En el año 2023, los ataques de ransomware han aumentado significativamente, y las tácticas de los ciberdelincuentes continúan evolucionando. Estos ataques no solo afectan a grandes empresas, sino también a pequeñas y medianas organizaciones.
Las amenazas de ransomware pueden cifrar datos, causar pérdidas económicas y dañar la reputación de la empresa. La rapidez con la que los ciberdelincuentes llevan a cabo estos ataques ha reducido drásticamente el tiempo que las empresas tienen para reaccionar y proteger sus sistemas.
En este artículo, exploraremos cuándo ocurren estos ataques, las razones detrás de los horarios preferidos por los atacantes, y cómo protegerse de manera eficaz durante las horas críticas.
¿Cuándo ocurren los ataques de ransomware?
De acuerdo con un informe reciente de Malwarebytes, los ataques de ransomware se dan principalmente entre las 1:00 y las 5:00 de la mañana, y también se presentan con mayor frecuencia durante los fines de semana. Los ciberdelincuentes explotan los periodos en los que las empresas tienen menos personal de seguridad monitoreando sus redes. Además, muchos empleados de TI no están disponibles durante esos horarios para detectar y mitigar los ataques de manera rápida.
Razones detrás de los horarios de estos ciberataques
Los ciberdelincuentes buscan aprovechar la falta de vigilancia durante las horas no laborales. El personal de TI de muchas organizaciones no está disponible durante la madrugada o los fines de semana, lo que les da a los atacantes el tiempo suficiente para infiltrarse en los sistemas y cifrar datos sin ser detectados. Además, los atacantes están mejorando sus tácticas, utilizando herramientas sofisticadas de administración de sistemas integradas, lo que hace que sea más difícil para las empresas identificar y bloquear los ataques de manera eficiente.
- Reducido tiempo de ataque: Las cadenas de ataque de ransomware, que antes tardaban semanas en ejecutarse, ahora pueden completarse en horas, lo que significa que las organizaciones necesitan capacidades de detección rápida y respuesta instantánea.
- Uso de herramientas integradas: Las bandas de ransomware recurren cada vez más a las técnicas Living off the Land (LOTL), es decir, aprovechan las herramientas de administración de sistemas existentes para llevar a cabo sus ataques, lo que hace más difícil la detección y prevención por parte de los equipos de TI.
Cómo protegerse durante las horas críticas
Chris Kissel, vicepresidente de investigación de seguridad y confianza de IDC, plantea a las organizaciones si tienen a alguien preparado para detener un ataque a las 2 de la mañana de un domingo con sus recursos de personal existente.
"Es posible que tengan una herramienta para recoger la alerta el lunes por la mañana, pero para entonces será demasiado tarde. Los actores de amenazas se están moviendo rápidamente para comprometer las redes, descargar datos e implementar ransomware. Tener cobertura las 24 horas del día, los 7 días de la semana a través de un servicio gestionado será clave para mantener la seguridad de su organización y, al mismo tiempo, aprovechar la rentabilidad de un equipo subcontratado", defiende.
La protección durante las horas críticas es esencial para evitar que los atacantes comprometan tu red. Aquí te dejamos algunas estrategias clave para proteger tu empresa durante estos momentos clave:
- Monitoreo continuo de la red: Para protegerte durante las horas en las que los ataques son más probables, es crucial contar con un monitoreo continuo de la red las 24 horas del día. Si no cuentas con un equipo interno disponible, considera la opción de subcontratar un SOC (Centro de Operaciones de Seguridad) para que se encargue de vigilar tus sistemas.
- Implementar EDR (detección y respuesta de endpoints): Las soluciones EDR permiten detectar rápidamente actividades sospechosas y responder antes de que el ataque logre cifrar los datos. Es fundamental implementar esta tecnología para detectar intrusiones en tiempo real.
- Copias de seguridad seguras y actualizadas: Mantén copias de seguridad de tus datos de manera regular y asegúrate de almacenarlas en un lugar seguro, fuera de la red principal. Si sufres un ataque de ransomware, puedes restaurar la información desde estas copias sin sufrir grandes pérdidas.
- Segmentación de la red: Divide tu red en segmentos para que, en caso de un ataque, no toda la infraestructura esté comprometida. Esto puede ralentizar el ataque y darle a tu equipo de TI tiempo para reaccionar.
- Autenticación multifactor (MFA): Asegúrate de que todos los accesos a sistemas y plataformas críticas estén protegidos mediante autenticación multifactor (MFA). Esto añade una capa adicional de seguridad y dificulta el acceso no autorizado, incluso si los atacantes consiguen robar credenciales.
Otras conclusiones del informe sobre ransomware
El informe también ha dejado otros datos interesantes, como que la proporción de pandillas fuera de las 15 principales bandas aumentó del 25% al 31%, indicando que el ransomware se está volviendo más accesible para una amplia gama de cibermalos.
EE.UU. habría representado el 48% de todos los ataques de ransomware en todo el mundo, pero está sufriendo el 60% de los incidentes mundiales a la educación y el 71% a la atención médica.
Asimismo, el sector manufacturero experimentó un asombroso aumento interanual del 71% en estos incidentes, lo que pone de manifiesto la necesidad de medidas sólidas de ciberseguridad en esta industria digitalizada.
Para protegerte durante las horas críticas, es fundamental contar con monitoreo continuo, soluciones EDR, y un SOC disponible las 24 horas. Además, mantener copias de seguridad seguras y entrenar al personal en buenas prácticas de seguridad son estrategias clave para mitigar los riesgos asociados con el ransomware.