De acuerdo con SonicWall, los ataques de ransomware disminuyeron un 21 % a nivel mundial en 2022. Sin embargo, aún fue el segundo año con la mayor cantidad de intentos de ransomware registrados, con 493,3 millones de intentos. Además, el informe destacó a Colombia como uno de los diez paÃses más atacados por ransomware. El paÃs ocupa el sexto lugar en el estudio.
Para entender este fenómeno, Radio Digital América conversó con Alejandro Agudelo, director de operaciones del grupo A3Sec, empresa global especializada en blindar activos digitales, quien nos explicó el alcance de los ataques ransomware en Colombia, y cómo contrarrestarlos. Esto fue lo que nos dijo:
RDA: De acuerdo con SonicWall, empresa que publica los datos de ransomware más citados y la inteligencia de ciberataques más fiable del mundo, emitió un informe en febrero de este año en donde menciona que Colombia está entre los diez paÃses más atacados por ransomware (febrero de 2023). En ese sentido, ¿cómo A3Sec explica este fenómeno? , es decir, ¿por qué ocurre?
Alejandro Agudelo: Los ciberdelincuentes encuentran atractivo el entorno colombiano debido a diversas razones. Por un lado, Colombia se encuentra en una zona geopolÃtica compleja, con una frontera compartida con un paÃs polÃticamente inestable y una posición geográfica disputada entre potencias. Mientras Venezuela muestra una clara influencia rusa, Colombia ha mostrado preferencia por paÃses de occidente. Esta situación crea un ambiente propicio para la incursión de ciberdelincuentes.
Por otro lado, en nuestro paÃs se ha experimentado un notable desarrollo tecnológico en la región. Las circunstancias han favorecido la digitalización de las actividades de los ciudadanos, tanto en trámites gubernamentales como en su vida cotidiana, incluyendo pagos y compras. Esto ha creado un caldo de cultivo perfecto no solo para el avance de nuevas tecnologÃas, sino también para la sofisticación de los delitos cibernéticos.
RDA: ¿Qué deberÃan hacer las empresas para contrarrestar los ataques de ransomware?
Alejandro Aguledo: Un ataque de ransomware no debe considerarse como un evento aislado. Al analizar este tipo de ataques, queda claro que el ransomware es el paso final en la secuencia que los ciberdelincuentes siguen. Los pasos más comunes incluyen obtener acceso inicial comprometiendo las credenciales de un usuario, escalar los privilegios de ese usuario o buscar comprometer a otros usuarios en la red, exfiltrar datos y, finalmente, ejecutar el ransomware. Por esta razón, establecer una arquitectura de seguridad basada en un modelo que defina claramente los controles a implementar en cada ambiente de la organización es el primer paso para proteger la información y el negocio de la empresa.
Es fundamental tener una identificación precisa de la infraestructura a monitorear y trabajar diariamente en el desarrollo de capacidades de detección. Esto proporcionará las herramientas necesarias para identificar tempranamente a los atacantes en la red. Además, es crucial tener definidos, probados y comunicados los pasos a seguir en caso de un incidente de seguridad. Estas estrategias contribuirán a reducir el riesgo de sufrir un ataque y, en caso de que ocurra, minimizar su impacto.
RDA: En general, ¿cuáles serÃan las recomendaciones tecnológicas y estratégicas de A3Sec para bajar el volumen de amenazas cibernéticas como malware de IoT e intentos de intrusión, que de acuerdo con el reporte de SonicWall se espera haya un aumento mayor, para Latinoamérica y Colombia, en este 2023?
Alejandro Agudelo: Es importante tener una estrategia de identificación de activos que sea dinámica y constante. Esto implica estar al tanto de los activos de la organización y su estado de seguridad en todo momento. Asimismo, es necesario contar con una definición clara de los controles necesarios para proteger estas infraestructuras.
La correcta segmentación de la red también juega un papel crucial en la minimización del riesgo de propagación de ataques. Al dividir la red en segmentos más pequeños y restringir el acceso entre ellos, se limita la capacidad de los ciberdelincuentes para moverse lateralmente en caso de una intrusión.
Un componente esencial es trabajar constantemente en la estrategia de detección. Esto implica implementar soluciones de monitoreo y análisis de seguridad que permitan identificar actividades maliciosas en tiempo real. Además, es fundamental mantener una comunicación fluida con grupos de respuesta a incidentes, compartiendo información de inteligencia sobre amenazas conocidas y emergentes. De esta manera, se pueden detectar campañas maliciosas dirigidas hacia las infraestructuras protegidas.
Lanzar ejercicios de caza de amenazas también puede ser una práctica valiosa. Estos ejercicios consisten en simular ataques controlados dentro de la infraestructura protegida para identificar posibles brechas en la protección y mejorar las capacidades de detección ante nuevas amenazas.
En resumen, para el vocero de A3Sec, una estrategia integral de protección contra ransomware incluye una identificación constante de activos, definición de controles, segmentación de red, estrategia de detección, colaboración con grupos de respuesta a incidentes y ejercicios de caza de amenazas. Al implementar estas medidas, se fortalece la seguridad de la organización y se reduce el riesgo de sufrir ataques de ransomware.
