La microsegmentación como defensa contra el ransomware

Fecha de publicación 30/05/2023
Autor
INCIBE (INCIBE)
Ordenador portátil en fondo rojo

El cibersecuestro de datos o ransomware continúa evolucionando tanto a nivel técnico como organizacional con consecuencias devastadoras para las empresas. Motivado por su fin altamente lucrativo con un bajo coste y mínimo riesgo de detección para los ciberdelincuentes.   

En el contexto global, la importancia de este tipo de malware es tan crucial, que ya está siendo reconocido como un ataque a la seguridad nacional en algunos países. 

A nivel nacional, España se encuentra en el Top 10 de países con mayor número de ataques de ransomware recibidos en el último año.    

Se ha convertido en uno de los ciberataques más comunes, siendo una de las principales amenazas en el ámbito cibernético durante el curso 2021-2022, de acuerdo con el Informe del panorama de amenazas de la ENISA. Estos datos ponen de relieve la necesidad de implementar estrategias de defensa que aplaquen y limiten sus efectos.       
Teniendo en cuenta que los datos y los sistemas de información son partes fundamentales de las empresas para llevar a cabo cualquier actividad organizativa, perder su disponibilidad podría comprometer la viabilidad del negocio a corto plazo.   

Si bien es cierto, que cada año, este tipo de malware amplia sus activos objetivo de ataque y añade nuevas funcionalidades bloqueando, encriptando, borrando y robando documentos, carpetas y muchos más activos vitales de las empresas. A su vez, los ataques emplean estrategias cada vez más sofisticadas a fin de interrumpir la actividad principal de la empresa. Para ello, algunas estrategias centran su atención en las cadenas de suministro, es decir, en los proveedores de las empresas, para acceder a sus sistemas de información. Magnificando así su impacto, pasando fácilmente desapercibido y dejando un rastro difícil de identificar. También, aprovechan momentos vacacionales o con menos recursos para que las empresas cuenten con menor capacidad de respuesta.   

El ataque se puede perpetrar a través de distintos vectores, aunque uno de los más importantes es el correo electrónico.   

Estos mensajes suelen ir acompañados de un archivo adjunto que, al descargarlo, infecta el equipo con el ransomware. Por lo general, los mensajes suelen formar parte de una estrategia de phishing, es decir, se intenta engañar al usuario para que confíe en la legitimidad del remitente y así efectúe la descarga.            
Una vez infectado el dispositivo, se impide el acceso total o parcial de la información al usuario, generalmente por medio de métodos de cifrado. A partir de ese momento, el ciberdelincuente solicita un rescate, últimamente incluso en bitcoins porque es una moneda difícil de rastrear, a cambio de desbloquear de nuevo la información o no filtrarla. Dicho pago, además de no garantizar la recuperación, promueve este tipo de prácticas entre los ciberdelincuentes, por lo que resulta desaconsejable bajo cualquier circunstancia. En caso de ser víctima de un ransomware, te explicamos cómo proceder en este apartado de “Ayuda”.    

Conviene tener en cuenta, además, la necesidad de garantizar el cumplimiento legal en materia de protección de datos. Y es que los datos de nuestra empresa podrían quedar expuestos ante un ciberataque como este, lo que podría tener implicaciones en el RGPD.    

Fomentar la cultura y la formación en seguridad de la información constituye la primera línea de defensa ante los riesgos cibernéticos. Además, contar con copias de seguridad fuera de la red local son las medidas más utilizadas actualmente para reducir el efecto de un posible ataque. Sin embargo, estas medidas no siempre son suficientes y por ello conviene disponer de otras estrategias. En este punto, entra en juego la microsegmentación de la red empresarial.

¿Qué es la microsegmentación?  

La microsegmentación es una técnica de gestión de redes surgida de la necesidad de contar con centros de datos y despliegues en la nube seguros.        

¿Cómo? Aislando cargas de trabajo de forma independiente. Su actuación pasa por dividir los centros de datos de la empresa (equipos, redes…) en diferentes segmentos para así reducir la cantidad de procesamiento de datos de cada uno.       

Si bien las soluciones tradicionales como cortafuegos o VPN se centran en proteger el tráfico norte-sur (perímetro de la red), la microsegmentación se enfoca en la monitorización y seguridad del tráfico este-oeste (lateral).       

Está basada en la política zero trust: no dar confianza a nada y revisarlo todo

Fuente: INCIBE

- Fuente: Elaboración propia -

Beneficios de la microsegmentación:

  • Disminuye en alto grado la capacidad de ataque en entornos que poseen múltiples modelos de implementación y constantes cambios. Una plataforma de microsegmentación garantiza una continua supervisión incluso en procesos de desarrollo que implican cambios constantes. Con su uso se asegura que las políticas de seguridad se alinean conforme se van agregando y actualizando aplicaciones. Esto supone una adaptación dinámica, conforme a los cambios del sistema. Con todo ello se consigue una mayor visibilidad, es decir, se permite monitorizar el flujo de datos, y, a su vez, posibles actividades sospechosas.
  • Aumenta considerablemente la capacidad de las empresas para localizar y contener brechas de seguridad. Esto lo hace generando alertas instantáneas cuando se localizan incumplimientos de políticas y bloqueando de forma activa los intentos de emplear acciones comprometidas, tales como puntos de lanzamiento para el movimiento lateral. 
  • Favorece el cumplimiento legal al permitir aplicar un sistema de acceso basado en la identidad. En esa misma línea, permite aislar los segmentos de una infraestructura que contengan datos regulados, lográndose así una aplicación estricta de las normativas. Estos beneficios facilitan enormemente el trabajo de las auditorías. 
  • Si bien el proceso de implantación de la microsegmentación puede suponer un esfuerzo económico inicial, a largo plazo, las ventajas son importantes, siendo más eficiente y seguro. 
    • Permite mejorar la imagen de confianza de nuestra organización ante nuestros colaboradores. 
    • Disminuye la posibilidad de sufrir ataques, y limitar, en su caso, su margen de acción. 
    • Permite prevenir el incumplimiento de la LOPDGDD y las sanciones asociadas.
  • A menudo, las medidas de seguridad tradicionales se instalan sin un análisis previo de las necesidades de la organización. En cambio, la microsegmentación requiere una visión del modelo de negocio a fin de establecer unas políticas de actuación que permitirán que la implementación y el mantenimiento cuenten con un mayor grado de eficiencia.

Entonces, ¿Cómo te puede ayudar ante un ataque ransomware?   

Veamos un ejemplo de qué sucedería si recibiéramos un ataque ransomware en tu empresa.    

Mónica es asesora contable en una gestoría. Al ser final de mes, tiene pendiente terminar algunas tareas que no pueden esperar. Entre tanto, una ventana emergente le avisa de que ha recibido un nuevo correo electrónico. Interrumpe su trabajo y lo abre. El mensaje, enviado aparentemente por una Administración Pública, le informa de que se ha emitido una notificación a su nombre, facilitándole un enlace para consultarla.    

Aunque la apariencia del correo parece creíble, le extraña haberlo recibido en su dirección de empresa en lugar de en el personal. Sin embargo, no le da demasiada importancia, y considera que no tiene tiempo que perder, no sin antes confirmar el motivo de la notificación.    

Mónica clica en el enlace, pero no sucede nada. Tras unos instantes, aparece un mensaje en su pantalla: «Su sistema ha sido cifrado. Pague el rescate para recuperar el acceso». Mónica intenta acceder a sus ficheros sin éxito y pone en conocimiento al departamento de sistemas de inmediato. 

Afortunadamente, el año anterior se implantó una red basada en la microsegmentación a fin de limitar las consecuencias de un ataque como este. Gracias a ello, se había detectado la incidencia incluso antes del aviso de Mónica.    

Los atacantes han bloqueado el acceso a los ficheros del departamento de Mónica, así como a algunas aplicaciones que emplean a nivel interno. No obstante, Mónica solo ha perdido el trabajo de ese día, ya que se ha podido recuperar la información desde las copias de seguridad.    

Respecto a los otros departamentos, su actividad no se ha visto afectada, ya que las políticas de seguridad implementadas en la microsegmentación impidieron la propagación del ransomware en la red, y pérdida de trabajo de todo un día.    

Cómo hemos visto, los beneficios que ofrece la implementación de la microsegmentación son numerosos. En concreto, nos puede ayudar a defendernos ante distintos ataques como ransomware, y, por lo tanto, a contribuir a la continuidad de nuestro negocio.    

En cualquier caso, conviene recordar que las personas constituyen la primera línea de defensa. Por tanto, sensibilizar y formar al personal de nuestra empresa, nos ayudará a prevenir ataques, así como otros riesgos relacionados con el uso de nuestros sistemas de información.  

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas (seleccionando la opción de usuario de empresa o profesional), que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.       

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas