¿Qué es una simulación de ransomware? | IT Masters Mag

ESPECIAL

¿Qué es una simulación de ransomware? Expertos explican sus beneficios



Dirección copiada


Mediante estas pruebas, los equipos conocen sus propias capacidades de defensa, pueden prepararse y anticipar acciones.

Publicado el 30 may 2023





El ransomware es una pesadilla costosa. Para defenderse de este, algunos estrategas de seguridad IT consideran importante realizar periódicamente un ejercicio que simule un ataque de este tipo.

Una simulación de ransomware es un ejercicio proactivo, que forma parte de la estrategia de protección de información valiosa. De una forma contenida, se prueban técnicas y acciones recomendables en caso de ser víctimas de un ataque.

Mediante estas pruebas, los equipos conocen sus propias capacidades de defensa, pueden prepararse y anticipar acciones a partir de conocer qué tan vulnerable es su red.

“Estar a ciegas es el peor escenario en materia de ciberseguridad”, advirtió el socio de PwC Argentina, Uruguay y Paraguay, Diego Taich al presentar recientemente el análisis Ciberamenazas 2022: un año en retrospectiva. Añadió que la amenaza que no se conoce, el ataque que no se ve venir, el delincuente que se esconde en sus redes sin ser detectado es lo que puede ocasionar serios problemas a las organizaciones.

De acuerdo con el Internet Crime Report 2022 del FBI, tan solo en Estados Unidos, el año pasado el Internet Crime Compliant Center (IC3, por sus siglas en inglés) recibió 2,385 quejas por este tipo de ciberataque. Estos casos generaron pérdidas por más de $34.3 millones de dólares.

Beneficios de una simulación de ransomware

De acuerdo con el Regional Sales Engineer de Crowdstrike, Juan Ortiz, una simulación ayuda a entender cómo trabaja la cadena de ataque en un ransomware para extraer o secuestrar los datos.

“Durante un ejercicio de este tipo se puede observar qué sucede en los equipos, en todo el ambiente, e incluso es una oportunidad para elegir las herramientas adecuadas para poder responder y reaccionar si se presenta una situación como esta”, comentó.

“Para prevenirse hay que saber cómo nos pueden atacar o de dónde puede venir la vulneración”, Juan Ortiz. Foto: Maricela Ochoa

El experto en ciberseguridad y en desarrollo de aplicaciones seguras, Romeo Sánchez, consideró que hacer una simulación de ransomware debe enfocarse en estar preparados para responder y reaccionar rápidamente.

Sin embargo, apuntó que quizá sea más importante lograr que esta actividad contribuya a crear conciencia en el personal de ciberseguridad de una organización. Cuando una compañía se prepara para hacer una simulación de ransomware, dijo, lo primero que hay que definir es el objetivo de la actividad y cómo se utilizarán los resultados obtenidos.

El especialista de Crowdstrike señaló que para defender “la joya de la corona” de la organización hay tres pasos básicos: prevenir el impacto, limitarlo y conocer una solución.

Herramientas preventivas

Ortiz afirmó que para el tema de prevención es importante tener un software de seguridad en el endpoint, en los servidores o donde resida la información más valiosa.

También hay que prever qué se hará en caso de que aparezca un atacante con un ransomware que empiece a cifrar la información o a impedir el acceso a ella. Es una oportunidad para definir si se va a participar en el chantaje. La mayoría de las organizaciones tienen una política de pagar el rescate.

En el punto de limitar el impacto, algunos oficiales de seguridad procuran tener almacenada la información como respaldo en otro sitio. Eso les da margen de maniobra.

Respecto al tercer aspecto, resulta vital definir procesos de respuesta a incidentes luego de saber lo que está pasando para buscar una solución al problema.

¿Qué hacer? ¿Por dónde comenzar?

Cuando se va a hacer una simulación de ransomware, Ortiz consideró que es de gran importancia trabajar con escenarios reales. El CISO orquesta la estrategia para defenderse y dispone de grupos como el Red Team y el Blue Team. En este contexto, los dos equipos no se deben de hablar.

Por cuestiones de presupuestos y de recursos humanos, no siempre los integrantes del Blue y del Red Team pertenecen a la empresa; se les puede contratar para realizar esos ejercicios.

La decisión dependerá de las habilidades que tenga el equipo para preparar un laboratorio por su cuenta en el cual realizar las simulaciones y del presupuesto que se disponga. Sánchez indica que es necesario contar con muestras de ransomware o software que simule ser un ransomware para poder desplegarlo de manera controlada y muy objetiva; de esta manera se evitará que la práctica se salga de control.

Impedir que esto último ocurra dependerá de la experiencia y conocimiento que tenga el equipo respecto a malware. Quienes participan en una simulación de este tipo deben tener una preparación previa, estar capacitados y conocer la importancia de lo que se desea proteger.

Postmortem de la simulación

Sánchez aseveró que al final no solo hay que saber qué se hizo bien, sino qué se puede mejorar. “La idea de estos ejercicios es la mejora continua: estar preparados para hacerlo mejor la próxima vez. Es como un examen. Hay que identificar cuáles son las debilidades que se tienen, para así enfocarse en remediarlas y fortalecerse, de manera que el equipo esté preparado para que no vuelva a pasar lo que se haya evaluado mal durante el ejercicio”.

Romeo Sánchez: Cuando una compañía se prepara para hacer una simulación de ransomware, lo primero que hay que definir es el objetivo de la actividad y cómo se utilizarán los resultados obtenidos. Foto cortesía del entrevistado.

En cuanto a crear conciencia en el equipo, resulta urgente que el oficial de seguridad muestre los resultados a quien libera los presupuestos para que dimensione los riesgos que hay cuando no se tiene la capacidad de aplicar adecuadamente la estrategia de seguridad y del valor que tiene estar prevenidos ante un ransomware.

Aunque, cada vez hay más que perder, en muchas organizaciones no hay preparación para afrontar ataques de ransomware. 42% de los CISO que participaron en el reporte de Proofpoint, 2022 Voice of the CISO Report, reconoció que no ha elaborado ni siquiera una política sobre rescates.

En opinión de Sánchez, la simulación es una forma muy rentable de mejorar la seguridad en la organización. Desde el punto de vista financiero, un ataque de ransomware puede ser muy costoso. Considera más conveniente invertir en hacer este tipo de ejercicios.

Por su parte, Ortiz afirma que una estrategia de seguridad no es un proyecto para tres meses. Es continua y debe tener aplicación de acuerdo a los tiempos que se definen para ir mejorando e ir aplicando las acciones. Por ello habría que considerar repetir las simulaciones con cierta periodicidad.

Finalmente, Sánchez indica que una simulación de ransomware puede ser como un juego de roles para el personal de seguridad IT de una organización. “Cada quien debe entender cuál es su responsabilidad en el momento y tratar de cumplir con lo que tiene que hacer de la manera más realista posible”.

“Y, algo muy importante es que una simulación de ransomware nunca debe ser vista como un reemplazo para la capacitación constante o la mejora continua en las prácticas de seguridad. Las complementan, no las reemplazan”, puntualizó el entrevistado.

Artículos relacionados

Artículo 1 de 3