COMENTARIO
Exitoso ataques de ransomware Los ataques de ransomware están aumentando, no necesariamente porque sean más sofisticados, sino porque los ciberdelincuentes se han dado cuenta de que muchas de las empresas más grandes del mundo carecen de resiliencia en lo que respecta a las prácticas básicas de ciberseguridad. A pesar de las enormes inversiones en ciberseguridad por parte de los sectores público y privado, muchas organizaciones siguen sin tener suficiente resiliencia ante los ataques de ransomware.
Institucionalizar y mantener la ciberseguridad básica sigue siendo un desafío
Más de 40 años de experiencia como profesional, investigador y líder en las profesiones de auditoría y ciberseguridad me llevan a concluir que hay dos razones principales para la falta de resistencia al ransomware que sobreexpone a las organizaciones a brechas controlables en sus defensas contra el ransomware:
-
Intrusiones recientes de intereses –como ataques contra organizaciones de juegofabricantes de bienes de consumo y proveedores de atención médica — reforzar que algunas organizaciones pueden no haber implementado prácticas fundamentales.
-
Para las organizaciones que han implementado prácticas básicas, es posible que no verifiquen y validen suficientemente el desempeño de esas prácticas a lo largo del tiempo, lo que permite que las inversiones costosas se deprecien en valor más rápidamente.
A la luz de lo anterior, las organizaciones pueden tomar tres sencillos pasos para mejorar su resistencia básica al ransomware:
1. Renueve su compromiso con las prácticas básicas.
Según el “Informe de investigaciones de violaciones de datos de 2023” de Verizon, el 61% de todas las violaciones explotaron las credenciales de los usuarios. La autenticación de dos factores (2FA) ahora se considera un control esencial para la gestión del acceso. Sin embargo, la falta de implementación de esta capa adicional de seguridad está en el centro de un proceso de desarrollo. Desastre de ransomware para UnitedHealth Group/Change Healthcare. No solo los pacientes se ven afectados por este hackeo, sino que los proveedores y médicos también sufren daños colaterales, enfrentando importantes barreras para obtener autorizaciones de atención y pagos. Toda una industria está bajo asedio debido a que un importante proveedor de atención médica no implementó este control fundamental.
2. Garantizar que las prácticas básicas estén “institucionalizadas”.
Existe una mentalidad de “configúrelo y olvídese” que aborda la ciberseguridad en el momento de la implementación, pero luego no logra garantizar que las prácticas, los controles y las contramedidas sean sostenibles durante toda la vida útil de la infraestructura, particularmente cuando estas infraestructuras evolucionan y se adaptan a los cambios organizacionales. Por ejemplo, las prácticas de ciberseguridad que no se implementan activamente con características que garanticen su institucionalización y sostenibilidad corren el riesgo de no ser resistentes a la evolución de los vectores de ataque de ransomware. Pero ¿qué significa institucionalización? Acciones tales como documentación de la práctica; dotarla de recursos suficientes en personal, herramientas y financiación competentes y responsables; apoyar la aplicación de la práctica a través de políticas; y medir la efectividad de las prácticas a lo largo del tiempo define comportamientos de mayor madurez que fortalecen las inversiones y extienden su vida útil.
Estas “características institucionalizadoras” garantizan que las prácticas básicas de ciberseguridad sigan siendo viables y, cuando pierdan eficacia, se mejoren. Por ejemplo, no se implementaron prácticas básicas de cifrado durante el ataque del ransomware Change Healthcare, lo que dejó los datos de los pacientes vulnerables a los piratas informáticos. Esto plantea dudas sobre si el requisito de cifrado de datos en reposo se ha institucionalizado en las políticas y, de ser así, si la responsabilidad de cumplir estos requisitos se ha puesto en manos de profesionales debidamente calificados.
3. Medir y mejorar la eficacia de las prácticas básicas.
Es necesario plantearse estas preguntas: ¿Estamos fallando en los marcos de ciberseguridad? ¿Y nos hacen menos eficientes?
Usando un marco como Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF) puede guiar el desarrollo de programas y la implementación de prácticas, pero el uso por sí solo no es un buen predictor o indicador de éxito. Para qué ? Porque rara vez se mide la coherencia de los resultados esperados de las prácticas del marco. Los modelos de madurez –aquellos que enfatizan las características institucionalizadoras mencionadas anteriormente– son un paso hacia este objetivo, pero siguen teniendo limitaciones a menos que se combinen con un enfoque activo de gestión del desempeño.
Es posible que una organización como Change Healthcare haya implementado 2FA en servidores críticos en el pasado, pero, en ausencia de una observación o medición periódica, no haya reconocido que este control era intencional o accidentalmente estaba obsoleto o funcionaba de manera inadecuada. Entonces, incluso si la organización tuviera las intenciones correctas (implementar 2FA como práctica estándar), sin una gestión activa del desempeño puede haber sido engañada al pensar que dicho control no solo se implementó, sino que también fue efectivo.
Además, las evaluaciones de brechas que utilizan marcos de ciberseguridad pueden indicar áreas para mejorar el programa, pero por sí solas no mejorarán el desempeño general. Muchas organizaciones llevan a cabo estas evaluaciones para “probar” que sus programas están funcionando eficazmente cuando en realidad una práctica implementada y observable podría ser mínimamente efectiva, lo que llevaría a una peligrosa sobreestimación de las verdaderas capacidades de la organización. Esta puede ser la razón por la que algunas organizaciones se “sorprenden” de haber sido víctimas de un ataque de ransomware. Sin una medición del desempeño, no se puede garantizar la efectividad, y hasta que la gestión del desempeño sea una característica central de los marcos de ciberseguridad, los usuarios corren el riesgo de creer que están adecuadamente protegidos contra los ataques de ransomware sin haber probado suficientemente esta hipótesis.
Los ejecutivos y las juntas directivas merecen estar informados sobre la gestión de su desempeño, no sólo sobre los resultados de las revisiones ejecutivas periódicas. Sin métricas, estos líderes se quedan con la impresión de que las únicas brechas en el programa de ciberseguridad son desajustes en la gestión, cuando en realidad las malas prácticas y controles son más peligrosos.
Más seguridad con menos centrándonos en lo esencial
El desafío de institucionalizar y mantener prácticas fundamentales de ciberseguridad es múltiple. Requiere un compromiso de vigilancia constante, gestión activa y una comprensión integral de las amenazas en constante evolución. Sin embargo, al abordar estos desafíos y garantizar que las prácticas de ciberseguridad se implementen, midan y mantengan rigurosamente, las organizaciones pueden protegerse mejor contra la amenaza siempre presente de los ataques de ransomware. Centrarse primero en lo básico, como implementar controles fundamentales como 2FA, desarrollar habilidades de mantenimiento para integrar los esfuerzos de TI y seguridad, y adoptar prácticas de gestión del desempeño, puede generar mejoras significativas en los beneficios de la ciberseguridad, brindando una protección sólida con una menor inversión.