Día: 6 diciembre, 2017

Ransomware como Servicio: otro reto a la disponibilidad empresarial

Seguramente, al igual que yo, ha escuchado sobre el Ransomware como Servicio (RaaS). Para mí, este concepto representó un disparador de alerta en lo que respecta al nivel real de amenaza que se podría estar enfrentando muy pronto. Creo, incluso, que cambiará la forma en que conocemos a las tecnologías de la información (TI).

Ahora que el Ransomware es tan f√°cil de crear, no hay duda de que veremos una escalada de amenazas internas. Anteriormente, el malware era s√≥lo para hackers expertos ‚Äďpero en la actualidad cualquiera puede hacer un Instalador de ransomware customizado porque todo lo que se necesita son unos cuantos clics en un sitio web. ¬°Sin esfuerzo! Despu√©s de eso, todo lo que el malvado personaje hipot√©tico tiene que hacer es correr el instalador en cualquier computadora y esperar el pago del rescate. ¬ŅEst√° viendo el problema?

Algunos podr√≠an decir que esto no es una nueva amenaza, y hablar de c√≥mo el principio de privilegios m√≠nimos y restricciones f√≠sicas de acceso al servidor son cada vez m√°s importantes que nunca. Pero estar√≠an equivocados. √Čsta es, de hecho, una amenaza dram√°ticamente nueva, porque ahora hay dinero involucrado. Potencialmente, mucho dinero.

En cierta medida, el concepto de Ransomware como Servicio no es diferente de lo que fue desplegar el antiguo virus de la carta bomba (letter bomb virus) en la clase de c√≥mputo en la universidad (levante la mano si usted es tan viejo como yo, y para quienes no lo sean, se trataba de una broma com√ļn cuando yo era estudiante).

Luego todos crecimos, conseguimos un trabajo en el explosivo mercado de TI y algunos se disgustaron con su empleador. Fue ah√≠ que las empresas comenzaron a darse cuenta de que las amenazas potenciales provienen del interior, as√≠ que mucha gente hizo cosas malas s√≥lo porque estaban disgustados con el jefe. Esto era suficiente para justificar la molestia y el riesgo, pero el dinero ni siquiera estaba en la imagen. En esos casos, se extraviaron datos de manera irreversible, la compa√Ī√≠a perdi√≥ millones y la persona fue a la c√°rcel; pero todo fue porque alguien estaba molesto.

Pero ahora, tener dinero involucrado cambia todo. Gracias al potencial rescate, de repente existe la verdadera raz√≥n para asumir ese riesgo. Y lo que es peor, usando el conocimiento √≠ntimo del proceso de negocio de una empresa, los iniciados se pueden dirigir deliberadamente a los sistemas que contienen los datos m√°s preciosos para la organizaci√≥n y, de esta forma, garantizar que la compa√Ī√≠a no tendr√° m√°s remedio que pagar un rescate de siete cifras porque, al final, ser√° la forma m√°s barata de recuperarse.

Entonces, ¬Ņqu√© significa Ransomware como Amenaza de Servicio? Por un lado, los CIOs ya no pueden confiar en nadie. El dicho de que “todos tenemos un precio” es lamentablemente cierto. Incluso las personas con los m√°s altos est√°ndares morales a veces no pueden resistir a cometer un crimen cuando la recompensa es potencialmente alta o necesitada (porque su hijo est√° muriendo y le urge la informaci√≥n), de forma que ning√ļn negocio puede hoy d√≠a arriesgarse a tener “confianza” como parte de su estrategia de TI. Hay que estar permanentemente preparados para las peores cosas, potencialmente ejecutadas por sus propios empleados, por una raz√≥n muy simple: dinero.

Preg√ļntese a s√≠ mismo: ¬ŅCu√°l es su plan si un colega que acaba de salir de vacaciones se registra remotamente en su red desde alg√ļn pa√≠s del Medio Oriente, elimina todos los respaldos en l√≠nea (tanto los primarios como sus copias) y pega el instalador en los servidores de producci√≥n? Sin duda, esto es mil veces m√°s f√°cil de hacer en su entorno que robar un banco. Y por desgracia, realmente no se puede evitar que esto pase sin limitar al personal de TI a realizar sus actividades de trabajo.

Entonces, ¬Ņc√≥mo pueden las empresas protegerse contra las amenazas internas? Garantizando la disponibilidad. Tres palabras son la clave: air gapped backups (respaldos offline que no pueden ser manipulados o eliminados remotamente). Los permisos estrictos no ayudar√°n, ya que las credenciales correctas se pueden obtener con un keylogger o mediante ingenier√≠a social. Sin embargo, algo tan simple como discos duros externos o cintas en la caja fuerte del ejecutivo resuelven el problema completamente.

¬ŅQu√© pasa si tiene un gran n√ļmero de datos y odia las cintas? Hay sistemas de almacenamiento “read-only-ness” implementados en el firmware, pero tambi√©n es necesario garantizar su seguridad f√≠sica. O simplemente puede ir con el proveedor de servicios que mantendr√° una copia de sus respaldos de forma que las haga no manejables remotamente (por ejemplo, en la red privada sin conexi√≥n a Internet o en cintas), y esto asegurar√° que nadie de su empresa pueda eliminar sus datos.

Realmente deber√≠a actuar e implementar ahora, porque ma√Īana, ¬°podr√≠a ser demasiado tarde!

 

 

Por: Anton Gostev,

Vicepresidente de Producto,

Veeam Software.