Oportunistas o dirigidos, los ataques de ransomware comienzan en el endpoint. Sobre todo, porque la proliferación de equipos de sobremesa, portátiles o servidores con protección inadecuada están proporcionando, cada uno de ellos, un punto de entrada potencial para que los atacantes roben y cifren datos.

Al examinar numerosos ataques de ransomware queda claro que confiar en una única solución de seguridad de endpoint (detección y respuesta, antivirus o de otro tipo) no es suficiente para detener todas las amenazas. De hecho, las organizaciones hacen bien en adoptar una mentalidad de supuesta brecha para reducir las posibilidades de que el ransomware encripte archivos. Y, en última instancia, es necesario un enfoque de defensa en profundidad que incluya una variedad de controles de seguridad para eliminar las brechas, reducir la exposición y fortalecer la postura de seguridad general. 

La gestión de acceso privilegiado es un componente fundamental de una estrategia de seguridad de endpoint eficaz, aunque a menudo se pase por alto. Si un atacante malintencionado obtiene acceso a una credencial privilegiada o a información privilegiada parecerá un usuario de confianza, lo que hace que sea muy difícil detectar actividades de riesgo.

Junto con los antivirus/NGAV, parches de aplicaciones y parches OS, las empresas pueden reducir significativamente el riesgo al administrar y asegurar los privilegios en los dispositivos de punto final. Y al implementar modelos de restricción que solo confían en aplicaciones específicas ejecutadas por cuentas específicas en circunstancias específicas, las organizaciones pueden detectar ransomware rápidamente y con seguridad. Al adoptar este enfoque integral para la seguridad de los endpoints, las organizaciones pueden defenderse desde todos los ángulos y bloquear los ataques antes de que causen daño.

Naturaleza cambiante del ransomware

El Informe Data Breach Investigations de Verizon 2021 señaló que “el mayor cambio de este año con respecto a los tipos de acción fue que el ransomware ocupó el tercer lugar en lo que a brechas se refiere, apareciendo en el 10% de ellas, más del doble de la frecuencia registrada el año pasado”.

Los ataques avanzados de ransomware comienzan en el endpoint, utilizando un solo dispositivo como puerta de enlace para moverse por la red para cifrar los archivos, aplicaciones y sistemas que más importan a una organización. Ejemplos de esto incluyen el ransomware Bad Rabbit, que apareció por primera vez en 2017 pretendiendo ser un instalador de Adobe Flash, y, por supuesto, el reciente ataque de Darkside a infraestructura crítica de Estados Unidos. 

Sin embargo, lo preocupante es que estamos viendo una nueva tendencia en la forma en que se utiliza el ransomware en los dispositivos. Los ciberdelincuentes ya no solo encriptan o bloquean terminales, sino que, en realidad, roban datos y usan el miedo para exigir un rescate a los propietarios del dispositivo. Lo que significa que las copias de seguridad por sí mismas ya no protegerán contra los terminales infectados, pues los datos ya habrían sido robados. Dichos ataques también están borrando las líneas entre el ransomware y las filtraciones de datos dirigidas, por lo que las empresas deben concienciarse de esta nueva amenaza.

La clave para mitigar los ataques de esta naturaleza es implementar el privilegio mínimo en los endpoint. Esto evita que el ransomware y otras formas de ataque utilicen dichos privilegios como punto de partida hacia los archivos y sistemas que más importan en otras partes de la red. Esto es especialmente relevante en el entorno actual donde los dispositivos tienen distintos niveles de seguridad y el entorno de la oficina puede ser una cafetería, un coche o nuestra casa. Por ello, la ciberseguridad debe coincidir con la flexibilidad del trabajo moderno para garantizar mejor la continuidad del negocio.

About Author

Anastasia Sotelsek

Principal Sales Engineer de CyberArk

Deja un comentario