El 49% de las víctimas de ransomware pierden datos antes de detectar el ataque

El 49% de las víctimas de ransomware pierden datos antes de detectar el ataque

El ransomware siempre ha sido un problema doloroso, pero un nuevo informe revela hasta qué punto falla la detección: casi la mitad de todas las víctimas de ransomware sufrieron el robo de sus datos antes de siquiera darse cuenta de que un atacante estaba dentro de su red. Esta cifra ha aumentado drásticamente desde el 31% del año anterior, lo que indica que los hackers no solo se están volviendo más audaces, sino considerablemente más pacientes y sigilosos.

El tiempo medio de permanencia antes de la detección ronda ahora las 2,5 semanas. Son 17 días o más durante los cuales un atacante puede mapear tranquilamente sus sistemas, identificar sus archivos más valiosos y sacarlos por la puerta, todo antes de que salte una sola alerta.

La verdadera amenaza es la exfiltración, no solo el cifrado

La mayoría de la gente imagina el ransomware como un evento dramático: los archivos se bloquean, aparece una nota de rescate y las operaciones se paralizan. Esa imagen está cada vez más desfasada. Los grupos de ransomware modernos han adoptado una estrategia de dos fases. Primero, roban los datos. Luego, si deciden implementar el cifrado, mantienen dos amenazas separadas sobre sus víctimas: pagar para restaurar el acceso y volver a pagar para evitar que los datos robados se publiquen.

Este enfoque, a menudo denominado doble extorsión, cambia por completo el cálculo. Incluso las organizaciones con sistemas de copias de seguridad sólidos que podrían restaurar rápidamente los archivos cifrados siguen enfrentándose a la exposición de registros confidenciales de clientes, documentos financieros o propiedad intelectual. El cifrado pasa a ser casi secundario en ese momento.

El hecho de que el robo de datos siga siendo una característica constante de la actividad de extorsión en más de la mitad de los casos año tras año confirma que no se trata de una tendencia pasajera. Ahora es el manual de estrategias predeterminado.

Por qué la detección se está quedando cada vez más atrás

La creciente brecha entre la intrusión y la detección apunta a varios problemas que convergen.

En primer lugar, los atacantes utilizan cada vez más herramientas legítimas que ya existen en el entorno del objetivo. El software de seguridad está diseñado para detectar firmas de malware desconocidas, pero cuando un atacante utiliza utilidades del sistema integradas para mover archivos, esas acciones a menudo resultan indistinguibles del comportamiento normal de un administrador.

En segundo lugar, muchas organizaciones todavía dependen en gran medida de las defensas perimetrales. Los cortafuegos y los túneles cifrados protegen los datos en tránsito, pero una vez que un atacante ha obtenido credenciales válidas o se ha afianzado dentro de la red, las herramientas perimetrales ofrecen poca visibilidad sobre lo que ocurre lateralmente.

En tercer lugar, la fatiga de alertas es un problema real y bien documentado en los centros de operaciones de seguridad. Cuando los sistemas de detección generan miles de alertas de baja fidelidad al día, las señales genuinas de intrusión quedan sepultadas. Los atacantes lo saben y programan su actividad para camuflarse en los períodos ruidosos.

Esta es también la razón por la que confiar en una sola herramienta, incluida una VPN, genera una falsa sensación de seguridad. Una VPN cifra el tráfico entre su dispositivo e internet, lo que protege los datos en tránsito y oculta su dirección IP. Pero no hace nada para detectar o bloquear el malware que ya se está ejecutando en una máquina comprometida, y no ofrece visibilidad sobre el comportamiento del atacante una vez que las credenciales han sido robadas. La filtración de datos de youX en Australia, donde los atacantes accedieron a datos de identidad confidenciales en una empresa fintech, ilustra cómo las intrusiones sofisticadas pueden eludir las protecciones superficiales y provocar consecuencias en cascada en el mundo real.

Lo que esto significa para usted

Ya sea que sea un profesional independiente o forme parte del equipo de TI de una organización, el tiempo medio de permanencia de 2,5 semanas debería replantear su forma de pensar sobre la seguridad.

La pregunta ya no es solo "¿cómo evito que los atacantes entren?" Es igualmente "¿con qué rapidez sabría si alguien ya está dentro y qué encontraría?"

Para individuos y pequeñas empresas, esto significa:

• Asuma que las credenciales pueden verse comprometidas. Utilice la autenticación multifactor en todas partes, especialmente en el correo electrónico, el almacenamiento en la nube y cualquier herramienta de acceso remoto. Las credenciales robadas son el punto de entrada más común.
• Limite lo que es accesible. No todos los sistemas o recursos compartidos de archivos necesitan estar accesibles desde cualquier dispositivo. Restringir el acceso reduce lo que un atacante puede alcanzar tras obtener la entrada inicial.
• Supervise anomalías, no solo amenazas conocidas. Las herramientas de detección en endpoints que marcan comportamientos inusuales, como una cuenta de usuario que de repente accede a archivos que nunca toca, son más valiosas que los antivirus basados únicamente en firmas.
• Tenga un plan de respuesta a incidentes. Saber exactamente qué pasos dar en la primera hora de una brecha confirmada limita significativamente los daños. Muchas organizaciones descubren que no tienen un proceso documentado hasta que lo necesitan con urgencia.
• Segmente sus copias de seguridad. Las copias de seguridad almacenadas en la misma red que los sistemas principales pueden ser cifradas o eliminadas por los atacantes durante su período de permanencia. Las copias de seguridad fuera de línea o inmutables constituyen una capa de protección separada.

Las VPN siguen siendo una herramienta realmente útil, especialmente para proteger el tráfico en redes no confiables y preservar la privacidad frente a la vigilancia pasiva. Pero su función es una capa más entre muchas, no una defensa completa.

Construyendo una estrategia de defensa en capas

La postura de seguridad más efectiva trata la detección como una prioridad igual a la prevención. La prevención nunca es perfecta, y los datos confirman que los atacantes están mejorando a la hora de eludirla. Las organizaciones y los individuos que invierten solo en mantener a los atacantes fuera, sin hacer nada para detectarlos una vez dentro, están efectivamente ciegos durante la ventana que más importa.

La defensa en capas implica combinar herramientas perimetrales, monitoreo de endpoints, análisis del tráfico de red, controles de acceso estrictos y educación del usuario. Ningún producto por sí solo cierra todas las brechas, razón por la cual la industria de la seguridad habla de defensa en profundidad en lugar de una única solución milagrosa.

El fuerte aumento del robo de datos antes de la detección es una señal clara de que el entorno de amenazas ha madurado. Los atacantes están operando con más disciplina y paciencia que nunca. La respuesta adecuada es igualar esa disciplina con defensas en capas igualmente deliberadas, en lugar de comprar herramientas de forma reactiva después de que ocurra un incidente.

Empiece por auditar qué datos confidenciales posee, dónde residen y quién puede acceder a ellos. Esa visibilidad por sí sola ya lo sitúa por delante de la mayoría de los objetivos.