Los incidentes de ransomware causan daños importantes en muchos niveles, incluida la salud física y mental; Una nueva investigación del grupo de expertos en seguridad del Reino Unido, Royal United Services Institute, ha clasificado este impacto en tres categorías (Figura A):
- Daños de primer orden: Los daños a las organizaciones y su personal. Los ejemplos incluyen pérdida de datos, daño a la reputación y ataques cardíacos.
- Daños de segundo orden: Los daños indirectos a organizaciones e individuos. Los ejemplos incluyen clientes y clientes de las cadenas de suministro que pueden verse afectados y que se interrumpen los tratamientos contra el cáncer de los pacientes.
- Daños de tercer orden: Los daños a la sociedad, la economía y la seguridad nacional en general. Un ejemplo incluye a los ciudadanos que pierden confianza en la capacidad de un Estado para proporcionar servicios básicos.
Figura A
La investigación de RUSI se basa en entrevistas con víctimas y personal de respuesta a incidentes de ataques de ransomware y refleja “tipos de daños nuevos y existentes en el Reino Unido y otros países”.
Daños de primer orden: objetivos directos de los ataques de ransomware
Los objetivos directos son las organizaciones y el personal directamente expuestos al ransomware.
Daño a la infraestructura
Las organizaciones afectadas por un ataque de ransomware pueden sufrir daños físicos o digitales a sus datos y sistemas. La pérdida de datos por el cifrado de datos mediante ransomware puede ser devastadora, especialmente si el actor de la amenaza logra acceder también a los sistemas de respaldo y dejarlos inservibles. Miles de computadoras también pueden quedar inutilizables para sus usuarios, lo que obliga a las organizaciones a volver repentinamente a operar “con lápiz y papel”.
La tecnología operativa también podría verse afectada. La creciente convergencia de TI y OT hace que las infraestructuras físicas sean más vulnerables al ransomware, aunque la mayoría de los operadores de ransomware carecen de la capacidad de comprometer directamente OT o sistemas de control industrial; un ejemplo es cuando el impacto del ransomware en TI impide que otros sistemas (por ejemplo, controles de incendios, puertas, portones o circuito cerrado de televisión) funcionen correctamente.
La respuesta de una organización a incidentes de ransomware puede afectar el negocio porque los manejadores de incidentes a menudo necesitan aislar partes de la infraestructura de TI para llevar a cabo sus operaciones de corrección y recuperación, a veces durante semanas.
VER: Estudio del NCSC: La IA generativa puede aumentar la amenaza global de ransomware (República Tecnológica)
Daño financiero
El daño financiero atribuido a los ataques de ransomware, si bien tiene un gran impacto para las organizaciones, puede ser difícil de estimar. Si bien el costo del pago de un rescate se puede medir fácilmente, es más difícil estimar la pérdida financiera resultante del incidente y el tiempo que llevó recuperar los sistemas, como las oportunidades perdidas y la reducción de la productividad. Según el estudio, “muchas organizaciones generalmente tienen una comprensión limitada del impacto financiero general que un ataque de ransomware tiene en la organización, particularmente con respecto al daño financiero que no está cubierto por una póliza de seguro o que se desarrolla a largo plazo”.
Los costos adicionales, como la contratación de terceros para ayudar con la respuesta al incidente, a menudo exceden con creces el monto del pago del rescate. Los equipos de respuesta a incidentes, cuando están externalizados (por ejemplo, abogados y profesionales de relaciones públicas), se vuelven muy costosos cuando los incidentes son complejos.
Daño reputacional
El daño a la reputación es otra preocupación principal para las organizaciones que son víctimas del ransomware. Las víctimas temen las malas noticias de los medios y los clientes que podrían considerar que la organización no puede proporcionar un servicio en particular. Sin embargo, RUSI informó que algunos entrevistados, incluidos abogados y expertos en comunicación de crisis, indicaron que “el daño a la reputación puede no ser tan grave como se supone en la literatura”, sin embargo, el riesgo de daño a la reputación es mucho mayor en caso de filtración de datos o si Se interrumpen los servicios al cliente.
Daño psicológico y físico.
El daño psicológico de los ataques de ransomware al personal es intenso y a menudo se pasa por alto. El estrés considerable que sufren las personas involucradas en la respuesta a los ataques de ransomware puede llevar a las empresas a contratar un equipo de apoyo para el trastorno de estrés postraumático. Los niveles más altos de empleados sufren estrés debido a preocupaciones financieras, mientras que los mandos intermedios sufren estrés causado por jornadas laborales extremadamente largas, incluidas comunicaciones particularmente estresantes con el actor de la amenaza. Los equipos de TI son las principales víctimas, ya que sufren condiciones laborales extremas y se sienten una responsabilidad directa en la protección de los sistemas de la organización. Los equipos de TI también tienen un conocimiento muy detallado de la gravedad de la situación desde un punto de vista técnico.
Otros empleados pueden sentir confusión y pérdida de orientación porque no están familiarizados con los detalles técnicos o no tienen suficiente información para tener una idea completa de la situación.
El personal de TI u otros empleados también pueden sentir ira hacia el atacante o ansiedad/terror.
Además, el personal podría sufrir daños físicos como resultado de ataques de ransomware; Los posibles efectos son cambios de peso, falta de sueño, agotamiento mental, agotamiento físico, ataques cardíacos o derrames cerebrales. Un entrevistado informó que conocía a un miembro del personal de TI que se quitó la vida tras un incidente de ransomware.
Daños de segundo orden: consecuencias indirectas de los ataques de ransomware
Esta categoría involucra a organizaciones e individuos perjudicados indirectamente por ransomware, como clientes o clientes o en la cadena de suministro de una entidad víctima.
Daño a la infraestructura
Para empezar, los ataques de ransomware a fuentes de TI subcontratadas pueden ser perjudiciales; Los proveedores de servicios en la nube podrían ser atacados y sus clientes podrían terminar perdiendo sus propios datos. La fabricación y la logística también forman parte de las cadenas de suministro que podrían ser objeto de ataques. En estos casos, los clientes que no pueden obtener sus productos o servicios a tiempo del proveedor víctima podrían perder negocios o sufrir retrasos.
Daño reputacional
Las partes de la cadena de suministro afectadas por el ransomware también suelen perder la confianza de sus clientes; esos clientes podrían decidir elegir otros proveedores.
Los ataques de ransomware pueden robar datos de las empresas indirectamente a través de sus proveedores, lo que podría dar lugar a que los datos queden expuestos públicamente o se vendan a otros ciberdelincuentes en mercados clandestinos. Todo esto provoca daños a la reputación una vez que se conoce públicamente.
Daño físico
La salud de las personas puede verse perjudicada por los ataques de ransomware. Por ejemplo, los ataques de ransomware han obligado en algunos casos a los hospitales a posponer cirugías o interrumpir los tratamientos contra el cáncer de los pacientes, lo que, además de los retrasos, también provoca mucho estrés y ansiedad. Los servicios de emergencia también podrían desviarse a otros hospitales, lo que afectaría la supervivencia y la recuperación de los pacientes.
Daño financiero
Las personas podrían verse afectadas financieramente; por ejemplo, en el Reino Unido, los ataques de ransomware contra las autoridades locales interrumpieron la capacidad de los residentes para acceder a beneficios de vivienda. Los actores de amenazas podrían intentar extorsionarlos con datos obtenidos del ataque. Los atacantes podrían, por ejemplo, chantajear a personas y amenazar con revelar información de salud u otra información personal sobre ellas.
Los costos de bienes y servicios para las personas podrían aumentar como reacción al costo de la respuesta al incidente y la remediación para la organización afectada.
Daños de tercer orden: el impacto del ransomware en las naciones y la sociedad
Esta última categoría describe los efectos de la actividad de ransomware en la economía, la sociedad y la seguridad nacional de un país.
Daño a la seguridad nacional
El ransomware se considera ampliamente una amenaza a la seguridad nacional, principalmente por estas dos razones:
- La perturbación de infraestructuras nacionales críticas y sectores estratégicos.
- La ventaja estratégica que el ransomware puede crear para los estados hostiles.
Dos ejemplos de estas amenazas son:
- Las operaciones de ransomware vinculadas al régimen de Corea del Norte, que tienen motivaciones financieras y tienen como objetivo generar ingresos para el régimen.
- Según el estudio, los atacantes de ransomware de habla rusa cuyas operaciones se benefician de un puerto seguro en Rusia, el Estado mantiene estrechos vínculos con ciberdelincuentes o grupos, y los coopta a ellos o a sus capacidades para sus propias necesidades.
Daño social
Puede haber daños sociales como reacción a los ataques de ransomware. Por ejemplo, los ciudadanos podrían perder la confianza en Estados que parecen no ser capaces de protegerlos o proporcionarles servicios básicos en ningún momento, especialmente cuando se trata de atención sanitaria.
La interrupción de organizaciones específicas que son obligatorias para las naciones tiene el potencial de causar un daño económico enorme que puede tener un impacto en sociedades enteras.
¿Por qué no hay muchos comentarios sobre los daños del ransomware?
Las víctimas de ataques de ransomware rara vez comparten sus experiencias. En el mejor de los casos, las empresas comparten públicamente un informe de respuesta a incidentes para ayudar a otras organizaciones a mejorar su defensa, pero también a menudo para mostrar a sus clientes que han manejado la amenaza de manera receptiva; sin embargo, muchas organizaciones permanecen en silencio por varias razones: preocupaciones de reputación. , miedo o razones legales.
Los informes compartidos de respuesta a incidentes suelen ser muy técnicos, pero carecen de detalles importantes sobre el daño causado, además de los financieros: quiénes fueron las víctimas indirectas, que pueden incluir otras organizaciones, comunidades e individuos, y la sociedad en general, y cómo se vieron afectados. Como afirma RUSI en el informe, “los ataques de ransomware tienen un impacto humano real que aún no se ha comprendido ni medido por completo”.
Cómo limitar los daños después de un ataque de ransomware
En cuanto a la infraestructura, es necesario compartir comentarios claros sobre la respuesta a incidentes entre todo el personal involucrado en la respuesta a incidentes para ayudar a aumentar la eficiencia si otro ataque de ransomware afecta a la empresa más adelante. La retroalimentación debe incluir detalles de la respuesta al incidente técnico, así como describir qué falló y qué funcionó.
Las organizaciones deben ayudar al personal que está muy involucrado en la respuesta a incidentes de ransomware y que podría sufrir trastorno de estrés postraumático ofreciéndoles la posibilidad de consultar a expertos médicos o psicológicos.
Se deben realizar ejercicios de respuesta a incidentes de forma regular para capacitar a los encargados de responder a incidentes para mejorar contra esta amenaza y disminuir el estrés que podrían sentir cuando un incidente de ransomware afecta a la empresa.
Cómo prevenir ataques de ransomware
Las organizaciones siempre deben realizar copias de seguridad de sus datos importantes en dispositivos externos o servicios seguros en la nube y asegurarse de que solo el personal autorizado pueda acceder a los datos.
Se deben utilizar soluciones de seguridad basadas en el comportamiento de los terminales para detectar signos tempranos de actividad de ransomware, como la modificación masiva repentina de nombres de archivos.
Todos los sistemas operativos, software y firmware deben mantenerse siempre actualizados y parcheados para evitar verse comprometidos por una vulnerabilidad común.
Cuando sea posible, se debe utilizar la segmentación de la red para reducir las posibilidades de que toda la red se vea afectada por el ransomware.
Conclusión
Los ataques de ransomware y sus efectos se comprenden bien desde un punto de vista técnico, pero es difícil estimar los costos de recuperación de esos ataques y aún más difícil estimar todo el impacto que tienen en las naciones, las organizaciones, el personal y los individuos. En particular, el impacto psicológico de los ataques de ransomware se pasa por alto en gran medida y debería tenerse mucho más en cuenta.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
