Cómo prepararse para posibles ciberataques

Los organismos de ciberseguridad de todo el mundo están advirtiendo a las organizaciones sobre el aumento de la amenaza de los ciberataques. Aprenda a proteger su organización.

En todo el mundo, las agencias de ciberseguridad están advirtiendo a las organizaciones del sector privado y público sobre el aumento de la amenaza de ataques de ransomware y otros ataques dirigidos originados por la crisis en Ucrania. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK) señala al ransomware como la amenaza más frecuente, especialmente para el sector educativo.

En respuesta a la guerra entre Rusia y Ucrania, Australia, el Reino Unido y Estados Unidos emitieron un aviso conjunto que destaca la creciente amenaza globalizada de los ataques de ransomware a las organizaciones de infraestructuras críticas. Además, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Oficina Federal de Investigación (FBI) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos, así como el Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK) han hecho un llamamiento a múltiples sectores, entre ellos la educación, los servicios financieros y la sanidad.

Las agencias han destacado el acceso inicial a las redes mediante ataques de phishing para robar credenciales, así como el robo de credenciales del protocolo de escritorio remoto y los ataques de fuerza bruta para adivinar las credenciales.

Lo que hace que la guerra entre Rusia y Ucrania se sitúe en el centro de todas las miradas es que los hackers rusos han estado tras algunos de los mayores y más notorios ciberataques de los últimos años, incluyendo el ataque de SolarWinds que afectó a múltiples agencias gubernamentales en 2020. De hecho, las agencias estadounidenses emitieron una advertencia específica sobre Rusia a los ejecutivos de los principales bancos estadounidenses hace apenas dos semanas. A raíz de los recientes acontecimientos en torno a Ucrania, Reuters informa de que el NCSC del Reino Unido ha dado instrucciones a las organizaciones de ese país para que "refuercen sus defensas en línea."

 

¿Está su organización realmente en peligro?


Muchas organizaciones estadounidenses y europeas (especialmente las pequeñas y medianas empresas) ignoraron o hicieron poco para prepararse basándose en advertencias anteriores. El informe Verizon 2021 Data Breach Investigations Report demuestra que hay un 100% de posibilidades de que los empleados de su organización sean el objetivo de un ciberataque si su organización tiene 100 o más empleados.

Su riesgo es aún mayor si en algún lugar de su cadena de suministro o de sus asociaciones comerciales (incluso de los socios de sus socios) existe una organización asociada a Ucrania. El 22 de febrero de 2022, los analistas de S&P Global Ratings señalaron "un mayor riesgo de ciberataques en Ucrania... que podría acarrear efectos en cadena para corporaciones, gobiernos y otras partes en la región y más allá". Los analistas señalaron que las empresas de todo el mundo con "conexiones a los sistemas ucranianos podrían ser utilizadas como punto central hacia otros objetivos", según CNN.

La semana pasada, la empresa de ciberseguridad ESET tuiteó su descubrimiento de un nuevo malware "wiper" dirigido a organizaciones ucranianas. Wiper intenta borrar los datos de cualquier sistema que comprometa.

Su seguro puede cubrir los ciberataques, pero ¿cubrirá los "actos de guerra"?

Cuando el malware NotPetya infectó ordenadores en todo el mundo en 2017, comenzó infectando organizaciones ucranianas y luego se extendió rápidamente. Pronto, Maersk A/S de Dinamarca, Merck de Estados Unidos y WPP PLC del Reino Unido se vieron afectadas. En total, los ataques causaron casi 10 000 millones de dólares en daños y se atribuyeron a la GRU, la principal Dirección de Inteligencia de las Fuerzas Armadas de Rusia.

Uno de los legados más importantes (y aún no resueltos) de NotPetya se centra en Mondelez International. Mondelez es una empresa multinacional de alimentación con sede en Chicago que fabrica Oreos y Triscuits, entre otros apreciados aperitivos. NotPetya infectó los sistemas informáticos de Mondelez, interrumpiendo los sistemas de correo electrónico, el acceso a los archivos y la logística de la empresa durante semanas. Después de que se asentara el ataque, Mondelez presentó una reclamación al seguro por daños y perjuicios, que fue rápidamente rechazada alegando que la aseguradora no cubre los daños causados por la guerra. El caso de Mondelez sigue sin resolverse.

Merck llevó un caso similar a los tribunales y ganó. El Tribunal Supremo de Nueva Jersey dictaminó que su aseguradora no podía "alegar la exclusión de guerra porque su lenguaje está pensado para aplicarse a los conflictos armados" según Bloomberg Law. Esta sentencia podría "obligar a las pólizas de seguros a afrontar con mayor claridad la responsabilidad por las consecuencias de los ciberataques de los estados-nación".

Mientras tanto, Mondelez ha desarrollado una nueva iniciativa de concienciación sobre la seguridad para ayudar a evitar futuros ciberataques.

 

Acciones específicas que su equipo de TI puede tomar para prepararse

Es importante tener en cuenta que la CISA dice que "todas las organizaciones —independientemente de su tamaño— deben adoptar una postura reforzada en lo que respecta a la ciberseguridad y a la protección de sus activos más críticos... Todas las organizaciones —grandes y pequeñas— deben estar preparadas para responder a una actividad cibernética perturbadora". Entonces, ¿qué se puede hacer? CISA ha establecido una lista de acciones recomendadas que puede seguir para aumentar su enfoque en cuanto a ciberseguridad.

Evitar la intrusión

Por supuesto, CISA comienza recomendando medidas para evitar la ciberintrusión en primer lugar. Eso tiene sentido, dado que evitar la intrusión contrarresta la necesidad de todas las acciones de ciberseguridad posteriores (incluyendo la investigación forense posterior a la intrusión, la respuesta y la contención). Con esto en mente, aquí están las cinco cosas que CISA dice que debe hacer ahora para "reducir la probabilidad de una intrusión cibernética perjudicial":

  1. Validar que todos los accesos remotos a la red de la organización y los accesos privilegiados o administrativos requieran autenticación multifactor.
  2. Asegurarse de que el software esté actualizado, dando prioridad a las actualizaciones que abordan las vulnerabilidades conocidas y explotadas identificadas por CISA.
  3. Confirmar que el personal informático de la organización ha desactivado todos los puertos y protocolos que no son esenciales para la empresa.
  4. Si la organización utiliza servicios en la nube, asegurarse de que el personal de TI haya revisado e implementadocontroles estrictos descritos en la guía de CISA.
  5. Si su organización es una organización de infraestructuras críticas (sector privado o público) o un gobierno federal, estatal, local, tribal o territorial, puede inscribirse enlos servicios gratuitos de ciberhigiene de CISA, incluido el escaneo de vulnerabilidades, para ayudar a reducir la exposición a las amenazas.

Detección de amenazas

El segundo conjunto de recomendaciones del CISA se centra en la detección de amenazas de intrusión como forma de evitar verse comprometido. De nuevo, las recomendaciones de CISA son las siguientes:

  • Garantizar que el personal de ciberseguridad/TI se centre en identificar y evaluar rápidamente cualquier comportamiento inesperado o inusual de la red. Habilitar el registro para investigar mejor los problemas o incidencias.
  • Confirmar que toda la red de la organización está protegida por software antivirus/antimalware y que las firmas de estas herramientas están actualizadas.
  • Si se trabaja con organizaciones ucranianas, hay que tener especial cuidado en supervisar, inspeccionar y aislar el tráfico procedente de esas organizaciones; revisar detenidamente los controles de acceso a ese tráfico.

El registro es fundamental para investigar los problemas y los eventos con prontitud. Le sorprenderá descubrir que muchas soluciones populares de acceso/soporte remoto carecen de la capacidad de proporcionar datos de registro rápidos y significativos. Datos que especifican quién accede realmente a la solución de acceso/soporte remoto, cuándo, desde dónde, durante cuánto tiempo, etc. Un registro robusto entre otras formas de autorización y auditoría puede minimizar su responsabilidad en caso de un hackeo.

Para ver el conjunto completo de recomendaciones de CISA, incluyendo cómo preparar una respuesta a la intrusión y resistir a un incidente cibernético destructivo, visite la página CISA's Shields Up sobre la crisis entre Rusia y Ucrania.

 

Manténgase informado y preparado

Esperamos que su equipo de TI encuentre esta información útil mientras consulta las posibles amenazas a la ciberseguridad derivadas de la guerra entre Rusia y Ucrania. Ya sea en respuesta a esta crisis o a futuras crisis, asegúrese de consultar periódicamente los sitios de sus agencias de seguridad más relevantes para mantenerse informado sobre las amenazas emergentes y cómo evitarlas.

Contenido relacionado

Gestionar el cumplimiento del RGPD y la CCPA para una plantilla de trabajo en remoto

5 maneras de proteger sus dispositivos personales durante los viajes de vacaciones

Cómo puede su equipo remoto hacer frente al aumento de los ciberataques

Banner de Prueba Gratuita en la Parte Inferior del Blog