Preguntas frecuentes de expertos: ¿Por qué las compañías siguen pagando ransomware?
Si no se pagaran los rescates, es probable que el ransomware dejara de existir.
Sin embargo, la investigación sugiere que muchas compañías todavía están dispuestas a pagar luego de un ataque de ransomware, perpetuando el ransomware como el tipo de ataque más común.
Nos sentamos con Raghu Nandakumara, Director Senior de Marketing de Soluciones Industriales de Illumio, para discutir los factores que llevan a las organizaciones a pagar rescates a pesar de sus riesgos de reputación, financieros y de seguridad.
Con lo que parece ser una cantidad interminable de información sobre políticas de seguridad de datos y muchos proveedores de servicios de seguridad, ¿por qué las compañías continúan siendo víctimas de ransomware?
Los ataques como el ransomware son más generalizados que nunca. Sin embargo, demasiadas compañías todavía dependen únicamente de las herramientas tradicionales de prevención y detección que no fueron diseñadas para contener y detener la propagación de infracciones.
Efectivamente, esto significa que las organizaciones se arriesgan a poder recuperar de la falla en lugar de ser resistentes contra la falla a través de su capacidad para contener la propagación de un ataque de ransomware.
La mayoría de las veces, los planes de recuperación son inadecuados o no se probaron adecuadamente, lo que los hace inviables cuando ocurre un incidente real. Como resultado, las organizaciones no tienen más remedio que pagar el rescate para restaurar las operaciones y los niveles de productividad lo más rápido posible.
Los actores de ransomware también son conscientes de que los planes de recuperación suelen ser deficientes. Se dirigen intencionalmente a organizaciones y operadores de servicios esenciales cuando este es el caso, para obtener la mayor probabilidad de recompensa.
¿Qué escuchó de los dueños de negocios sobre por qué no están implementando sistemas de seguridad que incluyan protección contra ransomware?
Lo más común que escuchamos es "Tengo detección y respuesta, esa es mi protección" o "Tenemos planes adecuados de recuperación ante desastres, por lo que podemos recuperarnos con confianza si somos atacados".
Sin embargo, ni la detección y respuesta ni los planes de recuperación proporcionan una solución 100 por ciento a prueba de balas para detener el impacto del ransomware.
Pagar un rescate no se trata solo del dinero. Se trata de la suspensión de negocios, la pérdida de reputación si el ataque se hace público y más: ¿cómo se transmite este mensaje a quienes están en riesgo?
Creo que el mensaje más importante es que todas las compañías están en riesgo. El ransomware es ahora el tipo de ataque más común, por lo que ya no se trata de si una organización sufrirá un ataque, sino de cuándo.
Tanto los líderes empresariales como los de seguridad deben adoptar una mentalidad de "asumir la infracción": su enfoque debe estar en la contención de brechas en lugar de la prevención para garantizar que el ransomware esté aislado en el punto de entrada.
Además, necesitamos ver una mayor educación entre los equipos de TI sobre la evolución del ransomware. Los ciberdelincuentes ahora están empleando formas más sofisticadas para evadir las protecciones de ciberseguridad, y esto significa que los sistemas de detección de ransomware por sí solos no pueden detener todos los ataques.
Las técnicas de solo detección ya no son suficientes para proteger a las organizaciones. Implementar métodos de protección por adelantado es la única forma de proteger contra la nueva generación de ataques.
Para las organizaciones que caen bajo el paraguas de la infraestructura nacional crítica (CNI), el mensaje debe centrar en las ramificaciones más allá del resultado final. Las funciones que brindan estos operadores son esenciales para la sociedad y pueden representar un riesgo potencial para la salud, la seguridad y la economía si se interrumpen. Los operadores de CNI tienen la responsabilidad de mantener estos servicios.
La recuperación no es suficiente, deben ser resilientes.
¿Qué alentaría a las organizaciones a hacer para fortalecer su postura de seguridad para que el ransomware ya no sea una amenaza?
Reducir la amenaza del ransomware requerirá una combinación de tecnología y legislación.
Las organizaciones deben implementar la arquitectura de seguridad adecuada para eliminar la propagación de infracciones, incluida la implementación de herramientas de confianza cero, incluida la segmentación de confianza cero (ZTS) y la detección y respuesta de endpoints (EDR).
Al mismo tiempo, pagar ransomware genera más ataques. En última instancia, cuanto más lucrativo sea un ataque, más ciberdelincuentes lo harán, por lo que la única forma de erradicar por completo el ransomware es detener los pagos.
Sin embargo, esto requerirá una nueva legislación para que el pago de ransomware sea ilegal. Ya estamos viendo cada vez más directivas gubernamentales que obligan a las organizaciones a informar sobre el ransomware en los EE. UU., y es probable que el Reino Unido siga su ejemplo.
Las organizaciones también deben emplear los cinco pilares del Marco de Ciberseguridad del NIST para ayudar a crear resiliencia contra el ransomware. Todos son esenciales para la defensa contra el ransomware y requieren inversión.

¿Qué consejo le daría a un CFO, CIO y CEO con respecto al ransomware?
Para los directores financieros: cuanto más tiempo se tarde en identificar, mitigar y resolver un ataque, mayor será el costo. Cerciorar de que su organización invierta continuamente en capacidades para mejorar la resiliencia cibernética y priorice las inversiones que tengan un ROI cuantificable, como la segmentación de confianza cero.
Para los CIO: Asume siempre la infracción. Si puede desarrollar resiliencia y detener la propagación del ransomware dentro de su red, será mucho más fácil controlar y remediar un ataque. Sin embargo, fortalecer la resiliencia cibernética es un deporte de equipo. Requiere la colaboración entre múltiples funciones de la organización para desarrollar un plan que mejore la seguridad y permita la transformación. Las partes interesadas deben involucrar desde el principio, mantener informadas en todo momento y participar en el plan.
Para los directores ejecutivos: la resiliencia cibernética debe ser un tema a nivel de la junta. Si lo haces bien, podrás garantizar la productividad, proteger la marca y la reputación, generar confianza y fortalecer el cumplimiento. Recuerde, no todos los ataques de ransomware tienen que terminar en un gran fracaso empresarial. Al contener el ataque en el punto de entrada, puede detener el ransomware antes de que comience, protegiendo los sistemas y datos críticos y ahorrando millones en costos anuales de tiempo de inactividad.
Descubra cómo Illumio Zero Trust Segmentation puede ayudar a sus organizaciones a contener el ransomware y nunca pagar un rescate. Contáctenos hoy para una consulta y demostración.