La guerra contra la ciberdelincuencia y el ransomware: ¿estamos preparados?

Estamos asistiendo a un aumento de los ciberataques efectivos y destructivos que, con un solo incidente, afectan a miles de organizaciones, lo que supone un importante punto de inflexión para la guerra contra la ciberdelincuencia. En el caso del ransomware, algunos operadores están cambiando su estrategia, pasando de las cargas útiles iniciadas por el correo electrónico a centrarse en la obtención y venta del acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS) que alimenta la ciberdelincuencia. Esto significa que incluso el ransomware va más allá del simple rescate, también es una puerta de acceso. De hecho, datos recientes de FortiGuard Labs de Fortinet indican que el promedio de actividad semanal de ransomware en junio de 2021 fue más de 10 veces mayor que hace un año.

Los ataques han paralizado las cadenas de suministro de muchas organizaciones, han afectado a nuestra vida cotidiana y a nuestra productividad, y han perjudicado al comercio más que nunca. Esta ya no es una lucha sólo para los equipos de TI, los directores de seguridad de la información y profesionales de la ciberseguridad: es personal. Con una gran parte de la plantilla trabajando a distancia, así como con la educación online, todos y cada uno de nosotros somos ahora una entrada para un ataque. Pero la situación no es tan sombría como podría parecer; las fuerzas del orden y los ciberdefensores están colaborando y trabajando diligentemente entre bastidores para detectar y responder a todo tipo de amenazas, pero necesitamos colaboración. Es el momento de que todos nos remanguemos y nos unamos a la lucha contra la ciberdelincuencia.

La ciberdelincuencia se ha convertido en un gran negocio, repleto de call centers que ayudan a sus víctimas a pagar rescates, de soporte técnico, de filiales que mueven y blanquean dinero, y de quienes gestionan foros en la Dark Web para crear y vender código. Tomemos como ejemplo el ransomware como servicio (RaaS), un modelo basado en la suscripción que permite a los socios (afiliados) utilizar herramientas de ransomware que ya han sido desarrolladas por otra persona para ejecutar ataques. Los afiliados ganan un porcentaje de los beneficios, a veces hasta el 80%, si el ataque tiene éxito, y todos los demás reciben su parte. El floreciente ecosistema de la ciberdelincuencia se ha convertido, por tanto, en su propia cadena de suministro, generando más de un billón de dólares de ingresos cada año. Y esa cadena de suministro también está creciendo, porque cuentan con mejor financiación, utilizan nuevos elementos y modelos de servicio, y siguen cambiando sus tácticas y mejorando el juego.

Esto ha provocado un aumento de los ciberataques que, con un solo incidente, afectan a miles de organizaciones. El resultado es que nos encontramos en un punto de inflexión importante para la guerra contra la ciberdelincuencia. Ahora más que nunca, cada uno de nosotros tiene un papel crítico que desempeñar en el fortalecimiento de la cadena de ciberataques, para frustrar los esfuerzos en cada paso: reconocimiento, armamento, entrega, explotación, instalación, mando y control, y acciones. Por cada jugador individual en el lado equivocado, necesitamos un defensor en el lado correcto para detectarlo.

En la mayoría de los ecosistemas sofisticados, varias personas y funciones trabajan juntas. Lo mismo ocurre con la ciberdelincuencia. En la cadena de suministro de la ciberdelincuencia, los proveedores crean y producen cosas como el malware y los exploits de código cero, luego licencian, venden y comparten su tecnología con los distribuidores y afiliados, que a su vez venden sus soluciones a los clientes que dirigen esas soluciones a las víctimas: utilizan su cadena de suministro para infiltrarse mejor en las cadenas de suministro de sus víctimas

Y todo el ecosistema se ha creado con un objetivo final: el beneficio. Hay personas entre bambalinas que gestionan las transacciones, aseguran los fondos, blanquean el dinero y distribuyen los pagos. Como en cualquier empresa, pueden trabajar con gestores de cuentas que coordinan la venta. Y luego están las mulas de dinero que mueven el dinero para que no pueda ser rastreado.

La buena noticia es que ya estamos sobre ellos. Los cazadores de amenazas y los investigadores siguen los movimientos de estos delincuentes y estudian sus tácticas y playbooks para replicar y detonar sus ataques. Utilizamos mapas de calor para descubrir técnicas recientes, de modo que sabemos lo que están pensando y lo que han implementado, lo cual es clave: sus mapas de calor se convierten en hojas de ruta que nos llevan en la dirección correcta. Dado que muchas organizaciones de ciberdelincuentes operan como una empresa, los defensores podemos utilizar sus propias tácticas, datos en tiempo real, inteligencia de alta resolución, contra ellos interrumpiendo su cadena de suministro, haciendo que les resulte más caro operar y obligándoles así a cambiar de táctica.

Nuestros esfuerzos también empiezan a dar sus frutos. En lo que va de 2021 se han producido varios acontecimientos que han supuesto una victoria para los defensores. Por ejemplo, TrickBot, cuyo desarrollador original fue acusado de varios cargos en junio. Y el desmantelamiento coordinado de Emotet, una de las operaciones de malware más prolíficas de la historia reciente, así como las acciones para interrumpir las operaciones de ransomware, como Egregor y NetWalker. Estas victorias significan el impulso de los ciberdefensores, incluida la colaboración entre los gobiernos mundiales y las fuerzas del orden. El Departamento de Justicia de EE UU envió un mensaje contundente cuando acusó a un afiliado de NetWalker que se llevó 28 millones de dólares, una de las primeras veces que las fuerzas de seguridad han perseguido al socio comercial y no sólo al desarrollador. Es necesario que esto ocurra más a menudo; si los afiliados corren el riesgo de ser procesados, no estarán tan dispuestos a participar. La atención que han suscitado algunos de estos desmantelamientos ha obligado a algunos operadores de ransomware a anunciar el cese de sus operaciones.

Cualquiera puede unirse a la lucha contra la ciberdelincuencia. Si nos formamos en las mejores prácticas de ciberhigiene, colaboramos con otros defensores y aprovechamos herramientas como la inteligencia artificial (IA) para detectar y aplicar contramedidas, podemos ir un paso por delante de los malos. Reaccionar ante una brecha de seguridad es una cosa, pero detenerla antes de que pueda causar daños es otra. La detección automatizada de amenazas y la IA son herramientas fundamentales para que las organizaciones puedan hacer frente a los ataques en tiempo real y mitigarlos a velocidad y escala, especialmente en los puntos finales individuales. Es necesario implementar enfoques Zero Trust para permitir el acceso seguro para el teletrabajo y la educación a distancia por lo que es clave la formación en ciberseguridad. A todo el mundo le vendría bien un poco de formación y educación sobre las mejores prácticas para mantener la seguridad a nivel personal y de empresa.

Una forma fácil de adquirir conocimientos sobre ciberseguridad es a través de los amplios programas de formación y educación del Instituto de Formación de Fortinet (NSE) que forma parte de la Agenda de Avance de la Formación (TAA) de Fortinet, que ofrece cursos gratuitos para cualquier persona interesada en aprender sobre ciberseguridad, así como programas más avanzados para profesionales de la ciberseguridad. Aprender algunos aspectos básicos de la ciberguerra sólo puede ayudarnos a todos a fortificarnos contra los ataques. La protección y los gestores de contraseñas pueden ayudar a proteger la información personal; aprender qué hay que tener en cuenta en los correos electrónicos de phishing y en las estafas de malvertising (una táctica maliciosa que intenta distribuir malware a través de anuncios online) puede animarnos a no caer en estas estratagemas de ingeniería social que utilizan la psicología para manipularnos y que divulguemos información confidencial.

Alinear las fuerzas a través de la colaboración también debería ser una prioridad para interrumpir las cadenas de suministro de los ciberdelincuentes. Cuanto más compartamos los datos y la información sobre amenazas, más eficaces y coordinadas serán nuestras respuestas. La formación continua en materia de ciberseguridad, así como las tecnologías de prevención, detección y respuesta potenciadas por la IA e integradas en todas partes -en los endpoints, las redes y la nube- siguen siendo herramientas fundamentales en la guerra contra la ciberdelincuencia.

Es evidente que la ciberdelincuencia no va a desaparecer a corto plazo, pero a medida que los ciberdelincuentes se vuelven más sofisticados y creativos, nosotros también lo hacemos, al mismo tiempo. La colaboración y el intercambio de información sobre amenazas entre las empresas, las fuerzas de seguridad y las entidades gubernamentales ayudan a descubrir a los malos actores. Y cuando son derribados, les cuesta más recuperarse. Algunos afiliados están abandonando por completo sus organizaciones delictivas porque también se han convertido en objetivo de las fuerzas del orden. Así pues, hemos observado descensos prometedores en la actividad de las amenazas que validan nuestros esfuerzos, pero aún queda trabajo por hacer. Nos encontramos en un punto de inflexión crítico en lo que respecta a la lucha contra la ciberdelincuencia, y todos queremos estar en el lado correcto de la historia.