Así funcionan el phishing y ransomware, aprenda a enfrentarlos

(CRHoy.com).-El phishing, ransomware y malware son las 3 principales amenazas cibernéticas que afectan al país.

Comprender su funcionamiento es clave para prevenirlo y así evitar ser víctima de los cibercriminales.

Y es que según estadísticas recientes del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), para enero pasado se registraron 6 billones de solicitudes de incidentes informáticos, en ese mes se contabilizaron 68 millones de bloqueos, de ellos 14,9 millones pertenecían a malware.

Pero la cifra más alta fue la de phishing, con 796 millones de bloqueos registrados mediante la herramienta Umbrella durante el primer mes del año.

Consejos de los expertos

Ante el desafío, expertos en la materia detallan el funcionamiento de todas estas ciberamenazas y brindan consejos para enfrentarlos.

Mientras que el phishing es una técnica de ingeniería social que se vale de descuidos del usuario final para robar información, el ransomware consiste en un secuestro de datos que para recuperarlos, exige un rescate económico a cambio.

Al respecto, Felix Negron, fundador y CEO de ThreatShield Security explicó durante el World Compliance Forum que "los ataques de ransomware han sido el desastre para muchas organizaciones durante los últimos 2 años, muchos gobiernos, lo que un ataque de este tipo hace es paralizar la institución, todo lo que es data digital, cualquier documento se transforma en un formato que usted no puede leer, aparece una imagen en pantalla y dependiendo de la institución, le dice: si me da $5 millones, lo ayudo a que pueda recuperar su data, dependiendo del grupo que esté atacando tiene una agenda distinta".

Ataque latente

De acuerdo con Alonso Ramírez, experto en Ciberseguridad de GBM, América fue la región del mundo donde más se reportaron incidentes de ransomware en el 2021, con más del 60% de sus variantes.

En efecto, según datos de Palo Alto Networks, estos ataques en Latinoamérica aumentaron  38% en un año. En total, hubo 180 ataques repartidos en 20 países analizados. El año pasado hubo 59 ataques en Brasil, 26 en México, 23 en Argentina, 19 en Colombia y 5 en Chile. En 2021 fueron 39 en Brasil, 23 en México, 14 en Perú, 12 en Argentina y 10 en Chile.

Los datos muestran que la industria manufacturera, servicios legales y profesionales y la construcción son los tres sectores del mercado más afectados por el ransomware. Lockbit, Hive y BlackCat (ALPHV) fueron responsables de la mayoría de los ataques en la región, que pueden producirse a través de enlaces maliciosos, falta de copias de seguridad y poca inversión en ciberseguridad. Los sitios de filtración de la Dark Web se asocian regularmente con el robo de datos.

"Se vio un aumento del 85 por ciento en la cantidad de víctimas en 2021, vemos un ataque de ransomware cada 11 segundos en nuestra región, donde creció un 21% la cantidad de variables, esa es la situación que tenemos. Cuando se está al frente de esto hay que entender dónde estoy parado y contra qué me estoy enfrentando, ¿quiénes son?

Ransomware usa vectores de infección: correo electrónico, malos desarrollos y aplicativos Web, el usuario que no hemos culturizado para informar de un correo extraño y malas costumbres a nivel tecnológico.

El elemento más importante del ataque del 2022: el usuario, que fue la ventana que quedó abierta para que el bicho se metiera, ¿qué significa eso?, que somos condescendientes con nuestros roles y privilegios que a veces se exceden o tienen acceso a todo, el maligno que conoce de eso nos busca y nos perfila por medio de las redes sociales, conoce quién es el administrador de la base de datos, el de redes, conoce toda la gerencia de TI, el de soporte técnico y nosotros lo hacemos público", explicó el especialista durante el Cybersecurity Leadership Program, organizado en conjunto entre la Universidad Latina de Costa Rica y Duke University.

Para el experto, un incidente por un ataque de ransomware en una organización es totalmente diferente a otros porque toca fibras del negocio, continuidad de su operación e implica recuperación ante desastres.

"Si conocemos el acceso a la etapa inicial, podemos establecer los controles correspondientes y enfocados al tema de culturización; no dejar de lado en la etapa de consolidación de detectar un comportamiento anómalo en el menor de los tiempos para actuar, esa es la receta del éxito, porque el impacto, el objetivo, se puede dar y se va a dar, pero mientras sea menor, vamos a ser los ganadores", agregó.

Para él, en la respuesta operativa, hay que tener un protocolo de comunicación ante una crisis por un ataque de ransomware, cómo transmitir la información de la manera correcta para no hacer más daño; los protocolos de comunicación deben estar bien claros para proteger la operación.

Para hacer frente a este tipo de amenazas recomienda activar un plan de respuesta a incidentes por ataques de ransomware, "es importante tener un paracaídas, un salvavidas, que se llama solo de una forma: el tipo de back up  o respaldos, las buenas prácticas dicen que se debe respaldar el código fuente de las aplicaciones, la copia de Active Directory, la del aplicativo, la configuración del equipo de comunicación, porque todos ellos juntos cuando se compilan, levantas una segunda operación en otro lugar.

Otro elemento importante no solo detectarlo, sino hacer trazabilidad, vamos contra ese bicho, a irlo a cazar, a entender quién fue el paciente cero, porque eso me va a servir para luego, con esa información, le puedo decir al Micitt, a la DIS, a otros colegas que en este boletín de ciberinteligencia les damos las IPs que les van a servir para estar protegidos", señala Ramírez Jiménez, quien es miembro de la Comisión de Ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC).

Finalizó enfatizando que hay que conocer las herramientas de ataque para no permitir que se instale en los sistemas de información de las instituciones.

"Si nos atacan, tengo que tener claro que hay que desconectar primero, cuál switch, qué fila tengo que cerrar y cómo hacer aislamientos de manera rápida preventiva mientras descubrimos qué pasó", concluyó.