Ransomware y ataques DDoS alcanzan récords históricos
Recientemente, el grupo de hacktivistas autodenominado “Guacamaya” ha estado en el centro de atención debido a los múltiples ataques y secuestro de datos que ha llevado a cabo en diversos países de Latinoamérica, más recientemente en México, robando datos tanto del sector público como privado.
Octubre es el Mes de la conciencia sobre la Ciberseguridad en el mundo, sin embargo, los riesgos que representan los ataques de red distribuidos, conocidos como ataques de denegación de servicio distribuida (DDoS), así como de ransomware o secuestro de datos nunca han sido mayores que hoy en día.
Un informe sobre amenazas cibernéticas recientemente realizado por Akamai, indicó que durante el primer trimestre de 2022, más de 1 de cada 10 dispositivos supervisados se comunicaron al menos una vez con dominios asociados a malware, ransomware, phishing o comando y control (C2).
El 2022 comenzó como un año de cambios: cambios de gobierno en varios países, la guerra Rusia-Ucrania (que ha sido la primera gran guerra terrestre en suelo europeo desde la Segunda Guerra Mundial), la “gran renuncia”, una potencial recesión del mercado bursátil y los niveles de inflación más altos en 40 años. Con el cambio surge la oportunidad, aunque a veces para las personas equivocadas.
Los ataques de seguridad han ido en aumento, al igual que su complejidad, y se han vuelto prácticamente irreconocibles en comparación con ataques de hace 12, 10 o incluso 5 años, debido a la constante innovación en el panorama de amenazas y al crecimiento del nivel de sofisticación de los atacantes.
¿Qué es el ransomware o secuestro de datos?
El secuestro o robo de datos, también conocido como “ransomware”, en su día simplemente era una molesta cepa de malware que utilizaban los agentes maliciosos para restringir el acceso a archivos y datos a través del cifrado, pero hoy en día se ha convertido en un método de ataque de proporciones épicas. Aunque la amenaza de perder datos de forma permanente ya es estremecedora por sí misma, los ciberdelincuentes y los hackers patrocinados por estados se han vuelto lo suficientemente sofisticados como para utilizar el ransomware para introducirse y paralizar grandes empresas, gobiernos federales, infraestructuras globales y organizaciones de salud pública.
De los dispositivos potencialmente comprometidos y las diferentes categorías de amenazas, un informe de la empresa especialista mostró que el 64 % de ellos estuvo expuesto a amenazas asociadas a actividad de malware (categoría en la que se encuentra el ransomware).
En la actualidad, la combinación de tecnología obsoleta, estrategias de defensa “suficientemente buenas” centradas solo en los perímetros y los terminales, la falta de formación, y/o habilidades (así como protocolos de seguridad deficientes) y la ausencia de una solución mágica e infalible pone en riesgo a organizaciones de todos los tamaños.
“Los ciberdelincuentes han visto una oportunidad en estos ataques y tratan de cifrar la mayor extensión de red corporativa posible para luego pedir rescates que pueden costar desde miles a millones de dólares. Pero el aspecto económico no es lo único que está en juego. Las consecuencias de un ataque de ransomware pueden ser muy perjudiciales: el tiempo de inactividad puede detener las operaciones de una institución, interrumpir la productividad y poner en riesgo sus datos.” advierte Hugo Werner, vicepresidente regional de Akamai para LATAM.
Un ataque de ransomware comienza con una filtración inicial. A menudo, esta se produce a través de un correo electrónico de phishing, una vulnerabilidad en el perímetro de la red o ataques de fuerza bruta que abren fisuras en las defensas y distraen de la intención real del atacante. Una vez que el ataque ha hecho mella en un dispositivo o aplicación, avanza mediante la derivación de privilegios y movimientos laterales a través de la red y por diferentes terminales para extender la infección y multiplicar los puntos de cifrado.
“Por lo general, los ciberdelincuentes se hacen con el control de un controlador de dominio, obtienen las credenciales y, a continuación, buscan y cifran la copia de seguridad para evitar que el operador pueda restaurar los servicios congelados.” explica Werner.
Ataques de red distribuidos (DDoS)
Durante los últimos años, las organizaciones se han encontrado con una avalancha de extorsiones de DDoS, nuevas amenazas, hacktivismo, y una innovación sin precedentes en el panorama de las amenazas.
“Un ataque distribuido de denegación de servicio (DDoS), sobrecarga su objetivo con tráfico de Internet no deseado para que el tráfico normal no llegue a su destino previsto. Los ataques DDoS aprovechan las redes de dispositivos conectados a Internet para bloquear el acceso de los usuarios a un servidor o recurso de red, como un sitio web o una aplicación a la que acceden con frecuencia.” explica el ejecutivo.
La finalidad de todos los ataques es disminuir considerablemente la velocidad o impedir que el tráfico legítimo llegue a su destino previsto. Esto significa, por ejemplo, impedir que un usuario acceda a un sitio web, compre un producto o servicio, vea un vídeo o interactúe en redes sociales. Además, al hacer que los recursos no estén disponibles o disminuir el rendimiento, un ataque DDoS puede paralizar a las empresas. Esto puede impedir que los empleados accedan al correo electrónico, a las aplicaciones web o que hagan su trabajo como de costumbre.
En el segundo trimestre de este año, los ciberterroristas atacaron un número récord de ubicaciones (agrupaciones de activos en la nube o en centros de datos físicos) con ataques DDoS, el mayor en la historia. Se observó el mayor pico en cinco años en cuanto a direcciones IP únicas atacadas en un mismo trimestre, así como niveles récord en lo que respecta a la cantidad de clientes afectados .
Werner, recomienda mantenerse al día con las amenazas en constante evolución: “Entre las medidas que una empresa que opera total o parcialmente de forma online puede tomar para mitigar el riesgo de un ataque DDoS, están revisar las subredes críticas y los espacios IP y asegurarse de que tengan implementar dos controles de mitigación, implementar controles de seguridad DDoS en una posición de mitigación “siempre activa” como primer nivel de defensa, para evitar un escenario de integración de emergencia y para reducir la carga sobre el personal de emergencia y reunir proactivamente un equipo de respuesta ante crisis y asegurarse de que los libros de ejecución y los planes de respuesta ante incidentes estén actualizados. Sin las defensas adecuadas, incluso una red sólida y moderna puede colapsar ante un ataque cibernético.”
Las organizaciones pueden reducir su superficie de ataque y, al mismo tiempo, reducir el riesgo de interrupciones y tiempos de inactividad mediante la implementación de controles de seguridad específicos para DDoS. Este tipo de defensa puede impedir un ataque y, a su vez, permitir que los visitantes legítimos accedan a su organización online de forma habitual. La protección contra DDoS evita que el tráfico malintencionado alcance su objetivo, lo que limita el impacto del ataque y, al mismo tiempo, permite que el tráfico llegue a su destino para que la actividad se desarrolle con normalidad.