El 58% de los CISO pagarían rescates mientras los endpoints remotos impulsan los ataques

El 58% de los CISO pagarían rescates mientras los endpoints remotos impulsan los ataques

Un nuevo informe de Absolute Security ha puesto una cifra precisa a un problema que los profesionales de la seguridad llevan años rodeando: la protección VPN de endpoints remotos ante ransomware ya no es opcional para las fuerzas de trabajo distribuidas. Según la investigación, el 58% de los Directores de Seguridad de la Información consideraría pagar un rescate para poner fin a un ataque, citando el tiempo de inactividad operativa como el principal factor. Quizás más llamativo aún, el 57% de las empresas encuestadas informó que los ataques de ransomware se originaron desde dispositivos endpoint remotos o híbridos. Juntas, esas dos cifras ofrecen una imagen clara de dónde está fallando la seguridad empresarial y cuánto cuesta cuando eso ocurre.

Cómo los endpoints remotos e híbridos se convirtieron en el punto de entrada favorito del ransomware

El cambio hacia el trabajo distribuido creó una superficie de ataque extensa que muchas organizaciones nunca han llegado a mapear del todo, y mucho menos a proteger. Los endpoints remotos, ya sean portátiles de empleados conectados desde redes domésticas, dispositivos de contratistas en redes Wi-Fi públicas o trabajadores híbridos que alternan entre entornos de oficina y remoto, a menudo se encuentran fuera de la visibilidad directa de los equipos de seguridad empresarial. Pueden ejecutar software desactualizado, usar autenticación débil o conectarse a sistemas corporativos a través de túneles mal configurados.

Los atacantes se han dado cuenta. Las credenciales de Protocolo de Escritorio Remoto (RDP) y VPN siguen siendo algunos de los vectores de acceso inicial más explotados en las campañas de ransomware, y los dispositivos endpoint suelen ser el primer domino en caer. Una vez que un único dispositivo remoto se ve comprometido, los atacantes lo utilizan como punto de apoyo para moverse lateralmente por la red, escalando privilegios e implementando cargas de ransomware antes de que la mayoría de las organizaciones tengan tiempo de detectar la intrusión. Los hallazgos de Absolute Security, que muestran que el 57% de los ataques se remontan a endpoints remotos o híbridos, confirman que este no es un riesgo marginal. Es el patrón de ataque dominante.

Las consecuencias de ese patrón van mucho más allá de las organizaciones individuales. El ataque de ransomware a ChipSoft que expuso datos de pacientes neerlandeses ilustra lo que ocurre cuando los atacantes logran atravesar desde un endpoint hasta un sistema que almacena registros sensibles a gran escala. La sanidad, las finanzas y las infraestructuras críticas se enfrentan a un riesgo creciente a medida que sus fuerzas de trabajo se vuelven más distribuidas.

Por qué el 58% de los CISO está dispuesto a pagar y qué señala eso sobre la preparación

La disposición a pagar un rescate suele plantearse como una cuestión moral o legal, pero los datos de Absolute Security la reencuadran como una cuestión operativa. Cuando el 58% de los CISO afirma que consideraría pagar, no están respaldando actividades delictivas. Están reconociendo que sus capacidades de recuperación pueden no ser suficientes para absorber el tiempo de inactividad que sigue a un ataque importante sin asumir daños financieros y reputacionales significativos.

Eso es un problema de preparación. Las organizaciones con una infraestructura de copias de seguridad y recuperación robusta y probada, combinada con sólidos planes de respuesta a incidentes, tienen muchas menos probabilidades de enfrentarse a una situación en la que pagar parezca la única opción. El hecho de que más de la mitad de los líderes de seguridad encuestados lo consideraría sugiere que muchas empresas siguen sin estar suficientemente preparadas, especialmente cuando el ataque se origina desde un endpoint que se encuentra fuera de los perímetros de seguridad tradicionales.

También refleja el elevado coste que ha adquirido el tiempo de inactividad. Las cadenas de suministro, los servicios orientados al cliente y las operaciones internas dependen del acceso continuo a sistemas y datos. Cuando el ransomware bloquea esos sistemas, cada hora de tiempo de recuperación tiene un valor monetario mensurable. Ese cálculo, y no la flexibilidad moral, es lo que impulsa las decisiones de pago de rescates. Y como dejó claro el propio compromiso del correo electrónico del Director del FBI, ninguna organización ni individuo está categóricamente a salvo de los ataques dirigidos.

Cómo la infraestructura VPN reduce la superficie de ataque y el riesgo de movimiento lateral

Una VPN bien implementada no es una solución mágica, pero sí es una capa fundamental que, cuando está correctamente configurada, reduce significativamente la exposición que generan los endpoints remotos. Los túneles cifrados evitan la interceptación de credenciales en redes no seguras. La segmentación de red aplicada a través de políticas VPN limita hasta dónde puede moverse un atacante una vez dentro. Y los requisitos de autenticación centralizada significan que los dispositivos comprometidos tienen menos probabilidades de atravesar la red en silencio sin ser detectados.

La palabra clave es "correctamente". Las configuraciones VPN que dependen de la autenticación de un solo factor, que otorgan acceso amplio a la red en lugar de permisos con alcance definido, o que permanecen sin parchear durante períodos prolongados, pueden convertirse ellas mismas en vectores de ataque. El principio de mínimo privilegio, aplicado en la capa VPN, significa que un endpoint comprometido solo puede acceder a los recursos específicos que necesita, no a toda la red corporativa. Combinar el acceso VPN con autenticación multifactor y verificaciones del estado del endpoint antes de la conexión crea una barrera significativa que ralentiza a los atacantes y brinda a los defensores tiempo para responder.

Para las fuerzas de trabajo híbridas en particular, la aplicación coherente de políticas VPN en todos los tipos de dispositivos, incluidos los dispositivos personales utilizados para trabajar, es esencial. La superficie de ataque que describe el informe de Absolute Security es, en parte, una brecha en la aplicación de políticas tanto como un problema técnico.

Qué pueden hacer ahora los equipos distribuidos para reforzar sus endpoints

Los hallazgos de Absolute Security son un llamado a la acción, no solo a la reflexión. Las organizaciones con fuerzas de trabajo distribuidas pueden tomar medidas concretas para reducir el riesgo que representan los endpoints remotos.

Audite su inventario de endpoints. No puede proteger lo que no puede ver. Un inventario completo y actualizado de cada dispositivo que se conecta a los sistemas corporativos, incluidos los dispositivos de contratistas y personales, es el punto de partida de cualquier estrategia de seguridad de endpoints.

Aplique MFA en todas las conexiones VPN. Este único control elimina una categoría significativa de ataques basados en credenciales. Las contraseñas robadas por sí solas no deberían ser suficientes para obtener acceso remoto.

Segmente el acceso a la red por rol. En lugar de conceder a los usuarios remotos un acceso amplio a la red, configure las políticas VPN para que cada usuario o clase de dispositivo solo pueda acceder a los sistemas relevantes para su función. Esto limita el movimiento lateral si un dispositivo se ve comprometido.

Parchee los endpoints y la infraestructura VPN de manera consistente. Muchas intrusiones de ransomware de alto perfil explotan vulnerabilidades conocidas para las que ya existen parches. La gestión automatizada de parches elimina el retraso humano en el que confían los atacantes.

Ponga a prueba su plan de recuperación. Si un ataque de ransomware afectara hoy a sus sistemas más críticos, ¿cuánto tiempo tardaría la recuperación? Realizar ejercicios de simulación y pruebas de restauración de copias de seguridad con regularidad es la única manera de responder honestamente a esa pregunta y cerrar las brechas antes de que importen.

El informe de Absolute Security es un punto de referencia útil sobre dónde se encuentra actualmente la seguridad empresarial en cuanto a preparación ante el ransomware. Las cifras son reveladoras: la mayoría de los ataques comenzando en endpoints remotos, y la mayoría de los líderes de seguridad que sienten que el pago puede ser inevitable. Pero también señalan directamente lo que necesita cambiar. La visibilidad de los endpoints, las políticas VPN aplicadas con rigor y las capacidades de recuperación probadas no son controles exóticos. Son la base que toda organización distribuida debería poder verificar. Evaluar si su configuración actual realmente cumple con ese estándar es el lugar adecuado para comenzar.