de estos equipos.

Muchos se preguntarán ¿cómo puedo detener este tipo de ataque? No puede detenerlo, como tampoco puede detener la actividad de un hacker que intenta vulnerar su sistema. Por lo tanto, su sistema debe estar preparado para identificarlo y enfrentarlo a razón que le permita anular o minimizar la materialización de una amenaza, y ser resiliente, a fin de que tenga la capacidad de recuperarse ante el incidente y le permita minimizar el daño financiero. Entonces, ¿cuál debiera ser la estrategia para estar mejor preparados frente a estos ataques?

Desarrollar e implementar una política y normas de seguridad de la información es el punto de partida para que su organización adopte un enfoque proactivo y pueda sensibilizar a los usuarios respecto de los riesgos que conlleva el uso de las tecnologías de información. Este esfuerzo también debe concienciar a los administradores para adoptar medidas que vayan en dirección a mitigar el impacto de este tipo de ataques, como puede ser la segmentación de la red en segmentos que permita no comprometer toda la red. Compañías con sucursales a lo largo de Chile se encuentran detenidas porque este ransomware fue capaz de propagarse por toda la red.

Finalmente, estar seguro no es una meta a la que se pueda llegar, y lo que entendemos como gestión de riesgos es un proceso que hay que saber manejar. Por su parte, la seguridad de la información no puede tener un enfoque reactivo, sino más bien proactivo. Una organización sin una política y normas de seguridad de la información que sean internalizadas por los usuarios y administradores de sistemas, y sin el apoyo de la alta administración para monitorear su cumplimiento, nunca logrará el efecto esperado a largo plazo, que es donde su organización debería estar en temas de seguridad y gestión de riesgos, para así obtener los mejores resultados.

Claudio Núñez Montecino
Gerente de Technology
PwC Chile

El contenido vertido en esta columna de opinión es de exclusiva responsabilidad de su autor, y no refleja necesariamente la línea editorial ni postura de El Mostrador