Lecciones aprendidas debido al ataque Cibernético del Grupo Conti

Back view of hacker at desktop with coffee cup using computers in modern interior. Hacking and criminal concept

  • Siempre se pueden tomar medidas antes, durante y después de un incidente para minimizar el impacto en las organizaciones, según los expertos en Ciberseguridad.

Las amenazas cibernéticas a organizaciones gubernamentales y privadas, es una realidad latente para los países de la región centroamericana y caribe, lo vivido por Costa Rica en el último mes así lo demuestra.

En la mayoría de los casos, estos incidentes pasan desapercibidos por la población en general, pues en la región no existen políticas públicas que obliguen a las organizaciones a informar y, por ende, contabilizar estos ataques; a diferencia de países de Europa y Estados Unidos, en los que sí se tiene esta información cuantificada.

Con el objetivo de abordar cómo una organización puede protegerse expertos de SISAP (Sistemas Aplicativos) una empresa experta en ciberseguridad a nivel regional con trayectoria de más de 35 años nos brindan sus recomendaciones.

Imagen de archivo

¿Cuál es el impacto que tienen este tipo de ataques cibernéticos?

Para Mauricio Nanne, CEO de SISAP, el impacto para una organización puede ser grave, dependiendo de las medidas que se hayan tomado antes, durante y después del ataque. Siempre la prevención será la mejor opción para poder lidiar con este tipo de incidentes, pero para darle una idea podemos resumirlo así:

Si los atacantes logran cifrar los datos, esto repercute con la detención total o parcial de las operaciones de la organización, los números dependerán de cada industria, pero nadie quiere verse forzado a dejar de producir y vender. El tiempo que demorarán en restaurar la operación dependerá de si contaban con respaldos (backups) o no, y qué tan limpios se encontraban.

Otro tema por considerar es que si los datos confidenciales se divulgan pueden tener impactos legales y reputacionales para la organización. Por lo que, se deberá preveer este tipo de escenarios y actuar rápidamente.

En todo caso, el impacto será alto, requiriendo posiblemente fuertes inversiones, defensas legales y manejo de reputación.

¿Cuáles son las recomendaciones que se pueden dar a las organizaciones?

Este es un tema muy extenso, que amerita programas completos.  Sin embargo, dada la urgencia de la crisis vale la pena considerar:

  • Tener buenos respaldos de datos y bibliotecas, validados de que estén limpios y FUERA DE LÍNEA.
  • Implementar de urgencia evaluación de vulnerabilidades y mitigación a los servidores, comenzando por los más críticos.
  • Asegurar que los usuarios que tienen cuentas de correo no abran ni hagan clic en correos e hipervínculos sin estar seguros de que vienen de un origen genuino y confiable. 
  • Asegurarse que todos los ENDPOINT tengan una versión reciente (menos de una semana) de su protección (ANTIVIRUS o ENDPOINT SECURITY) idealmente de última generación o que incluya EDR.
  • Habilitar bitácoras detalladas en sus firewalls, IPS, Anti-spam, Gateway de Navegación, Servidores Críticos, con suficiente tamaño para que no se sobre escriban por lo menos en dos meses.  Sacar frecuentemente copia de las bitácoras y almacenarlas fuera de línea, para poder hacer una investigación forense en caso de que se comprometan los dispositivos.
  • Restringir al máximo la navegación.
  • Aplicar estas mismas recomendaciones en sus infraestructuras y servicios en la nube.
  • Revisar constantemente bitácoras de los firewalls para detectar tráfico saliente anormal (indicación que están exfiltrando datos).
  • Crear un Plan de Manejo de Crisis, definiendo las funciones de las personas que participarán y el portavoz oficial.
  • Validar que sus proveedores principales también cumplan con estas recomendaciones, para reducir su riesgo de interrupción de cadena de suministro.
Imagen de archivo

Mauricio Nanne, señala que el ataque inicia por correos engañosos (PHISHING) o explotación de vulnerabilidades (HACKING) a la infraestructura de las instituciones.  Una vez logran penetrar las defensas, instalan programas maliciosos conocidos como Malware que les permite tomar control remoto de los dispositivos.  Con esto inspeccionan la red de la institución, buscando información que pueda ser de valor a terceros, como sus clientes o ciudadanos, o a la propia institución. 

Una vez encontrada esta información, la extraen y la llevan a servidores bajo su control, posiblemente de terceros, también comprometidos.  Cuando ya han extraído la información, proceden a cifrar o encriptar todo lo que pueden, especialmente los servidores que proveen servicios básicos a la institución, tales como servidores de directorio, bases de datos, servidores de aplicaciones, etc.

Kedy Chavarría

Deja un comentario

Tu dirección de correo electrónico no será publicada.

es_CRSpanish