El aumento de los ataques y enfoque en los usuarios como puerta de entrada exigen que las empresas se prevengan y estén preparadas para reaccionar.
Los últimos años se han caracterizado por un crecimiento del número, intensidad e impacto del ransomware, por lo que se convirtió en uno de los principales elementos a considerar en el momento de establecer soluciones de seguridad para datos en las empresas.
Buscar formas de defenderse y reducir riesgos de ataques depende, primero, de entender cómo suceden y de qué manera acceden los hackers a los datos en el ambiente empresarial.
Hay dos vectores primarios para los ataques en ambientes de TI comercial. El primero de ellos es el control ejercido de forma remota en computadores de usuarios, lo que permite que el invasor recorra la red hasta el sitio donde es posible encontrar las credenciales de administradores para bases de datos, garantizando el acceso a toda la información de la empresa. El control a distancia es posible por medio del propio empleado, que es seducido por un mensaje de phishing con adjuntos o enlaces de páginas web que contienen el código malicioso que, una vez accedido, se carga en la terminal de la computadora.
A partir del momento que el dispositivo está vulnerable, las amenazas insertadas comienzan a escanear el ambiente en busca de un dispositivo que permita acceder a la red de datos. De esta manera, a partir del momento en que él se consolida en una máquina de administrador, los hackers pueden criptografiar o limpiar a control remoto los datos y exigir rescate.
El segundo método utilizado es más bien un ataque directo, un robo frontal a los servidores de base de datos. La mayoría de las empresas poseen páginas web y aplicaciones destinados al acceso público. Los hackers buscan, entre estos canales, aquel con el servidor más vulnerable, explorando áreas que permitan la consolidación de la amenaza en el centro de datos. Así, vemos que la base principal de ataque es el usuario que tiene menos experiencia y conocimiento para identificar los peligros de un ataque de este tipo.
Tal ataque es eficiente solo en casos que el equipo de TI no ha establecido la correcta separación entre las páginas web pensadas para el público y los servidores de base de datos y de los archivos compartidos -un error común en equipos pequeños. En estos casos, la amenaza utiliza este acceso para desarrollar una búsqueda en la base de datos y secuestrar información esencial para el negocio.
Aunque el segundo vector exija más sofisticación, esta es la principal forma de actuación para amenazas de ransomware, comprobando la especialización y profesionalización de los hackers, exigiendo más atención a la seguridad de la información empresarial.
¿Cómo reducir el riesgo de ransomware?
Una de las primeras acciones para reducir el riesgo de invasión, es orientar a todos los usuarios que tienen acceso a la red de la empresa, acerca de los tipos más comunes de señuelo, manteniéndolos informados de las novedades que van surgiendo a lo largo de los días. Además, un antivirus poderoso y actualizado es fundamental para bloquear la mayoría de los ataques conocidos y ayudar al equipo, enviando alertas de mensajes que pueden ser maliciosos.
Otro paso importante es tener un plan de respuesta a incidentes, planificando todas las acciones que deben ser realizadas en el caso de un ataque, respondiendo preguntas como "¿Cuáles son los primeros pasos?", "¿Quiénes son las personas a quienes hay que avisar?", "¿Cuáles son las decisiones más urgentes que se deben tomar?", entre otras. Todo este proceso debe estar registrado en manuales para auxiliar al equipo de seguridad en la agilidad de la defensa y bloquear el trayecto del virus lo antes posible.
Separar y aislar la base de datos es una excelente opción para desestimular a los hackers, creando capas de seguridad como carpetas con contraseñas criptografiadas. Otro punto importante es tener un backup con esas informaciones actualizadas. De esta manera, aunque se secuestren los datos, es posible ganar tiempo evaluando si vale la pena pagar por el rescate o no.
Si la base de datos es muy relevante para la continuidad de un negocio y necesita protección extra, se debe tener en cuenta el hospedaje de esta información en la Nube o ambientes digitalizados, con acceso limitado por parte de personas autorizadas. Estos servicios ofrecen criptografía y capas de protección especiales con un costo accesible.
Para concluir, la pregunta que no puede quedarse sin respuesta: ¿Pagar o no por el rescate? La opinión de la mayoría de los expertos es no pagarlo, exactamente para reducir importancia a este tipo de crimen. Pero, la decisión es fácil cuando se trata de personas que no están involucradas con el negocio.
Fuentes:
