Los expertos piden resiliencia frente al ransomware a medida que la crisis se intensifica

Expertos piden resiliencia frente al ransomware mientras la crisis se intensifica

Por Danny Bradbury • 22 October 2024

Han sido unos meses muy movidos en lo que respecta al ransomware. A finales de agosto, varias organizaciones de ciberseguridad de EE. UU. advirtieron sobre un grupo de ransomware como servicio llamado RansomHub. Este grupo criminal, antes conocido como Cyclops y Knight, ha estado activo desde febrero de este año y ha estado reuniendo afiliados de otros grupos como LockBit.

RansomHub ha cifrado y robado datos de al menos 210 víctimas, según un Asesoramiento de la Oficina Federal de Investigaciones de los Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad, el Centro de Análisis e Intercambio de Información Multiestatal y el Departamento de Salud y Servicios Humanos. Abarcaron muchos sectores que el gobierno de los Estados Unidos considera parte de su infraestructura nacional crítica, incluidos el agua y el tratamiento de aguas residuales, la tecnología de la información, los servicios del sector público, la atención de la salud, los servicios de emergencia, la alimentación y la agricultura, y los servicios financieros.

Una amenaza en evolución

RansomHub está evolucionando. Recientemente... COMPLETAMENTE Una herramienta llamada EDRKillShifter que desactiva el software de detección de endpoints, lo que le permite infectar sistemas con mayor éxito. Los afiliados de ransomware que utilizan la herramienta se propagan lateralmente a través de la red objetivo, infectando sistemas y exfiltrando y cifrando malware en un ataque de doble extorsión.

Con amenazas como esta que siguen plagando infraestructuras nacionales críticas, no es de extrañar que el gobierno de Estados Unidos esté haciendo más ruido que nunca sobre la amenaza del ransomware. Este mes, el director nacional de ciberseguridad, Harry Coker, advirtió sobre la creciente amenaza de los ataques de ransomware. La Casa Blanca también organizó su cuarta cumbre de la Iniciativa Internacional Contra el Ransomware, en la que participaron 68 países (incluidos 18 nuevos) para intentar erradicar el ransomware.

La última cumbre estableció un fondo contra el ransomware para ayudar a las organizaciones miembro a fortalecer sus capacidades contra el ransomware, junto con orientación para las víctimas sobre cómo hacer frente a un ataque de ransomware. Anne Neuberger, asesora adjunta de seguridad nacional para ciberseguridad y tecnología emergente, advirtió una vez más a las aseguradoras contra la financiación de pagos de rescates.

Laura Payne, directora ejecutiva de la consultora canadiense de ciberseguridad White Tuque, afirma que evitar los pagos es una política sólida. “No se sabe a quién va a parar ese dinero y lo más probable es que se destine a algo que tenga alguna relación con actividades terroristas. Eso te pone en una situación peligrosa desde una perspectiva legal”, afirma.

Neuberger no llegó a recomendar políticas como la prohibición total de financiar pagos de rescates. Sin embargo, eso puede ser innecesario ya que las aseguradoras enfrentan una mayor presión financiera por las reclamaciones de ransomware. (reporte) Un estudio de la aseguradora cibernética Coalition descubrió que, si bien las cifras de reclamaciones disminuyeron durante el primer semestre de este año en comparación con el primer semestre de 1, las pérdidas aumentaron un 2023 % en general. Señaló que la pérdida promedio por ransomware aumentó un 14 %, a $68 353,000.

“Hace un par de años, en Canadá, escuché a una de las aseguradoras hablar sobre esto y dijo que lo único que era un negocio de seguros menos rentable era el daño por granizo, lo que te dice cuán mal están las cosas”, dijo Payne.

Es mejor prevenir que curar

Por supuesto, es mejor prevenir que curar. ¿Cómo pueden las organizaciones protegerse de los ataques de ransomware? El aviso de RansomHub recomienda varios pasos, comenzando con un plan de recuperación y autenticación multifactor. Agrega que también es fundamental mantener todo el software y firmware actualizado, lo que ayudará a bloquear el ransomware que se basa en vulnerabilidades conocidas.

Debido a que los intrusos de ransomware operan propagándose lateralmente dentro de una organización, el aviso también recomienda segmentar las redes para evitar que los atacantes accedan fácilmente a otras partes de la infraestructura.

El aviso también recomienda contraseñas de entre ocho y 64 caracteres, lo que coincide con las recomendaciones del NIST. “Cuanto más largas, más seguras”, coincide Payne. También ofrece otros consejos sobre ciberhigiene.

“Ten una buena protección básica y un servicio antimalware de alta calidad”, añade. “Asegúrate de que tus redes estén configuradas con el estándar inalámbrico actual, que sería WPA2 o WPA3 con contraseña. No uses Wi-Fi público y haz copias de seguridad de tus cosas”.

Los autores del aviso recomiendan que esas copias de seguridad estén cifradas y sean inmutables para que los atacantes no puedan manipularlas. Mantener copias de seguridad sin conexión es una buena estrategia en este caso, pero varios sistemas de almacenamiento del mercado hacen que los datos de las copias de seguridad sean inmutables a nivel del sistema operativo. Las organizaciones también pueden utilizar hardware de escritura única y lectura múltiple (WORM) para dichas copias de seguridad a fin de protegerlas a nivel de hardware.

El aviso recomienda otras medidas de protección, como la gestión cuidadosa de los permisos internos. Por ejemplo, deshabilitar muchas herramientas de scripting de línea de comandos puede ayudar a evitar que los atacantes "vivan de la tierra" al permitirles moverse lateralmente y robar datos sin dar la alarma.

El documento también recomienda auditar las cuentas para garantizar el acceso con privilegios mínimos y limitar el acceso a las cuentas administrativas para cerrar la ventana de ataque. También advierte a los administradores que deshabiliten los puertos no utilizados y utilicen herramientas de monitoreo de red para detectar y rastrear actividades inusuales.

Las organizaciones detrás del aviso también recomiendan proteger el correo electrónico (un sistema de distribución común de ransomware) colocando banners en los correos electrónicos que provienen de fuera de la organización y desactivando los hipervínculos en todos los correos electrónicos recibidos.

Estas recomendaciones reflejan una higiene básica de la ciberseguridad y, al igual que el debate sobre el ransomware, han estado circulando durante años. “No me importa repetirlas”, dice Payne. Ella tiene que hacerlo, al igual que las agencias gubernamentales, porque muchas empresas no están escuchando. Hasta que lo hagan, la crisis continuará.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

Expertos piden resiliencia frente al ransomware mientras la crisis se intensifica

Una amenaza en evolución

Es mejor prevenir que curar

danny bradbury

Artículos relacionados

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para la industria de TI y MSP

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para el sector financiero

Lea más de Danny Bradbury

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B