Ante el auge
del Ransomware, algunos se preguntaran como puede enfrentarse esta plaga. Hay
algunas buenas
prácticas que mencioné anteriormente, pero la mejor defensa es identificar
el posible daño y como afectaría a la organización.
Un proceso de
gran utilidad en la identificación de impactos y vulnerabilidades de un ataque
digital es el análisis de riesgo. En su
definición mas general, riesgo es producto de la explotación de una
vulnerabilidad por un agente externo o interno. El impacto de un riesgo en
particular dependerá de la criticidad del sistema afectado.
A pesar de
que solo organizaciones con prácticas de seguridad informática maduras
practican análisis de riesgo de manera continua, cualquier tipo de organización
puede obtener beneficios de este análisis.
Una ventaja del
análisis es permitir a la organización proceder de manera sistemática en la
identificación de vulnerabilidades y riesgos que impacten de manera negativa a la
organización. Adicionalmente, la práctica formal minimiza los errores de juicio
que son comunes cuando no existe un análisis ponderado de una situación dada.
La
identificación de diferentes factores de un riesgo determinado puede conllevar
algún tiempo. Identificar el primer factor, el agente externo o interno en el
análisis de riesgo de ransomware es posiblemente el menos complicado. En
algunos pocos casos, digamos entidades militares, será importante diferenciar
entre un agente extranjero o nacional. Pero en la mayoría de casos basta saber
que existen organizaciones delictivas dedicadas a la extorsión digital. Estos
serán los agentes, o amenazas, que explotarían una vulnerabilidad existente.
Identificar
vulnerabilidades puede ser bastante mas complicado. En el caso de ransomware
los tradicionales escáneres de vulnerabilidades son de poca utilidad. Antivirus
y otros agentes de defensa en los equipos tampoco sirven mucho. Equipos
proxies y software de seguridad ATP
(Advanced Threat Protection) tienen mayor éxito contra sitios web contaminados,
pero aun así existen muchos sitios contaminados sin reportar.
Ransomware no
explota una vulnerabilidad especifica de un sistema operativo o programa sino
que toma ventaja de los datos a los que tenga acceso un usuario.
Desafortunadamente
un error común es asumir que solo los datos locales son afectados. Ransomware
puede bloquear datos que residan tanto en un equipo local o en la red
empresarial.
Solo el
adecuado conocimiento del tipo de acceso de datos que diferentes usuarios
poseen permite un adecuado análisis. Por esa razón, en el análisis deberá
participar personal de diferentes departamentos o áreas. Análisis realizados al
interior de un departamento de sistemas sin la participación de otras áreas
será insuficiente, y peor genera el común sentido de complacencia de muchos
jefes de sistemas e incluso de auditoría.