Durante el primer trimestre del año en curso, México ha experimentado un aumento alarmante en los ataques de ransomware. Este tipo de ataques, que bloquean el acceso a los sistemas informáticos hasta que se pague un rescate, están afectando no solo a empresas, sino también a instituciones gubernamentales y ciudadanos.
El Aumento de los Ataques de Ransomware en México
El país ha sido testigo de un incremento en la cantidad y la complejidad de estos ataques, dirigidos a una variedad de sectores, desde la banca y la salud hasta las pequeñas empresas. Este aumento se debe en parte a la creciente dependencia de la tecnología digital en la sociedad mexicana, lo que amplía la superficie de ataque para los ciberdelincuentes. A continuación, repasamos las familias de ransomware más activas en México durante el primer trimestre de este 2024:
Ransomware BlackMatter
A pesar de que BlackMatter detuvo sus actividades “oficialmente” en noviembre del 2021, se observan muestras aún activas de este malware cuyas infecciones se debieron principalmente por las siguientes razones:
- Los Sistemas Operativos Windows afectados eran aquellos que no contaban con parches aplicados debido a que ya no contaban con soporte (EoL), tampoco tenían instalado un producto antimalware y si contaban con alguno, este estaba totalmente desactualizado.
- El servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con contraseñas débiles susceptibles a ataques de fuerza bruta.
- Ausencia de soluciones para el monitoreo de servidores críticos.
- Implementación inadecuada de herramientas y/o políticas que pudieron detener la propagación de este malware.
Ransomware Phobos
Este ransomware al ser una versión mejorada de Crysis y Dharma, fue detectado por primera vez en el año del 2018 y de igual manera que con BlackMatter, ha sobrevivido por su modelo de negocio (RaaS – Ransomware-as-a-Service).
Al ser publicado el código fuente en línea del padre de Phobos (Crysis) las distintas empresas de ciberseguridad lograron crear las llaves de descifrado, sin embargo, hasta hoy los ciberdelincuentes fueron más cautelosos y mejoraron con Phobos el algoritmo de cifrado, negando la posibilidad de que, si un equipo es afectado, este pueda recuperar su información.
Los vectores identificados para su propagación fueron los siguientes:
- Como sucedió con BlackMatter, el servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con ausencia de credenciales.
- Los Sistemas Operativos Windows afectados eran aquellos que no contaban con parches aplicados debido a que ya no contaban con soporte (EoL).
- Ausencia de controles y políticas en el acceso a los servidores o clientes.
- Ausencia de soluciones de antimalware actualizados.
Impacto Económico y Social
Estos ataques no solo representan una amenaza para la seguridad cibernética, sino que también tienen consecuencias económicas y sociales. Las organizaciones afectadas enfrentan pérdidas financieras debido a la interrupción de operaciones y los costos asociados con la recuperación de datos. Además, la interrupción de servicios esenciales, como la atención médica, puede tener un impacto negativo en la población.
Respuesta y Mitigación de Riesgos
Es fundamental que las organizaciones implementen medidas de seguridad cibernética efectivas y estén preparadas para responder a estos ataques. Esto incluye la implementación de parches de seguridad y la realización regular de copias de seguridad de datos críticos. Además, la educación y concientización sobre seguridad cibernética son clave para prevenir estos ataques.
Colaboración y Cooperación Internacional
Dada la naturaleza transnacional de estos ataques, la colaboración internacional es crucial para combatirlos eficazmente. México debe trabajar con otros países y organizaciones para intercambiar información sobre amenazas y llevar a cabo investigaciones conjuntas.
El aumento de los ataques de ransomware en México es una preocupación seria que requiere una respuesta coordinada a nivel nacional e internacional. Solo a través de un enfoque integral y colaborativo podemos mitigar los riesgos asociados con estos ataques y proteger la infraestructura digital del país.
Consejos para tomar en cuenta para evitar ser víctima del ransomware
- Realizar copias de seguridad de todos los sistemas críticos para prevenir pérdida de información.
- Mantener los Sistemas Operativos actualizados,
- En caso de que el Sistema Operativo vaya a terminar con su soporte por parte del fabricante, elegir aquel que permita que sus actualizaciones logren cubrir un periodo mayor de 2 años.
- Tener instalada una herramienta antimalware y que se encuentre actualizada.
- Deshabilitar o asegurar las conexiones RDP (usando una VPN, 2FA, restringiendo el acceso a los usuarios y las IP que realmente lo necesitan, utilizar un puerto diferente al predeterminado) además de contar con un firewall.
- Contar con una política de accesos y contraseñas para que: las contraseñas expiren (se recomiendan períodos de 60 o 90 días y forzar el cambio periódico de contraseña), tomando en cuenta que la longitud mínima sea de al menos 15 caracteres, con combinaciones de letras, números, signos. Además de que el tiempo de bloqueo por alcanzar el umbral de accesos denegados sea de al menos 15 minutos.
- Contar con soluciones que permitan el monitoreo de peticiones entrantes y salientes desde cualquier servidor y cliente.
Paulina Jara