Crecen los Ataques de Ransomware en España, según Proofpoint

El último informe State of the Phish 2023, emitido por Proofpoint, revela que el 89% de las empresas españolas han enfrentado intentos de ataque de ransomware en el transcurso del último año, y un 72% de ellas ha resultado infectada. Este malware, que amenaza con bloquear el acceso a sistemas o datos hasta que se pague un rescate, está siendo cada vez más común, convirtiendo a la mayoría de los usuarios de internet en potenciales víctimas.

Fernando Anaya, director regional de Proofpoint para España y Portugal, resalta que “Podría decirse que el ransomware ha superado su fase epidémica y ahora se ha convertido en una amenaza endémica, con más impacto que nunca en la vida cotidiana, y de la que ninguna organización es inmune”.

Evolución en las tácticas de ataque

La evolución continua de las tácticas de los ciberdelincuentes es evidente año tras año, incluso incorporando métodos de extorsión doble o triple que se están volviendo más difundidos. La habilidad de mantener el acceso y filtrar información confidencial permite a los atacantes incrementar los montos de rescate demandados y maximizar sus ganancias. A pesar de estas evoluciones en sus ataques, su objetivo principal sigue siendo el mismo: obtener acceso no autorizado.

Hoy en día, muchos grupos de ransomware se enfocan únicamente en el robo de datos y no en el cifrado o destrucción de información. Esto plantea un riesgo considerable para las víctimas, ya que no tienen garantías de poder recuperar sus datos y, si lo logran, es muy probable que los ciberdelincuentes ya los hayan vendido, difundido o utilizado en su contra de alguna manera.

Además, es cada vez más común que las empresas se nieguen a pagar rescates, lo que fuerza a los estafadores a buscar otras formas de rentabilizar sus acciones: robar grandes volúmenes de datos y venderlos en la dark web, mientras exigen rescates para evitar su divulgación pública.

Diferencias y Similitudes entre Ransomware y BEC

Históricamente, el ransomware y el Compromiso de Correo Electrónico Empresarial (BEC) se han atribuido a diferentes grupos de ciberdelincuentes. Sin embargo, aunque algunos grupos se especializan en una u otra modalidad, las técnicas fundamentales que utilizan son similares.

Por tanto, aunque estas amenazas tengan matices diferentes, comparten mucho en términos de defensa. En la mayoría de los casos, los atacantes obtienen acceso inicial mediante phishing por correo electrónico, protocolo RDP para control remoto de computadoras o malware que roba tokens de autenticación y credenciales. Además, en ambos casos, a menudo se recurre al secuestro de hilos para infiltrarse en conversaciones legítimas.

“Las similitudes entre ransomware y BEC permiten a las organizaciones diseñar estrategias defensivas efectivas al evitar las mismas actividades, independientemente de cómo los delincuentes busquen beneficiarse”, subraya Anaya.

Enfrentando una Variedad de Ataques

Las soluciones convencionales ya no son eficaces para las situaciones actuales en las que los ciberdelincuentes vulneran cuentas para robar datos. Las herramientas que buscan indicadores de compromiso mediante reglas de clasificación de datos no son suficientes por sí solas.

Los responsables de seguridad deben identificar señales que concuerden con el comportamiento actual de los atacantes. Por ejemplo, si se detectan múltiples inicios de sesión con la misma cookie, esto podría indicar que un ciberdelincuente está usando credenciales comprometidas. Si además se observa la instalación de software de compresión de archivos o la transferencia masiva de datos a plataformas de almacenamiento en la nube, es recomendable activar una respuesta ante incidentes.

Los ciberdelincuentes actuales son oportunista y buscan la debilidad en las organizaciones. Aunque intenten encontrar dispositivos VPN o puertos RDP vulnerables, saben que el acceso más fácil es a través de los usuarios. Las cargas maliciosas generalmente se transmiten mediante ingeniería social y requieren interacción humana para ejecutarse. Un simple clic en un enlace o la descarga de un archivo adjunto en un mensaje de phishing puede dar a los atacantes lo que buscan.

Fomentando la Ciberresiliencia

Fernando Anaya concluye: “Proteger a los empleados y educarlos en ciberseguridad fortalece la ciberresiliencia y disminuye las posibilidades de éxito en la mayoría de los ataques. Si los ciberdelincuentes no pueden acceder a la organización, no podrán cifrar archivos, robar datos ni interrumpir operaciones comerciales. No existe una solución mágica; equipar y capacitar al personal para prevenir amenazas y proteger la información resulta ser la medida más efectiva”.