Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?
Si los ransomware no se pagaran, el ransomware probablemente dejaría de existir.
Todavía investigación sugiere que muchas empresas todavía están dispuestas a pagar después de un ataque de ransomware, perpetuando el ransomware como tipo de ataque más común.
Nos sentamos con Raghu Nandakumara, Director Senior de Marketing de Soluciones Industriales de Illumio, para discutir los factores que llevan a las organizaciones a pagar los resandos a pesar de sus riesgos reputacionales, financieros y de seguridad.
Con lo que parece ser una cantidad interminable de información sobre políticas de seguridad de datos y una gran cantidad de proveedores de servicios de seguridad, ¿por qué las empresas continúan siendo víctimas del ransomware?
Ataques como ransomware son más omnipresentes que nunca. Sin embargo, demasiadas empresas todavía dependen únicamente de las herramientas tradicionales de prevención y detección que no fueron creadas para contener y detener la propagación de brechas.
Efectivamente, esto significa que las organizaciones están tomando sus riesgos para poder recuperarse de una falla en lugar de ser resilientes frente a fallas a través de su capacidad para contener la propagación de un ataque de ransomware.
La mayoría de las veces, los planes de recuperación son inadecuados o no han sido probados adecuadamente, lo que los hace inviables cuando ocurre un incidente real. Como resultado, las organizaciones no tienen otra opción que pagar el rescate para restaurar las operaciones y los niveles de productividad lo más rápido posible.
Los actores del ransomware también son conscientes de que los planes de recuperación suelen ser deficientes. Se dirigen intencionalmente a organizaciones y operadores de servicios esenciales donde este es el caso, para mayor probabilidad de recompensa.
¿Qué ha escuchado de los dueños de negocios sobre por qué no están implementando sistemas de seguridad, incluida la protección contra ransomware?
Lo más común que escuchamos es “tengo detección y respuesta, esa es mi protección” o “Tenemos planes adecuados de recuperación ante desastres, para que podamos recuperarnos con confianza si somos atacados”.
Sin embargo, ni los planes de detección y respuesta ni de recuperación proporcionan una solución 100% a prueba de balas para detener el impacto del ransomware.
Pagar un rescate no se trata solo del dinero. Se trata de la suspensión de negocios, la pérdida de reputación si el ataque pasa a ser de conocimiento público, y más. ¿Cómo se puede dirigir este mensaje a los que están en riesgo?
Creo que el mensaje más importante es que todos los negocios están en riesgo. El ransomware es ahora el tipo de ataque más común, por lo que ya no se trata de si una organización va a sufrir un ataque sino cuándo.
Tanto los líderes de negocios como de seguridad deben adoptar un”asumir una violación“mentalidad: Su enfoque debe estar en la contención de brechas en lugar de la prevención para garantizar que el ransomware esté aislado en el punto de entrada.
Además, necesitamos ver una mayor educación entre los equipos de TI sobre la evolución del ransomware. Los ciberdelincuentes ahora están utilizando formas más sofisticadas de evadir las protecciones de ciberseguridad, y esto significa que los sistemas de detección de ransomware por sí solos no pueden detener todos los ataques.
Las técnicas de detección solamente ya no son suficientes para proteger a las organizaciones. Poner en marcha métodos de protección por adelantado es la única manera de protegerse contra la nueva clase de ataques.
Para las organizaciones que caen bajo el paraguas de la infraestructura nacional crítica (CNI), el mensaje debe centrarse en ramificaciones más allá del resultado final. Las funciones que brindan estos operadores son esenciales para la sociedad y pueden representar un riesgo potencial para la salud, la seguridad y la economía si se interrumpen. Los operadores del CNI tienen la responsabilidad de mantener estos servicios.
La recuperación no es suficiente, deben ser resilientes.
¿Qué alentaría a las organizaciones a hacer para fortalecer su postura de seguridad para que el ransomware ya no sea una amenaza?
Reducir la amenaza de ransomware requerirá una combinación de tecnología y legislación.
Las organizaciones deben implementar la arquitectura de seguridad adecuada para eliminar la propagación de brechas, incluida la implementación de herramientas Zero Trust, que incluyen Segmentación de confianza cero (ZTS) y detección y respuesta de puntos finales (EDR).
Al mismo tiempo, pagar ransomware genera más ataques. En última instancia, cuanto más lucrativo sea un ataque, más ciberdelincuentes lo harán, por lo que la única manera de erradicar completamente el ransomware es detener los pagos que se realizan.
Sin embargo, esto requerirá una nueva legislación para hacer ilegal el pago de ransomware. Ya estamos viendo un aumento de las directivas gubernamentales que obligan a las organizaciones a informar sobre el ransomware en los Estados Unidos, y es probable que el Reino Unido siga su ejemplo.
Las organizaciones también deben utilizar los cinco pilares del Marco de Ciberseguridad del NIST para ayudar a desarrollar la resiliencia contra el ransomware. Todos son esenciales para la defensa contra el ransomware y requieren inversión.

¿Qué consejo le daría a un CFO, CIO y CEO con respecto al ransomware?
Para los CFO: Cuanto más tiempo se tarda en identificar, mitigar y resolver un ataque, mayor será el costo. Asegúrese de que su organización esté invirtiendo continuamente en capacidades para mejorar la resiliencia cibernética y priorice las inversiones que tienen un ROI cuantificable, como Segmentación de confianza cero.
Para los CIO: Siempre asuma la violación. Si puede desarrollar resiliencia y detener la propagación del ransomware dentro de su red, es mucho más fácil controlar y remediar un ataque. No obstante, fortalecer la resiliencia cibernética es un deporte de equipo. Requiere colaboración entre múltiples funciones de la organización para desarrollar un plan que mejore la seguridad y permita la transformación. Las partes interesadas deben participar temprano, mantenerse informadas durante todo el proceso y participar en el plan.
Para los CEOs: La resiliencia cibernética debe ser un problema a nivel de la junta directiva. Si lo hace bien, podrá garantizar la productividad, proteger la marca y la reputación, generar confianza y fortalecer el cumplimiento de normas. Recuerde, no todos los ataques de ransomware tienen que terminar en fallas importantes en el negocio. Al contener el ataque en el punto de entrada, puede detener el ransomware antes de que se inicie, protegiendo los sistemas y datos críticos, y ahorro de millones en costos anuales de downtime.
Aprende cómo Segmentación de confianza cero de Illumio puede ayudar a sus organizaciones a contener ransomware y nunca pagar un rescate. Contáctanos hoy para una consulta y demostración.