Análisis de riesgo, el primer paso para contratacar el ransomware

Ante la creciente tendencia que se ha registrado durante el presente año en ciberataques a empresas basados en ransomware, S21sec asegura que un análisis de riesgo es la mejor manera de contrarrestar este escenario cada vez más común. De hecho, en México ya hemos vivido la segunda extorsión por ransomware con el rescate más elevado hasta el momento.

El objetivo principal de este tipo de ciberataque por virus tipo ransomware actualmente es el bloqueo al acceso a la información en un porcentaje considerable de los equipos, y que los cibercriminales utilizan para exigir el pago de un rescate a cambio de recuperar el acceso a los mismos.

Según María Eugenia Flores, Líder del área de Consultoría (certificación) de S21sec, es importante aclarar la diferencia entre un incidente y una violación a la seguridad digital. El primero es un escenario en donde una amenaza explota una vulnerabilidad o un conjunto de vulnerabilidades y que compromete la integridad, la confidencialidad o la disponibilidad de un activo de información, el cual es definido (de acuerdo con la Norma 27001) como todos aquellos datos relevantes que posee una empresa y que desea proteger frente a cualquier situación que suponga un riesgo o amenaza. Por su parte, una violación da como resultado la divulgación de datos sensibles a una parte no autorizada.

Casos ocurridos en América Latina, como el de Everis, Cadena SER o Prosegur, provocan parálisis en la atención a los clientes, sin olvidar que durante el verano pasado un malware fue ingresado a las redes informáticas del gobierno de la ciudad New Bedford, en Massachusetts, donde el objetivo principal de los cibercriminales fue la exigencia de un elevado rescate.

En opinión de la especialista, el gran problema de estos ataques es, justamente, que las consecuencias no implican sólo pérdidas monetarias o de datos, sino que afectan otros activos intangibles, como la reputación corporativa de las compañías o las entidades gubernamentales.

“Lamentablemente en fechas recientes podemos encontrar diferentes casos empresariales de violación en ciberseguridad que han sido consumados”, explica la experta, y recalca: “sin embargo, muchos no son denunciados como tales, ya que la afectación en los niveles de confianza que conllevan podría crear una crisis de reputación que causaría efectos económicos más graves a las organizaciones”.

Afortunadamente, es posible prevenir en gran medida el riesgo de sufrir un ataque cibernético a través de prácticas y programas enfocados para prevenir, evitar y mitigar el impacto de estas amenazas a las que las empresas están normalmente expuestas.

“Es necesario establecer políticas de seguridad y mecanismo para identificar cuáles son los activos más importantes que una empresa debe proteger y a qué peligros se enfrentan, antes de que estos lleguen a sus redes informáticas, y realizar un análisis de riesgo adecuado es el primer paso para lograrlo”, asevera la experta.

El proceso de análisis de riesgo abarca evaluaciones cualitativas y cuantitativas sobre la posibilidad de que un activo de información sufra una pérdida o daño, con el fin de evitar la interrupción del negocio, pérdidas económicas y hasta posibles daños en la reputación de una marca u organización.

“Desafortunadamente la prioridad en la inversión a la ciberseguridad puede ser un obstáculo: considerar el análisis de riesgo más como un gasto en vez de una necesidad evita que seamos capaces de ver el beneficio de sentirnos tranquilos ante cualquier eventualidad y estar preparados para hacerle frente” explica la experta, y subraya: “Además de los ciberataques existen desastres naturales o amenazas climáticas, como temblores o inundaciones, que también suponen un peligro para las operaciones de una empresa, y que también son considerados al momento de llevar a cabo un análisis de riesgo para establecer planes de contingencia y de recuperación ante desastres”.

Se debe entender que el análisis de riesgo es una metodología que ayuda a detectar y prevenir daños en la información, pero es indispensable hacer un cambio de conciencia y dejar de pensar que algo como un ciberataque o un desastre natural nunca nos va a ocurrir a nosotros como empresarios. “Hoy más que nunca, con la acelerada evolución de las tecnologías de la información, la prevención siempre será el camino más viable para protegernos, porque todos estamos expuestos a sufrir algún tipo de incidente informático”, concluye la especialista.