Cómo proteger a tu organización de ataques de ransomware como servicio

El ransomware como servicio (RaaS) se ha convertido en una técnica de ataque cada vez más popular. De esta manera, los ciberdelincuentes que quieren realizar el ataque y no tienen el nivel técnico para hacerlo no tienen que preocuparse en exceso por ello para poder realizar el ataque. Basta con que se hagan con un kit de RaaS en la dark web con todo lo que necesitan y luego, con hacerlo funcionar. Para pagarlo tienen que abonar una cantidad fija, y además los que se lo vendan se suelen quedar con un porcentaje de los beneficios conseguidos en el ataque.

Este tipo de ataques comienza en un primer momento con un acceso primario, generalmente a través de una infección de malware o mediante la explotación de una vulnerabilidad de seguridad. Desde este punto pueden pasar a robo de credenciales para conseguir un nivel más elevado de acceso a una red.

Pero el objetivo siempre es el mismo: extraer datos críticos para pedir rescate por ellos. Muchos ataques basados en RaaS emplean una estrategia de doble extorsión, con la que se consiguen datos valiosos por un lado, y por otro se filtran públicamente a no ser que se pague un rescate para evitarlo.

Afortunadamente, puedes tomar varias medidas para proteger a tu empresa u organización de un ataque de este tipo, como las propuestas por Microsoft en un informe publicado en su blog de seguridad. La primera parece lógica: evitar el acceso primario, que es el que más adelante desencadena el ataque. Para ello hay que evitar que se ejecute código dañino vigilando la gestión de macros y scripts.

La segunda es segmentar la red de la organización. De esta manera conseguirás evitar que los atacantes puedan realizar movimientos laterales con base en privilegios de cuentas. Para ello utiliza niveles distintos de privilegios para las distintas cuentas.

Al mismo nivel de importancia, como tercera recomendación, está la realización de una auditoría de credenciales de cuentas. De esta forma podrás saber lo expuestas que están al exterior, y no solo evitarás ataques de ransomware, sino ciberataques en general. También es conveniente trabajar en la rebaja de privilegios para las cuentas que no tengan necesidad de tener acceso a ciertas áreas.

Por otro lado, es necesario reducir la superficie de ataque disponible. Puedes conseguirlo mediante la creación de reglas concretas que puedan ayudar a detener los ataques en sus primeras etapas. Contar con un sistema de autenticación mediante varios factores para todas las cuentas también es de gran ayuda. En el caso de las que tengan acceso de administrador, es prioritario activarlo.

En los últimos años, también se ha vuelto necesario para los usuarios que tengan un esquema de trabajó híbrido o remoto. En este caso es necesario para todos los dispositivos que usen, y desde todos los puntos desde los que trabajen. También es importante activar autenticación sin contraseña, como las claves FIDO o apps de autenticación, para los servicios y sitios compatibles.

Por otro lado, es necesario que verifiques que tus productos de seguridad están instalados de manera correcta y se prueban de manera regular. Asegúrate también de que tienen la configuración adecuada, y de que no queda ni una sola zona de tu red por proteger.

También puede resultar de ayuda eliminar las aplicaciones duplicadas o que no se usen. De esta forma eliminarás los riesgos de contar con servicios no controlados. Algunas aplicaciones, como TeamViewer, son un objetivo para los ciberdelincuentes, así que asegúrate de dónde y como las tienes permitidas.

La nube también es otra de las áreas a proteger, dado que los atacantes apuntan cada vez más como objetivo a los recursos almacenados en ella. Por eso es necesario cuidar los activos que tengas en el cloud tanto como los que guardes en local. Y por supuesto, ten siempre a punto un inventario de tus herramientas software y tus sistemas para que sepas dónde necesitas priorizar soporte y seguridad, y para que puedas parchear con rapidez los activos más críticos y sensibles.