La evolución del Ransomware: ¿qué ocurre en España?
La situación en España, plasmada en el Cisco Security Capabilities Benchmark Study 2018 (SCBS), con entrevistas realizadas a 150 responsables de Seguridad de nuestro país, muestra que España tiene el porcentaje más bajo de Europa de alertas investigadas: sólo el 48% frente a la media europea del 57%.
Fuente: 2018 Security Capabilities Benchmark Study
Esto significa que, en España, nada menos que el 52% de las alertas son eventos a los que nadie presta atención. Y que a menudo constituyen las primeras señales de campañas de malware que se descubren tarde, cuando la empresa ya es víctima del ataque.
Esto sucede principalmente por la falta de recursos –de tiempo y personal- para hacer frente a todas las exigencias del departamento informático. No en vano, también según el SCBS,
- El 33 % de las empresas entrevistadas ha señalado la falta de personal cualificado como uno de los obstáculos principales para la adopción de tecnologías avanzadas de ciberseguridad.
- Al 50% de las alertasconsideradas realmente peligrosas no se les aplican los métodos adecuados de corrección.
Por el contrario, los delitos informáticos han mejorado su efectividad, según el Annual Security Report de Cisco. Este cambio se ha producido a partir de 2017 con el ransomware Nyetya y WannaCry: los delitos informáticos han alcanzado cotas de eficacia e ingenio sin parangón.
Después de Nyetya y WannaCry, de hecho, ya no es decisivo el factor humano para tener éxito en las campañas de ransomware: ahora el ransomware se autopropaga solo y a gran escala. Hemos entrado en la era del worm ransomware, donde ya no es necesario un error humano para activar este peligroso malware.
Antes de esta nueva fase evolutiva, el malware se propagaba descargándolo de Internet, a través del correo electrónico, haciendo clic en un enlace o mediante el uso de memorias externas. Todos ellos son canales que necesitan la interacción humana para infectar un dispositivo o un sistema. Hoy, con el empleo de estos nuevos vectores por parte de los ciber-delincuentes, es suficiente un dispositivo conectado y desprovisto de actualizaciones para lanzar un ataque de ransomware a través de la red.
El problema es que la peligrosidad del malware que se auto-propaga es mucho mayor que la anterior. Según nuestros investigadores, potencialmente podría impedir el funcionamiento del mismo Internet.
Y no sólo eso: una de las razones por las que Nyetya ha conseguido difundirse a gran escala es porque ha aprovechado el “blockchain”, o cadena de suministro. Es decir: los usuarios no han tenido en cuenta que una actualización de software automática pudiese constituir un peligro para la seguridad.
Una prueba de ello es que, en septiembre de 2017, los usuarios del programa CCleaner fueron objeto de un ataque oculto en un paquete de actualizaciones.
¿Aumentarán los ataques a las cadenas de suministro?
Sí. Según el informe anual de Cisco, aumentarán tanto en términos de velocidad como de complejidad, y los daños podrán durar meses o incluso años.
¿Cómo se enfrentan a esta situación las empresas españolas?
Son muchas las acciones que pueden emprenderse.
Una tendencia emergente que estamos percibiendo en muchos de nuestros clientes es proveerse de soluciones de aprendizaje automático (machine learning) que ‘aprenden’ del gran volumen de datos de amenazas.
De hecho, según el SCBS, el 82% de las empresas españolas confían en el aprendizaje automático para gestionar problemas de este tipo, en los que es necesario optimizar los recursos y reducir el nivel de riesgos para la empresa.
¿Por qué, cuando se adopta una solución de aprendizaje automático, se hace hincapié en la cantidad de datos facilitados por un centro de investigación?
Como sabemos, los sistemas automatizados son principalmente máquinas que crean modelos de comportamiento del malware utilizando los datos de los que disponen: cuanto mayor sea la cantidad y calidad de los datos analizados, más precisos serán los modelos generales y, por tanto, los análisis realizados.
Veámoslo con un ejemplo concreto. Las soluciones de aprendizaje automático de Cisco, como Cisco Cognitive Threat Analytics, se basan todas en los datos facilitados gratuitamente a nuestros clientes por el centro de investigación de Cisco llamado Talos.
¿Qué cantidad de datos proporciona Talos?
- Un millón y medio de nuevo malware descubierto cada día.
- 600.000 millones de correos electrónicos analizados diariamente, de los cuales el 86% son reconocidos como correo no deseado (spam).
- Para comprender el alcance de la telemetría ofrecida por Talos basta pensar que es el único centro de investigación capaz de detener automáticamente al día 300.000 ataques de malware.
Como ha sido demostrado por la española Ibermutuamur, gracias a que la empresa es capaz de sostener un elevado nivel de riesgo, puede ofrecer servicios y productos de vanguardia de manera rápida, eficiente y sostenible.
En palabras de la Directora de Seguridad de la Información de Ibermutuamur, María de la Peña, “todo incidente evitado justifica por sí solo el uso de sistemas de protección avanzados”
Invertir en ciberseguridad significa generar innovación. Cuando una empresa consigue gestionar de manera sostenible un elevado nivel de riesgo, es el momento en el que puede ofrecer servicios y productos de vanguardia de forma continua y eficiente.
Más información
- Descargue el Informe Anual de Ciberseguridad de Cisco 2018. En el primer capítulo encontrará los detalles del análisis del worm ransomware.
- Consulte el resto de los datos sobre el estado de la ciberseguridad en España.
También puede interesarle:
1 Comentarios