El ransomware es una categoría de software malicioso que bloquea el acceso a los datos de una víctima o amenaza con publicar información sensible a menos que se cumplan las demandas de los atacantes. El ransomware funciona mediante el cifrado de archivos informáticos, por lo que los usuarios se ven obligados a pagar el rescate solicitado o corren el riesgo de enfrentar las consecuencias.
A medida que aumentamos las interacciones con los sistemas digitales y nuestra dependencia de ellos, también crece el valor de nuestros datos sensibles. Y, si bien algunos ciberdelincuentes están más interesados en robar silenciosamente tus datos para venderlos o usarlos con fines propios, otros prefieren mantenerlos como rehenes. Cuando un actor de amenazas externo toma el control de tu sistema, tus datos y aplicaciones, entre otros, e intenta chantajearte a fin de que pagues para recuperar el control, se conoce como ataque de ransomware.
Desafortunadamente, este tipo de ciberdelitos es demasiado habitual: solo en 2020, el Centro de Denuncias de Delitos en Internet del FBI recibió casi 2500 informes de ataques de ransomware, con pérdidas incurridas que ascendieron a más de $ 29,1 millones. Además, el riesgo no deja de crecer, y los informes de ransomware globales han aumentado más del 700 % desde 2019 y 2020. De hecho, en respuesta a este peligro creciente para los ciudadanos, las empresas y los departamentos gubernamentales estadounidenses, el presidente Biden emitió un decreto ejecutivo en mayo de 2021 (Mejorar la ciberseguridad de la nación), que brindó información, políticas federales y prácticas recomendadas diseñadas para ofrecer una mayor protección contra los peligros del ransomware.
Aunque se reconoce que la amenaza del ransomware es una de las mayores amenazas a la ciberseguridad de la era del internet, en realidad, sus orígenes son anteriores al lanzamiento de la web disponible al publico general. El ransomware tiene una historia compleja y no ha parado de evolucionar junto con la tecnología de la información.
Entre los eventos clave que han contribuido al desarrollo del ransomware como un peligro significativo se encuentran los siguientes:
- 1989: troyano AIDS
El troyano AIDS, también conocido como el virus PC Cyborg, es uno de los primeros casos de ransomware. Se distribuyó a través de disquetes y se exigía enviar un rescate a un apartado postal en Panamá para desbloquear la computadora infectada. - 2005: Gpcode
El ransomware Gpcode marcó un resurgimiento en los ataques de ransomware. Se utilizaron algoritmos de cifrado sólidos y se exigía un rescate a cambio de una clave de descifrado. Esta versión demostró el potencial del ransomware para convertirse en un problema grave. - 2013: CryptoLocker
CryptoLocker cambió las reglas del juego en la historia del ransomware. Se introdujo el uso de un cifrado asimétrico fuerte, lo que hizo que la recuperación de archivos fuera casi imposible sin pagar el rescate. Los ciberdelincuentes exigían pagos en criptomonedas, lo que dificultaba el rastreo. - 2016: Locky y Cerber
En las campañas de ransomware como Locky y Cerber se utilizaron métodos de distribución sofisticados, como archivos adjuntos de correo electrónico maliciosos y kits de exploits para infectar a una gran cantidad de dispositivos en todo el mundo. Se destacó la motivación financiera detrás de los ataques de ransomware. - 2017: WannaCry
El brote del ransomware WannaCry afectó a cientos de miles de computadoras en más de 150 países. Se explotó una vulnerabilidad de Microsoft Windows y se demostró el potencial de los ataques de ransomware globales a gran escala. - 2018: Ryuk
El ransomware Ryuk surgió como una gran amenaza para las empresas. A menudo se implementó después de un compromiso inicial a través de otro malware como TrickBot. Ryuk demostró la participación de grupos organizados de ciberdelincuencia en ataques de ransomware. - 2019: Maze y ransomware como servicio (RaaS)
El ransomware Maze popularizó la táctica de “doble extorsión”, en la que los ciberdelincuentes no solo cifraban los datos, sino que también amenazaban con divulgarlos públicamente si no se pagaba el rescate. Los modelos de RaaS facilitaron a los atacantes menos calificados el lanzamiento de campañas de ransomware mediante la contratación de servicios de operadores calificados. - 2021: Colonial Pipeline y JBS
Los ataques de ransomware notorios en infraestructuras cruciales, como Colonial Pipeline y la empresa procesadora de carne JBS, exhibieron el potencial de los incidentes de ransomware para provocar graves interrupciones económicas y sociales. - 2022 en adelante: ransomware moderno
El ransomware actual es más sofisticado en términos de clave de encriptación y está mucho más dirigido a industrias específicas. Tal vez lo más preocupante es que, en el ransomware moderno, se está comenzando a incorporar la tecnología de la IA, por lo que se crean ataques inteligentes mejorados con aprendizaje automático (ML) capaces de identificar los objetivos de mayor valor y ataques personalizados diseñados para contrarrestar las defensas establecidas.
Desafortunadamente, proteger tu organización de la creciente amenaza del ransomware no siempre es sencillo. Los ataques de ransomware son cada vez más sofisticados y ya no tienen como objetivo solo los datos de nivel superficial. En cambio, el nuevo ransomware está diseñado para capturar y retener datos de copias de seguridad e incluso para tomar el control de las funciones de administración de nivel superior. Estos ataques a menudo se implementan como un solo componente en una estrategia más amplia, con el objetivo de comprometer en su totalidad a los sistemas cruciales.
Del mismo modo, los propios actores de amenazas se están volviendo más sofisticados; en lugar de limitarse a ciberdelincuentes individuales que operan con sus propios recursos limitados, las amenazas de hoy incluyen grupos organizados y bien financiados, equipos de espionaje industrial respaldados por empresas e incluso agencias hostiles de gobiernos extranjeros.
Dada la ubicuidad y la diversidad de dichos ciberataques, las empresas de todo el mundo están en peligro crítico de ser víctimas de esta extorsión de la era digital.
Al igual que con cualquier software malicioso, el ransomware puede entrar en tu red de varias maneras diferentes, como a través de un archivo adjunto de correo electrónico no deseado, el uso de credenciales robadas, un enlace de internet no seguro, un sitio web comprometido o incluso oculto como parte de un paquete de software descargable. Algunas formas de ransomware usan herramientas de ingeniería social integradas para tratar de engañarte y que les otorgues acceso administrativo, mientras que otras intentan eludir el permiso por completo y aprovecharse de las debilidades de seguridad existentes.
Una vez dentro de tu red, el software se despliega y ejecuta una serie de comandos detrás de escena. A menudo, esto implica subvertir cuentas administrativas fundamentales que controlan sistemas, como copias de seguridad, sistemas de nombres de dominio (DNS) del directorio activo (AD) y consolas de administración de almacenamiento. Luego, el malware ataca la consola de administración de copias de seguridad, lo que permite al atacante desactivar o modificar los trabajos de respaldo, cambiar las políticas de retención y localizar más fácilmente datos sensibles que podrían ser valiosos como rehenes.
Lo más habitual en esta instancia es que el malware comience a cifrar algunos o todos tus archivos. Una vez que los archivos se han protegido contra el acceso, el malware se revela informándote que tus datos se retendrán para obtener un rescate y qué demandas deben cumplirse para que recuperes el acceso. En otros tipos de malware (a menudo llamados leakware), el atacante puede amenazar con exponer públicamente ciertos tipos de datos sensibles si no se paga el rescate. En muchos casos, los datos no solo se cifran, sino que también se copian y roban para utilizarlos en futuras actividades delictivas.
El ransomware se presenta en varias formas, cada una con sus propias metodologías y objetivos particulares. Comprender los diversos tipos de ransomware es fundamental para establecer un ecosistema de ciberseguridad eficaz. Los siguientes son algunos tipos comunes:
El cifrado de ransomware es el tipo de ransomware más común en la actualidad. Le debe su nombre a la capacidad para cifrar los archivos de la víctima o incluso bloquear el acceso a todo su sistema. Luego, se solicita a las víctimas que paguen un rescate para recibir la clave de descifrado. Lo que hace que esta forma de ransomware sea tan eficaz es que muchas organizaciones optarán por cumplir con los atacantes, ya que lo consideran la solución más directa y sencilla. Dicho esto, una vez que la víctima ha cedido a las demandas, el atacante simplemente puede elegir no proporcionar la clave de descifrado y exigir más dinero. Entre los ejemplos de cifrado de ransomware se incluyen CryptoLocker y Ryuk.
El scareware es menos peligroso que el cifrado de ransomware, pero potencialmente igual de inquietante. No cifra archivos, sino que utiliza tácticas de miedo para engañar a sus víctimas. Esta forma de ransomware muestra advertencias falsas o mensajes emergentes en los sistemas infectados y, a menudo, alega que el equipo de la víctima está infectado con malware o que se ha encontrado contenido ilegal. Se insta a los usuarios a pagar por una solución de seguridad falsa o a ejecutar otras acciones inseguras.
Entre los ejemplos se incluyen anuncios falsos, ventanas emergentes o cambios no autorizados en el navegador de la víctima.
Los bloqueos de pantalla son un tipo de ransomware que bloquea a los usuarios de sus dispositivos o sistemas operativos y muestra una nota de rescate en la pantalla. Las víctimas no pueden acceder a su escritorio o a archivos hasta que se pague el rescate. Estos ataques son más comunes en dispositivos móviles. En lugar de cifrar los datos de la víctima, los bloqueos de pantalla anulan el sistema operativo para evitar que los usuarios autorizados accedan a sus datos.
Entre los ejemplos de bloqueos de pantalla se incluye el ransomware con temas policiales o del FBI que se hace pasar por las agencias policiales y acusa a las víctimas de actividades ilegales, lo cual las lleva a pagar una multa para que sus sistemas se desbloqueen.
Si bien los ataques de ransomware por lo general se dividen en las categorías mencionadas anteriormente, dentro de dichas categorías hay una serie de variantes de ransomware específicas, cada una con sus propias características y procedimientos únicos. Estas variantes evolucionan de manera continua, por lo que es fundamental que las personas y las organizaciones estén informadas acerca de las amenazas más recientes.
Entre las variantes más destacadas se encuentran las siguientes:
Ryuk es conocido por enfocarse en objetivos de alto valor, incluidas corporaciones, organizaciones de servicios de salud y entidades gubernamentales. Por lo general, sigue un compromiso inicial de otro malware (como TrickBot). Ryuk cifra archivos y exige rescates considerables, generalmente en criptomonedas.
Como se mencionó anteriormente, Maze fue uno de los primeros tipos de ransomware en emplear doble extorsión: bloquear a los usuarios y prometer liberar datos sensibles si los atacantes no recibían el pago. Esta variante ganó notoriedad por su sofisticación y su eficacia para comprometer los archivos y sistemas de grandes empresas.
REvil, también conocido como Sodinokibi, es famoso por su modelo de ransomware como servicio (RaaS). Esto permite que otros ciberdelincuentes utilicen este ransomware a cambio de un porcentaje de las ganancias. Por lo general, tiene como objetivo a las organizaciones y lleva a cabo un enorme robo de datos antes del cifrado.
Lockbit es otra variante de ransomware que utiliza el modelo RaaS y que cifra archivos y exige un rescate por el descifrado. Lo que hace que esta variante se destaque es su capacidad para cifrar rápidamente cantidades sustanciales de datos en organizaciones enteras y, a menudo, cumple esta misión antes de que se pueda detectar. En general, Lockbit se propaga a través de correos electrónicos de phishing y conexiones vulnerables del protocolo de escritorio remoto (RDP).
DearCry es una variante de ransomware relativamente nueva que obtuvo prominencia en 2021. Principalmente, tiene como objetivo a los servidores de Microsoft Exchange y los sistemas Windows; cifra archivos y exige un rescate antes de que se devuelva el acceso a los usuarios autorizados.
Como se mencionó anteriormente, el uso de ransomware en los ciberataques va en aumento. Este incremento explosivo se puede atribuir a los diferentes factores que se mencionan a continuación:
Han quedado atrás los días en que los ciberdelincuentes debían tener los conocimientos técnicos para desarrollar sus propios programas de malware. En la actualidad, los mercados de ransomware en línea se encargan de comercializar kits, programas y cepas de malware, lo que permite a cualquier posible delincuente acceder con facilidad a los recursos que pueda necesitar para comenzar.
En algún momento, los autores de ransomware estuvieron limitados en términos de qué plataformas tenían como objetivo y debían desarrollar versiones específicas de ransomware para cada plataforma adicional. Ahora, los intérpretes genéricos (programas capaces de traducir con rapidez los códigos de un lenguaje de programación a otro) hacen posible que el ransomware sea confiable en prácticamente cualquier cantidad de plataformas diferentes.
Las nuevas técnicas no solo facilitan que los actores de amenazas introduzcan malware en tus sistemas, sino que también les permiten hacer más daño una vez dentro. Por ejemplo, los programas de ransomware modernos pueden cifrar todo el disco, en lugar de solo archivos individuales, lo que lo bloquea por completo.
Desafortunadamente, no existe un enfoque único para la seguridad de la red que proteja a tu organización por completo de todo tipo de ataques de ransomware. En cambio, las estrategias eficaces contra el ransomware implican considerar la infraestructura de TI existente y cualquier debilidad inherente, establecer procedimientos de copia de seguridad y autenticación sólidos y promover un cambio cultural dentro de tu organización enfocado en una mayor conciencia acerca de la seguridad.
Para comenzar, considera los siguientes pasos:
Elimina los protocolos simples de uso compartido de red al realizar copias de seguridad de datos e implementa características de seguridad viables para proteger de ataques a los datos de respaldo y las consolas del administrador. Esto ayudará a garantizar que las copias de datos sin corromper estén disponibles cuando las necesites.
A medida que se identifican los nuevos malwares, los proveedores de software de seguridad y otros proveedores actualizan sus productos y sistemas para contrarrestar estas nuevas amenazas. Desafortunadamente, las organizaciones a veces desatienden la necesidad de mantenerse al día con los parches de seguridad más recientes y quedan vulnerables ante las amenazas conocidas. Comprueba periódicamente si hay nuevas actualizaciones e instálalas tan pronto como estén disponibles.
Crea y distribuye políticas de internet en toda tu organización que detallen las prácticas recomendadas y las medidas de seguridad que los empleados deben seguir cuando están en línea. Por ejemplo, nunca permitas que los empleados lleven a cabo negocios de la empresa o accedan a sistemas sensibles mientras estén en una red wifi pública. Capacita a todo el personal relevante en dichas políticas y establece planes de respuesta que puedan implementar en caso de exposición a un software malicioso.
Protege las cuentas administrativas del acceso y el control no autorizados mediante la autenticación de dos factores (o más). Configura las cuentas para que, de forma predeterminada, solo concedan los privilegios necesarios mínimos del sistema.
Desarrolla la recuperación de ransomware en tu estrategia general de recuperación ante desastres. Establece un entorno de recuperación aislado (IRE): un centro de datos independiente y cerrado en el que las copias de datos se puedan mantener seguras frente al acceso externo. Incluye el IRE en todas las pruebas de recuperación ante desastres.
El conocimiento y la concientización son algunas de las armas más eficaces en tu arsenal antiransomware y existen diversas formas de mantenerlas preparadas, como seguir a profesionales y expertos de seguridad en las redes sociales, revisar regularmente las fuentes de asesoramiento sobre riesgos y los sitios de asesoramiento y manterse al día con las noticias relevantes.
Desarrolla un plan de respuesta integral de ransomware en el que se describan los pasos a seguir en caso de un ataque. Este plan debe incluir procedimientos para identificar y aislar sistemas infectados, contactar a agencias policiales, notificar a las partes afectadas e iniciar procesos de recuperación. Tener listo un plan bien definido puede reducir de manera significativa el caos y el tiempo de inactividad asociados con los incidentes de ransomware.
Crea copias de seguridad periódicas de todos los datos y sistemas fundamentales. Asegúrate de que las copias de seguridad se almacenen de forma segura y sin conexión para evitar que el ransomware las cifre o elimine. Prueba la integridad de las copias de seguridad con frecuencia para garantizar su fiabilidad en caso de pérdida de datos. Una estrategia de respaldo sólida puede brindar un medio para recuperar datos sin pagar un rescate.
Lleva a cabo una formación exhaustiva sobre ciberseguridad para todo el personal y enfatiza en la importancia de la seguridad de los datos. Enséñales a reconocer intentos de phishing, archivos adjuntos de correos electrónicos y enlaces sospechosos. Fomenta la práctica de la gestión segura de contraseñas y el uso de la autenticación multifactor. Los empleados deben comprender el rol que cumplen en la prevención de ataques de ransomware y saber cómo informar de cualquier actividad sospechosa con rapidez. La educación continua del personal es un componente fundamental de una defensa poderosa contra el ransomware.
En el caso de que seas el objetivo de un ataque de ransomware, no cedas a las demandas de los delincuentes. Hacerlo solo te identifica a ti y a tu organización como víctimas dispuestas y alienta a los delincuentes a seguir atacándote. En la mayoría de los casos, las empresas que pagan para que se les devuelvan sus datos o archivos nunca reciben una clave de encriptación que funcione. En cambio, los atacantes simplemente continúan aumentando sus demandas hasta que la empresa atacada deje de pagar. Además, al pagar a los estafadores, estarías financiando su actividad criminal y acercando el mismo riesgo a otras empresas o personas.
Si descubres que el ransomware te ha atacado, actúa rápidamente y sigue los pasos que se indican a continuación:
El ransomware entra en una red al infectar un solo dispositivo o sistema, pero eso no significa que necesariamente permanezca en ese lugar. El ransomware puede propagarse con facilidad a través de tu red. Por lo tanto, lo primero que debes hacer cuando descubras ransomware es desconectar el sistema infectado y aislarlo del contacto con el resto de la red. Si logras hacerlo lo suficientemente rápido, existe una pequeña posibilidad de que puedas contener el malware en una sola ubicación, lo que facilita el resto del trabajo.
Al igual que la forma en que los bomberos eliminarán los arbustos y los árboles de la trayectoria de un incendio forestal, debes tomar medidas para detener cualquier posible propagación de ransomware mediante la desconexión y el aislamiento de cualquier otro sistema que pueda haber estado expuesto. Se debe tener en cuenta cualquier dispositivo que parezca comportarse de forma anormal, incluidos aquellos que podrían no estar funcionando en las instalaciones. Apaga cualquier opción de conectividad inalámbrica para dificultar aún más la propagación.
Una vez que los archivos sospechosos estén aislados de la red, debes evaluar el alcance del daño. Determina qué sistemas se han visto realmente afectados mediante la búsqueda de archivos cifrados hace poco (a menudo con nombres de extensión extraños). Examina con atención los recursos compartidos cifrados en cada dispositivo; si uno tiene más recursos compartidos que los demás, puede que sea el punto de entrada original del ransomware en tu red. Desactiva estos sistemas y dispositivos y crea una lista completa de todo lo que puede haberse visto afectado (incluidos discos duros externos, dispositivos de almacenamiento en red, sistemas basados en la nube, equipos de escritorio, computadoras portátiles, dispositivos móviles y cualquier otro elemento capaz de ejecutar o transmitir el ransomware).
Como se mencionó en el punto anterior, verificar los dispositivos afectados para detectar grandes cantidades de recursos compartidos de cifrado puede ayudarte a localizar el “paciente cero”. Entre otros métodos para localizar el origen del ransomware se incluyen la comprobación de alertas antivirus que preceden directamente a la infección y la revisión de cualquier acción sospechosa del usuario (como hacer clic en un enlace desconocido o abrir un correo electrónico de spam). Una vez que hayas descubierto la fuente, la solución se vuelve mucho más fácil.
Por lo general, contrarrestar un ataque de ransomware de manera eficaz depende de tu capacidad para identificar exactamente con qué variedad de ransomware estás lidiando. Hay varias formas diferentes de identificar el ransomware. La nota incluida en el ataque (la que indica que debes enviar dinero para desbloquear tus archivos) puede identificar el ransomware directamente. También puedes buscar la dirección de correo electrónico asociada a la nota para descubrir qué ransomware está utilizando este actor de amenazas y qué pasos han seguido otras empresas después de haber sido infectadas. Por último, hay sitios y herramientas disponibles en línea diseñados para ayudar a identificar tipos de ransomware. Solo asegúrate de investigar todas tus opciones antes de elegir alguna y evita descargar una herramienta poco confiable que coloque más malware en tu sistema ya infectado.
Una vez que hayas contenido el ransomware, es tu responsabilidad contactarte con la policía. En muchos casos, esto va más allá del simple protocolo. Bajo los términos de ciertas leyes de privacidad de datos, es posible que debas presentar un informe dentro de un período de tiempo predeterminado por cualquier violación de datos que experimente tu empresa, y de no hacerlo, puedes recibir multas u otras sanciones. Pero incluso si no tienes la obligación legal de comunicarte con la policía, hacerlo debería ser una prioridad. Es probable que las agencias de ciberdelitos tengan mayor autoridad y experiencia y un mejor acceso a recursos para resolver este tipo de problemas, por lo que pueden ayudar a tu empresa a volver a la normalidad con más rapidez.
Con la amenaza efectivamente controlada, ahora es el momento de comenzar a reparar tus sistemas. Idealmente, si tienes datos de respaldo sin corromper, deberías poder restaurar tus sistemas sin demasiados problemas. Revisa dos veces para asegurarte de que todos tus dispositivos estén libres de ransomware y otras formas de malware y, luego, restaura tus datos. Solo ten en cuenta que los ataques de ransomware modernos a menudo tienen como objetivo las copias de seguridad de los datos, por lo que deberás asegurarte de que tus datos estén en buen estado antes de restaurarlos.
Si no tienes una copia de seguridad de datos disponible, o si los datos en sí también se han dañado, la siguiente mejor opción es intentar encontrar una solución de descifrado. Como se mencionó anteriormente, mediante una investigación, es posible que puedas encontrar una clave de descifrado en línea que te ayude a restaurar el acceso y el control.
Después de un ataque de ransomware, es tu responsabilidad comunicarte con tus clientes acerca del incidente. La transparencia es clave para mantener la confianza. Si descuidas la responsabilidad de informar a tus clientes, esa confianza se erosionará rápidamente. Comunícate con las personas que apoyan a tus empresas: infórmales de la situación, las acciones que estás tomando para resolverla y cualquier impacto posible en sus datos o servicios. Brindar información oportuna y precisa puede ser útil para mitigar el daño a la reputación que a menudo acompaña a este tipo de incidentes.
Si bien lidiar con un ataque de ransomware puede ser perjudicial, es fundamental hacer esfuerzos para mantener tu empresa activa durante el proceso de recuperación. Implementa planes de continuidad empresarial para garantizar que las funciones clave puedan continuar. Esto puede implicar redirigir tareas a áreas no afectadas o cambiar las operaciones de manera temporal para minimizar el tiempo de inactividad. Mantener la continuidad empresarial puede reducir las pérdidas financieras asociadas con los incidentes de ransomware y demostrar resiliencia a los clientes e interesados.
Tanto si restauras tus dispositivos, encuentras una solución de descifrado o simplemente aceptas que tus datos sensibles se han perdido, el último paso siempre será el mismo: reconstruir y seguir adelante. Incluso en los mejores casos, volver a los niveles de productividad previos al ataque puede ser un proceso costoso y lento. Asegúrate de superar esta experiencia con la certeza de haber adquirido un mejor entendimiento de las amenazas que enfrenta tu empresa y una idea más clara de cómo defenderte de ellas.
A medida que los ciberdelincuentes se adaptan a las nuevas tecnologías y medidas de seguridad, el ransomware sigue evolucionando. Comprender las tendencias futuras del ransomware es esencial para anticiparse a las amenazas emergentes. Las siguientes son algunas de las tendencias clave:
A medida que las organizaciones migran cada vez más sus datos y servicios a la nube, se espera que los ciberdelincuentes se dirijan a los puntos finales basados en la nube con mucha más frecuencia. Los servicios en la nube son objetivos atractivos porque almacenan grandes cantidades de datos, lo que los hace potencialmente más propensos a tener un mayor valor para los operadores de ransomware. Es importante que las empresas protejan sus entornos de nube e implementen controles de acceso sólidos para mitigar estas amenazas.
Históricamente, el ransomware ha tenido como objetivo a plataformas muy utilizadas, como Windows e iOS, pero en las tendencias futuras se puede observar una expansión hacia sistemas operativos y plataformas menos comunes. Los ciberdelincuentes buscan explotar vulnerabilidades donde las medidas de seguridad podrían estar menos desarrolladas. Las organizaciones deben garantizar medidas de seguridad integrales en todos sus sistemas, incluidos los que se consideran menos convencionales.
Los operadores de ransomware están pasando de cifrar únicamente datos a filtrar también información sensible antes del cifrado. Luego, amenazan con divulgar los datos robados si no se paga el rescate, lo que convierte la extorsión de datos en una táctica poderosa. Si bien la extorsión de datos no es nueva, las competencias avanzadas hacen que sea más fácil para los atacantes compartir datos robados, lo que brinda a los actores de amenazas una herramienta adicional para chantajear a sus víctimas. Esta tendencia enfatiza la importancia de proteger no solo la disponibilidad de los datos, sino también su confidencialidad.
Un desafortunado efecto secundario de la filtración de datos es que los atacantes pueden diversificar más fácilmente sus fuentes de ingresos a través de la venta de datos robados en la web oscura, incluso si las víctimas aceptan pagar el rescate. Esta práctica expone a las empresas a riesgos adicionales más allá del impacto inmediato de un ataque de ransomware.
Los operadores de ransomware ya están empezando a aprovechar la IA y el ML para mejorar sus ataques. La IA puede automatizar tareas como identificar objetivos vulnerables y personalizar correos electrónicos de phishing, mientras que el ML se puede usar para evadir la detección por parte de los sistemas de seguridad (por nombrar solo algunos casos de uso). Esta tendencia subraya la importancia de incorporar IA y ML en las defensas de ciberseguridad para detectar y responder a las amenazas en evolución de manera efectiva, incluso aquellas que dependen de tecnologías inteligentes.
Al defenderte y responder a ataques de ransomware, el tiempo puede ser tu recurso más valioso. ServiceNow, el líder en gestión de TI y automatización de flujos de trabajo, te brinda el tiempo que necesitas, con capacidades claras y centralizadas de control y monitoreo. Elimina las debilidades de seguridad antes de que puedan explotarse, identifica actividades sospechosas de la red y responde a las brechas en un momento determinado. Recupérate más rápido del ransomware y de otros ataques con soluciones de respuesta de seguridad automatizadas. Con ServiceNow, todo es posible.
Protege a tu organización contra el ransomware y otros elementos de ataque mediante monitoreo continuo y una respuesta automatizada. Obtén más información sobre el ransomware y descubre cómo ServiceNow puede ayudar a que tu empresa maneje todo lo que pueda suceder.
Derriba el aislamiento para gestionar el riesgo y reforzar el cumplimiento en toda la empresa.