La amenaza silenciosa: El ransomware 2024 se consolida en Latinoamérica y exige una respuesta integral
El panorama de las ciberamenazas en 2023 nos dejó una lección clara que se confirma en el transcurso del año 2024: el ransomware, lejos de ser una amenaza pasajera, se ha vuelto endémica.
Si bien la atención del público y los medios se ha visto acaparada por otros acontecimientos, este enemigo silencioso ha continuado su implacable avance, infiltrándose en empresas y organizaciones de todo el mundo y consolidándose como uno de los principales riesgos para la seguridad digital.
El último Think Ahead Report 2024, elaborado por NeoSecure by SEK, arroja luz sobre esta preocupante realidad.
El reporte, fruto del análisis de más de 1.535.000 alertas de seguridad, revela que el 73% de las brechas de seguridad informática a nivel global durante el año pasado estuvieron relacionadas con el robo de datos, con el ransomware como principal culpable.
Latinoamérica: Un ecosistema digital bajo asedio
La región latinoamericana, inmersa en un acelerado proceso de transformación digital, se ha convertido en un blanco predilecto para los cibercriminales.
Factores como la creciente digitalización de las empresas, la brecha existente en la adopción de medidas de seguridad robustas y la falta de concientización sobre ciberseguridad han creado un caldo de cultivo idóneo para la proliferación de este tipo de ataques.
Dentro de la región, Brasil, con su pujante economía digital, lidera el ranking de países con mayor número de brechas por ransomware, seguido por Argentina, Colombia, Chile y Perú.
Esta situación se ve agravada por la proliferación de grupos de ciberdelincuentes que operan en la región, aprovechando la creciente superficie de ataque que ofrecen las empresas latinoamericanas.
Desmitificando a los actores de la amenaza: LockBit, 8Base y BlackCat
Comprender el modus operandi de los grupos de cibercriminales detrás de estas amenazas es crucial para desarrollar estrategias de defensa efectivas. En la actualidad, tres actores dominan el escenario del ransomware: LockBit, 8Base y BlackCat, cada uno con características distintivas y tácticas específicas.
LockBit: Conocido por su agresividad y sofisticación, LockBit se ha convertido en la principal amenaza a nivel global y regional. Este grupo se caracteriza por:
Explotación de vulnerabilidades: Buscan y aprovechan fallas de seguridad en sistemas operativos, software y dispositivos de red.
Ataques de fuerza bruta: Utilizan herramientas automatizadas para probar múltiples combinaciones de nombres de usuario y contraseñas hasta encontrar una que les permita el acceso.
Ingeniería social: Emplean técnicas de phishing sofisticadas, como correos electrónicos falsos que imitan a remitentes confiables, para engañar a los usuarios y conseguir que revelen sus credenciales o descarguen archivos maliciosos.
Una vez que han accedido a la red de la víctima, LockBit se propaga rápidamente y utiliza herramientas como “StealBit” para robar información sensible antes de cifrar los archivos. Operan bajo el modelo de “doble extorsión”, exigiendo un rescate por la clave de descifrado y amenazando con filtrar la información robada si no se cumplen sus demandas.
8Base: Originario de Brasil, 8Base se ha posicionado como una amenaza persistente en la región, enfocando sus ataques principalmente en empresas de transporte, químicas, industrias metalúrgicas y utilities en Estados Unidos y Brasil.
Credenciales comprometidas: Explotan el uso de contraseñas débiles o reutilizadas para acceder a cuentas legítimas y comprometer sistemas.
Ataques de phishing dirigidos: Diseñan correos electrónicos personalizados y convincentes para engañar a empleados específicos y obtener sus credenciales de acceso o infectar sus dispositivos.
Una vez dentro de la red, 8Base se mueve lateralmente para elevar privilegios y cifrar los datos de la víctima. Utilizan métodos de comunicación anónimos para dificultar su rastreo y extorsionar a las empresas a cambio de la recuperación de sus datos.
BlackCat: Operando bajo el modelo de Ransomware as a Service (RaaS), BlackCat se destaca por su capacidad de adaptación a diferentes entornos y su enfoque en organizaciones con alta disponibilidad de datos sensibles.
Explotación de vulnerabilidades zero-day: Invierten recursos en encontrar y explotar vulnerabilidades desconocidas para las cuales no existen parches de seguridad, lo que dificulta su detección y mitigación.
Ataques a la cadena de suministro: Comprometen a proveedores de software o servicios para introducir su código malicioso en las actualizaciones o en los propios productos y así infectar a un mayor número de víctimas de forma indirecta.
BlackCat utiliza herramientas como “Exmatter” para robar grandes volúmenes de datos antes del cifrado, lo que aumenta su poder de negociación. A diferencia de otros grupos, han demostrado una mayor disposición a negociar y reducir el monto del rescate, lo que los hace aún más peligrosos.
Blindando sectores críticos: Estrategias de ciberseguridad a medida
Dado que el impacto del ransomware varía en función de la criticidad de los datos y sistemas afectados, es fundamental desarrollar estrategias de protección específicas para cada sector.
1. Fortaleza financiera: Blindando el corazón de la economía
El sector financiero, por su manejo de información sensible y su papel crucial en la economía global, se ha convertido en un objetivo predilecto para los cibercriminales. La sofisticación de los ataques ha aumentado en los últimos años, lo que exige a las entidades financieras fortalecer sus defensas y adoptar un enfoque proactivo para mitigar los riesgos.
Protegiendo el capital digital: La implementación de sistemas de detección de fraude robustos se ha vuelto crucial para identificar y bloquear transacciones sospechosas antes de que puedan causar daños financieros. La autenticación multifactor, que requiere a los usuarios proporcionar múltiples factores de
autenticación para acceder a cuentas y realizar transacciones, también es esencial para prevenir el acceso no autorizado a información sensible.
Blindando la infraestructura crítica: Las pruebas de penetración periódicas, realizadas por expertos en seguridad ética, permiten simular ataques reales y identificar vulnerabilidades en la infraestructura tecnológica del sector financiero. Fortalecer la seguridad de los sistemas bancarios centrales, plataformas de pago electrónico, redes de cajeros automáticos y sistemas de negociación de valores es esencial para prevenir interrupciones en la prestación de servicios financieros.
Gestión de riesgos a terceros: Las entidades financieras comparten grandes volúmenes de información con proveedores y socios comerciales, lo que aumenta la superficie de ataque y la exposición a riesgos. Es fundamental implementar controles estrictos para garantizar que todos los terceros con acceso a datos financieros sensibles cumplan con estándares de seguridad rigurosos. Incluir cláusulas de ciberseguridad en los contratos con proveedores y socios comerciales es esencial para delimitar responsabilidades y establecer mecanismos de control y auditoría.
2. Escudo sanitario: Salvaguardando la salud en un mundo digital
El sector salud, en plena transformación digital y con un volumen creciente de datos médicos sensibles, se ha vuelto un blanco atractivo para los cibercriminales. La naturaleza crítica de la información que manejan, la creciente interconexión de dispositivos médicos y la dependencia de sistemas informáticos para la atención al paciente hacen que el sector sea especialmente vulnerable a este tipo de ataques.
Blindando la historia clínica digital: La información médica de los pacientes es un activo invaluable que debe ser protegido con los más altos estándares de seguridad. Implementar el cifrado de datos, tanto en reposo como en tránsito, es fundamental para garantizar la confidencialidad e integridad de la información. Esto significa que, incluso si los datos son robados, los atacantes no podrán acceder a ellos sin la clave de descifrado.
Asegurando la integridad de los dispositivos médicos: La creciente interconexión de dispositivos médicos, como marcapasos, bombas de infusión, equipos de diagnóstico por imágenes y sistemas de registro electrónico de salud, ha creado nuevas oportunidades para los cibercriminales. Asegurar que estos dispositivos estén protegidos contra ataques es fundamental para garantizar la seguridad del paciente. Esto implica implementar sistemas de gestión de dispositivos médicos (MDM) que permitan controlar el acceso, monitorear la actividad y garantizar que el software y el firmware estén actualizados con los últimos parches de seguridad.
Preparándose para la telemedicina segura: La telemedicina ha experimentado un crecimiento exponencial en los últimos años, impulsada por la necesidad de brindar atención médica remota y reducir el riesgo de contagio en situaciones de emergencia sanitaria. Sin embargo, la adopción de la telemedicina también ha ampliado la superficie de ataque del sector salud, creando nuevas vías de acceso para los ciberdelincuentes. Implementar plataformas de telemedicina con cifrado de extremo a extremo y autenticación multifactor es esencial para proteger la privacidad de las consultas virtuales y el intercambio de información médica a distancia.
3. Gobierno digital resiliente: Protegiendo los cimientos de la sociedad
Las instituciones gubernamentales, responsables de gestionar información crítica y prestar servicios esenciales a la ciudadanía, son un objetivo prioritario para los cibercriminales que buscan causar disrupción y obtener beneficios económicos o políticos.
Un ataque de ransomware exitoso contra una entidad gubernamental puede tener consecuencias devastadoras, paralizando infraestructuras críticas, interrumpiendo la prestación de servicios públicos y poniendo en riesgo la seguridad nacional.
Blindaje de datos sensibles: Las instituciones gubernamentales manejan una cantidad ingente de información sensible, como datos personales de ciudadanos, secretos de Estado, información financiera y planes de seguridad nacional. Proteger esta información es crucial para mantener la confianza de los ciudadanos, garantizar la seguridad nacional y el correcto funcionamiento del Estado. Implementar soluciones de seguridad de datos avanzadas, como el cifrado y la tokenización, es esencial para reducir el riesgo de que esta información caiga en las manos equivocadas.
Continuidad operativa: En un mundo cada vez más digitalizado, la capacidad de los gobiernos para operar de forma continua y prestar servicios esenciales a la ciudadanía depende en gran medida de la disponibilidad y seguridad de sus sistemas informáticos. Desarrollar planes de continuidad del negocio y recuperación ante desastres es fundamental para garantizar que, en caso de un ataque de ransomware, las agencias gubernamentales puedan restaurar sus operaciones críticas de forma rápida y eficiente, minimizando el impacto para la ciudadanía y el correcto funcionamiento del Estado.
Colaboración y cooperación: Ningún gobierno puede hacer frente a la amenaza del cibercrimen en solitario. La naturaleza transnacional de los ataques de ransomware exige una estrecha colaboración entre agencias gubernamentales de diferentes países, así como con el sector privado y organismos internacionales, para compartir información sobre amenazas emergentes, coordinar esfuerzos de investigación y persecución de ciberdelincuentes, y desarrollar estrategias conjuntas de ciberseguridad.
El costo de la inacción: Impacto económico del ransomware
Más allá de la disrupción operativa y la pérdida de datos, el ransomware tiene un impacto económico significativo para las empresas y la economía en general.
Pérdidas directas: Pago del rescate (que no garantiza la recuperación de la información y puede financiar actividades delictivas futuras), costos de recuperación de datos, contratación de expertos en seguridad y forense digital para investigar el incidente y restaurar los sistemas.
Pérdidas indirectas: Estas pueden ser aún más devastadoras que las pérdidas directas. La interrupción del negocio puede paralizar las operaciones de una empresa durante días, semanas o incluso meses. Esto conlleva pérdida de productividad, cancelación de pedidos, retrasos en la entrega de productos y servicios, y daños a la reputación que pueden tardar años en repararse.
Costos a largo plazo: Tras un ataque, las empresas suelen enfrentar inversiones adicionales en ciberseguridad para fortalecer sus defensas y evitar futuros incidentes. A esto se suma el aumento de las primas de seguros, ya que las aseguradoras consideran el riesgo de ciberataques a la hora de calcular las pólizas. Además, pueden enfrentar litigios por parte de clientes, socios comerciales o accionistas que hayan sufrido daños como consecuencia del ataque.
Uniendo fuerzas contra la amenaza: La importancia de la colaboración
Combatir el ransomware requiere un enfoque holístico que trascienda las fronteras de las empresas y los países.
La colaboración entre gobiernos, organismos internacionales, el sector privado y la sociedad civil es fundamental para crear un frente común contra esta amenaza global.
1. El papel de los gobiernos: Legislando para la resiliencia digital
Los gobiernos juegan un papel fundamental en la lucha contra el ransomware. A través de la creación de marcos legales y regulatorios que promuevan la ciberseguridad, los gobiernos pueden crear un entorno más seguro y confiable para las empresas y los ciudadanos.
Estableciendo un marco legal robusto: Es crucial aprobar leyes que tipifiquen como delito el desarrollo, la distribución y el uso de ransomware, así como establecer penas disuasorias para los ciberdelincuentes. Estas leyes deben adaptarse a la naturaleza cambiante del cibercrimen y abordar los desafíos que plantean las actividades delictivas en línea.
Promoviendo la cooperación internacional: El carácter transnacional del cibercrimen requiere una estrecha colaboración entre países para combatir eficazmente las redes de ransomware. Los gobiernos deben trabajar de manera conjunta para facilitar la extradición de ciberdelincuentes, el intercambio de información sobre amenazas y la realización de operaciones conjuntas para desmantelar grupos de cibercriminales.
Fortaleciendo la ciberseguridad del sector público: Las instituciones gubernamentales deben liderar con el ejemplo, implementando medidas de seguridad sólidas para proteger sus propios sistemas y datos. Esto incluye la adopción de estándares de ciberseguridad rigurosos, la capacitación del personal en materia de seguridad informática y la realización de auditorías de seguridad periódicas para identificar y corregir vulnerabilidades.
Invirtiendo en educación y concientización: La educación y la concienciación son pilares fundamentales para construir una cultura de ciberseguridad sólida en la sociedad. Los gobiernos deben invertir en campañas de concienciación pública para educar a los ciudadanos y las empresas sobre los riesgos del ransomware, las mejores prácticas de seguridad informática y la importancia de informar sobre incidentes a las autoridades competentes.
2. La fuerza de la unión: Colaboración público-privada
La lucha contra el ransomware no es una tarea que los gobiernos puedan abordar en solitario. La estrecha colaboración entre el sector público y el privado es esencial para crear un frente común contra esta amenaza en constante evolución.
Creando Centros de Intercambio de Información (ISAC): Los ISAC son organizaciones sin fines de lucro que facilitan el intercambio de información sobre amenazas cibernéticas entre organizaciones del mismo sector. Estos centros proporcionan un foro confidencial y seguro para que las empresas compartan información sobre vulnerabilidades, incidentes de seguridad y mejores prácticas, lo que les permite anticiparse y responder de manera más eficaz a las amenazas emergentes.
Estableciendo programas conjuntos de investigación y desarrollo: Fomentar la innovación en ciberseguridad es clave para mantenerse a la vanguardia de las amenazas en constante evolución. Los gobiernos pueden desempeñar un papel catalizador en este ámbito, estableciendo programas de investigación y desarrollo conjuntos con el sector privado y las universidades para impulsar la creación de nuevas tecnologías y soluciones de ciberseguridad.
Realizando ejercicios conjuntos de ciberseguridad: Los ejercicios conjuntos de ciberseguridad, que simulan ataques cibernéticos a gran escala, son una herramienta valiosa para probar la capacidad de respuesta de las organizaciones, identificar debilidades en los planes de continuidad del negocio y fortalecer la coordinación entre el sector público y el privado. Estos ejercicios permiten a las organizaciones probar sus planes de respuesta a incidentes en un entorno seguro y controlado, sin las consecuencias reales de un ataque real.
El ransomware se ha consolidado como una amenaza persistente y en constante evolución que requiere una respuesta integral y adaptativa. La colaboración entre gobiernos, organismos internacionales, empresas, expertos en ciberseguridad y ciudadanos es esencial para crear un frente común y combatir esta amenaza que pone en riesgo la estabilidad económica, la seguridad nacional y la confianza en el mundo digital.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Phishing Empresarial en Facebook 2024
Deepfakes 2024: La Amenaza Electoral
IAG 2030 increíbles riesgos financieros y oportunidades frente al sisma cuántico
Sextorsión: Indispensable; los desafíos para 2024
¡Increíble! IA 2024: El nuevo riesgo del día cero
Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024, Ransomware 2024,