La realidad en el siglo XXI: es más probable sufrir un ciberataque que un incendio en una organización

Los datos son los activos más importantes de una organización, y cada vez surgen amenazas más sofisticadas que atentan contra la seguridad y el funcionamiento de las compañías. Los ciberataques se multiplican a una velocidad alarmante. Según el Informe de Tendencias de Veeam, el 85% de las organizaciones sufrieron al menos un ataque cibernético en los últimos 12 meses. A diferencia de posibles catástrofes naturales, como incendios o inundaciones, ser víctima de un hacker es mucho más probable que posible.

Estos fenómenos cada vez más frecuentes, se pueden definir como un juego de espías donde los hackers
observan, esperan, y luego se infiltran. Los ciberataques se clasifican en dos tipos: el robo de información
y el ransomware. En el primer caso, el objetivo de los atacantes es descifrar los códigos para robar los
datos de una organización. Para una empresa, esto puede significar que miles de datos personales de
clientes estén expuestos. Y, en el peor de los casos, publiquen información confidencial online, por ejemplo, comprometiendo la seguridad de sus usuarios.

En el segundo tipo de ataque, el ransomware, los hackers encriptan los archivos y exigen un pago para su
liberación. Este proceso puede durar hasta un año, porque se debe realizar un trabajo minucioso para
ingresar sin ser detectado. El modus operandi de este ataque es “secuestrar los datos”, pedir un rescate y
entregar una “llave” a las víctimas para poder descifrar la información una vez que se paga lo solicitado a
los hackers. Sin embargo, esta dinámica presenta varias problemáticas. Por un lado, la empresa se
enfrenta a un considerable esfuerzo económico al tener que afrontar el rescate, que generalmente se paga con criptomonedas. Una vez obtenida la llave, se presenta otro desafío: realizar el proceso inverso al
cifrado. Es decir, si un hacker tardó, por ejemplo, seis meses en cifrar toda la información, la empresa
necesitará el mismo tiempo para deshacer el cifrado. Esto implica meses de inactividad operativa mientras
los sistemas permanecen bloqueados, lo que genera a las organizaciones la pérdida de miles de millones
de dólares.

Pero ese no es el último obstáculo. Otra desafortunada consecuencia es que pagar el rescate no garantiza
la recuperación total de la información. Según el Informe de Veeam, el 80% de las víctimas pagó el rescate, y a pesar de eso, una cuarta parte de ellas no pudo recuperar sus datos.

Ahora, ¿cuáles son los pasos que siguen los hackers? Primero y principal, observar. Buscan saber cuáles
son los procesos de la empresa, quiénes son sus empleados, así como cuáles son los sistemas de
ciberseguridad que utilizan. Su objetivo es detectar el eslabón más débil para infiltrar el código maligno.
Lamentablemente, la mejor forma de infiltrarse es aprovechando una falla humana, por ejemplo, un
empleado despistado que haga click en un email de origen sospechoso.

La segunda fase es la infiltración, que consiste en colocar trampas y esperar a que alguien caiga. Pueden
ser correos electrónicos o links malignos, siendo la mayoría de los ataques, sociales. Es muy común que
los colaboradores utilicen la computadora del trabajo para su uso personal: hacer compras online, revisar
su correo electrónico y utilizar redes sociales. Los hackers son cada vez más sofisticados al infiltrarse, algo
que se puede observar, por ejemplo, en el caso de una empresa que sufrió un ataque de ransomware
después de que un empleado utilizó su computadora laboral para una entrevista en Zoom a través de un
enlace enviado en LinkedIn que permitió a los delincuentes entrar al sistema por ese medio. Una vez
dentro, los atacantes crean una base interna para mapear a los empleados, determinar cuáles son los
procesos, dónde están las falencias y cómo es el firewall. Finalmente, elevan sus accesos creando
usuarios falsos y abriendo puertas para el ataque sin ser detectados. Otro caso, fue en una reconocida
empresa de la industria tecnológica: donde se creó un usuario falso que con inteligencia artificial comenzó a chatear con el staff de la compañía como si fuese un empleado más. De esa forma, el hacker fue adquiriendo acceso a todos los sistemas y todos los clientes de la empresa fueron afectados.

El último paso es el bloqueo de los sistemas. En caso de no tener una estrategia sólida de
ciberseguridad, la empresa se va a enterar que sufrió un ataque de ransomware vía correo electrónico. Sí,
luego de un proceso tan complejo de investigación y cifrado, todo culmina con un mail que le avisa a las
víctimas que fueron atacadas. Un claro ejemplo de esto sucedió con una reconocida cadena de
supermercados que al ser atacada, le comenzaron a salir tickets de todas las cajas registradoras cuyo
mensaje decía que habían sido hackeados. El hecho parecería digno de ficción, como un episodio de Black Mirror, pero ocurrió.

Para poder prevenir los ciberataques es fundamental contar con una estrategia de ciberseguridad y tener
un proveedor de Disaster Recovery. No sirve de nada tener un backup, si luego no lo podemos recuperar o es infectado, para eso se utilizan distintas soluciones, reglas para poder detectar y prevenir la infección de los datos. Veeam entre tantas cosas hoy ofrece la posibilidad de escaneo online de los archivos utilizando las reglas de YARA (las reglas de YARA permiten detectar y clasificar el malware), que nos permiten detectar en una temprana etapa posible ataque y de esta forma garantizar que los backup estén sanos, en caso de su utilización.

Por lo que, si los datos están cifrados, se eliminan y se instalan los datos de la copia de seguridad que
están sanos. De esa forma se evita pagar un rescate y además la empresa puede volver a sus operaciones
en cuestión de minutos. Así, se puede estar un paso adelante de los hackers y proteger los activos más
valiosos de cualquier organización, los datos.

Por Dimitri Zaroubine, Director Senior de Ingeniería para Latinoamérica en Veeam