Cómo el conflicto en Ucrania podría revolucionar la amenaza del ransomware

A medida que se desarrolla la situación en Ucrania, crece la incertidumbre. Quizá sea la primera vez que vemos cómo se desarrolla una guerra moderna en una sociedad altamente conectada, donde las acciones y reacciones se suben a TikTok, Facebook o Reddit para que el mundo pueda verlas.

La forma de combatir también es diferente. Los tanques y las tropas siguen siendo la punta de lanza. Sin embargo, el ciberespacio es una parte cada vez más importante de la ofensiva global, con informaciones sobre correos de phishing dirigidos tanto al personal militar como a los ciudadanos ucranianos, y ataques de denegación de servicio (DDoS) que sobrecargan los sitios web para dañar la moral y la capacidad de respuesta de las víctimas.

Rusia ha afirmado que “nunca ha llevado a cabo ni lleva a cabo ninguna operación ‘maliciosa’ en el ciberespacio”. Sin embargo, el contenido está a la vista, y los autores de amenazas locales, como el grupo Conti, han declarado su apoyo activo a la misión rusa, amenazando con consecuencias ante cualquier intervención cibernética. Asimismo, Mykhailo Fedorov, viceprimer ministro de Ucrania, anunció la formación de un “ejército informático” y presentó una lista de objetivos prioritarios, entre los que se encuentran sitios web del gobierno y de empresas rusas.

Junto a esta lucha cibernética encontramos sanciones financieras visibles, otra arma que se está utilizando en la primera línea del conflicto y que se está aplicando globalmente contra los agresores rusos. Existe la clara posibilidad de que ambos enfrentamientos, el cibernético y el de las sanciones, continúen mucho más allá de la resolución de cualquier guerra terrestre, y plantea la posibilidad de que el panorama de las amenazas se ponga patas arriba.

Un paisaje de amenazas transformado tras la agresión rusa

Hasta la fecha, los gobiernos occidentales han tolerado los ciberataques, preocupados por las repercusiones de posibles contraataques, y aparentemente no están dispuestos a lanzar una gran ofensiva en el ciberespacio. Ahora que las líneas de batalla están tan claramente trazadas, existe la posibilidad de que las ofensivas cibernéticas de los Estados nación se vuelvan más abiertas y se conviertan en algo común en la vida cotidiana.

Podemos esperar que estos ataques sigan siendo puramente políticos, alejándose de la vida normal. Sin embargo, la prevalencia del ransomware como servicio (RaaS) y el reciente historial de aumento de ataques a hospitales, centros de transporte y plantas de agua sugieren que los ataques a las infraestructuras críticas están claramente en los planes, obligando potencialmente a los países occidentales a aprender a vivir con apagones, retrasos en el transporte y fallos en el sistema financiero.

Sin embargo, lo más probable es el cambio de política en relación con el ransomware. Los gobiernos han tolerado que se realizasen importantes pagos a autores de amenazas rusos para que las empresas pudiesen recuperarse y operar, como los que JBS Foods, que pagó 11 millones de dólares a REvil, y Colonial Pipeline, que pagó 4,4 millones de dólares a Darkside. Pero ahora que es probable que esos fondos estén fluyendo hacia una jurisdicción claramente hostil -e impulsada a recurrir a métodos ilegales para eludir las sanciones financieras- los gobiernos occidentales deben trazar una línea legal al respecto.

Las organizaciones que hasta ahora han hablado de boquilla sobre la ciberseguridad tienen un plazo muy corto para cambiar su actitud. Este conflicto tiene el potencial real de aumentar la frecuencia y la sofisticación de los ataques digitales, a la vez que elimina la posibilidad de utilizar simplemente dinero, o un seguro, para solucionar una brecha de seguridad. La resiliencia cibernética se convertirá en algo tan imperativo para una organización como su balance, ya que cada vez están más interrelacionados, y podemos esperar que la acción gubernamental refuerce que esto sea una prioridad empresarial.

¿Qué pasa entonces con los autores de amenazas? Si las empresas dejan de pagar rescates y mejoran tanto su resiliencia como su tolerancia a los daños, ¿dónde encontrarán su recompensa? ¿Quizás en ataques directos a los grandes fondos digitales que actualmente se encuentran en múltiples plataformas online de criptomonedas, o puede que desvíen su atención de las empresas y vuelvan a centrarse en los usuarios, sustituyendo un ataque de 10 millones de dólares por diez mil ataques de 1.000 dólares?

Es hora de reforzar las defensas de ciberseguridad

En este momento, los CISOs están desbordados intentando lidiar con las sedes e infraestructuras rusas de sus organizaciones, mientras miran nerviosos al horizonte para ver si algún ciberataque militar afectará al ámbito corporativo. Muchos han creado, o están preparando frenéticamente, planes multinivel alternativos para proteger su propuesta de valor; identificando las diferentes posiciones y controles que pueden adoptar para aislarse cada vez más de cualquier amenaza global mientras sus servicios principales siguen operativos.

Es poco probable que cualquier ataque, cuando llegue, abra un camino totalmente nuevo. Los controles que hemos aplicado con sentido común durante años siguen siendo relevantes. Sin embargo, ahora es esencial que se apliquen con mucha más eficacia que antes. Los parches, las copias de seguridad, la formación de concienciación, la prevención de la suplantación de identidad, la detección de amenazas y los simulacros de respuesta a incidentes forman parte de la higiene cibernética básica que deberíamos aplicar. Al igual que con el COVID, todos estábamos acostumbrados a lavarnos las manos, pero sólo cuando lo hacíamos con una regularidad alarmante se convertía en una medida realmente eficaz.

Andrew Rose, CISO residente de Proofpoint en EMEA