Internacional. Guardicore asegura que la microsegmentación puede romper una cadena de ataques ransomware, pues lo contiene en sus etapas más tempranas evitando así que llegue a hacer daños.
Oswaldo Palacios, ejecutivo de cuentas senior para Guardicore, aseguró que conocer toda la cadena de ataque de ransomware, así como las evidencias que preceden a la agresión aumenta drásticamente la capacidad para limitar el impacto de este tipo de amenazas y, en algunos casos, limita la probabilidad de que sucedan.
El directivo mencionó que este tipo de asaltos son producto de la curiosidad humana, al dar ingresar en links y abrir mails con títulos como “aquí tienes tu envío de DHL”, “tu pareja es infiel… aquí tienes las pruebas”, “su cuenta de Amazon está comprometida”, etcétera. Por ello, es importante conocer el modus operandi de los ciberdelincuentes y tener en cuenta todos los posibles puntos débiles, desde la red hasta la nube.
En definitiva, el contexto actual es que los ciberdelincuentes y los ‘hackers de estado’ se han vuelto lo suficientemente sofisticados como para utilizar el ransomware e introducirse en grandes empresas, administraciones federales, infraestructuras globales u organizaciones de salud pública y paralizarlas.
De hecho algunos datos relevantes son que para el 2011, hubo un ataque de ransomware cada once segundos en el mundo, con un costo global de 20. 000 millones de dólares. Hoy en día, el costo promedio por rescatar información de un ataque ransomware asciende a los 84 mil dólares y, de acuerdo con datos del informe IBM Security X-Force Threat Intelligence Index 2022, el ransomware persistió como el principal método de ataque observado en 2021, donde América Latina representó el 29% de los ataques.
Lo más delicado es que, según el mismo informe, los grupos responsables no mostraron signos de detenerse, a pesar del repunte en defensas contra sus ataques. Otros datos de este documento apuntan que REvil fue el tipo de ransomware más común y el promedio de vida de una banda, antes de cerrar o cambiar su marca, es de 17 meses.
Fases de un ataque ransomware

De acuerdo con Oswaldo Palacios, una cadena de ataque generalmente se divide en cuatro fases. Primero la ‘infección inicial’, momento en que el hacker vulnera el perímetro, aquí los entes maliciosos deben conseguir un punto de apoyo inicial. Normalmente, este no es un objetivo lucrativo ni un administrador.
Como segundo está el ‘movimiento lateral’, en esta fase el atacante busca obtener los privilegios necesarios para el cifrado, mientras avanza hacia los sistemas y activos valiosos.
En tercer lugar encontramos el ‘cifrado’, que es cuando el ransomware ingresa en un equipo de destino, este es el punto donde si la organización víctima del ataque tuviera una política de segmentación adecuada podría minimizar el daño.
Finalmente está la fase de ‘propagación’. El ataque llega a las copias de seguridad, archivos valiosos y cargas de trabajo necesarias para la actividad empresarial, lo que decanta en “una catástrofe”.
Para explicar esto mejor Oswaldo Palacios se refirió a un caso ejemplar, el ciberataque a Colonial Pipeline, una de las compañías de oleoducto más importante de Estados Unidos, que pagó casi cinco millones de dólares al grupo de ransomware DarkSide, en un ataque que provocó el corte de suministro de combustible en gran parte de su país.
En este caso “los ciberdelincuentes lograron acceder a la red a través de una cuenta de red privada virtual, que permitía a los empleados ingresar de forma remota a la red de la compañía. De esa manera tuvieron un acceso al perímetro, luego avanzaron hacia la escalada de privilegios con el objetivo de acceder a los datos más valiosos y confidenciales, para finalmente cifrarlos. Definitivamente fueron muy agresivos, por esta razón el ataque fue muy exitoso”.
La microsegmentación como respuesta
Entonces, para el directivo de Guardicore la microsegmentación interrumpe la cadena de ataque de ransomware en las fases más tempranas, antes de que se produzcan los daños.
De acuerdo con la consultora Forrester, la microsegmentación consiste en dividir una red hasta un nivel granular de forma que los equipos de seguridad cuenten con la flexibilidad para aplicar el nivel adecuado de protección a cada carga de trabajo, basándose en la sensibilidad y en el valor del negocio.

De tal manera, el enfoque de microsegmentación comienza con la visualización. Uno de los grandes obstáculos a los que se enfrentan muchas organizaciones es la falta de una visión clara de la actividad en todos los entornos locales y en la nube. “La microsegmentación recopila y muestra información granular sobre los usuarios, los sistemas y los flujos de comunicación, utilizando la inteligencia artificial y las integraciones con las fuentes de datos existentes para añadir contexto”, explicó Oswaldo Palacios.
El directivo agregó que con unos pocos clics desde el mapa interactivo, o seleccionando de una biblioteca de recomendaciones de políticas, es posible implementar políticas altamente granulares, hasta el nivel de procesos y usuarios individuales si es necesario. “Por último, podemos empezar a aplicar la política que interrumpirá la cadena de ataques, existe la posibilidad de crear políticas personalizadas que se adapten a las necesidades únicas de una empresa”, indicó.
Para finalizar, Palacios reiteró que la combinación de visibilidad completa y la creación de políticas impulsadas por el contexto es lo que hace que una solución de microsegmentación aporte un valor increíble a las empresas y ofrezca más oportunidades para interrumpir la cadena de ataques de ransomware en las fases más tempranas.

