Microsegmentación contuvo ataque de ransomware en banco latinoamericano

Las víctimas de varios grupos de ransomware tienen casi seis veces más probabilidades de sufrir un ataque posterior en los tres meses siguientes al ataque inicial.

Un prestigiado banco con más de 30 años de experiencia fue objeto de un ataque cibernético que logró contener gracias a su estrategia de microsegmentación.

Con ayuda de la microsegmentación, los equipos de seguridad pueden usar medidas de mitigación en cada uno de los pasos de la cadena de exterminio del ransomware.

El ransomware ha evolucionado hasta convertirse en una empresa cibercriminal que va más allá de mantener como rehenes archivos o sistemas. Los atacantes están cambiando con el uso de tácticas novedosas para maximizar sus daños hacia las organizaciones. El abuso desenfrenado de las vulnerabilidades de día cero en los últimos seis meses ha provocado un crecimiento del 143% en el número de víctimas.

En el ámbito geográfico, América Latina y el Caribe es una de las regiones con mayor incidencia de ciberataques en el mundo; en 2023 se convirtió en la cuarta geografía más atacada, de acuerdo con el informe X-Force Threat Intelligence Index 2024 de IBM. Sectores como Finanzas, Seguros  y Retail se ubicaron en el primer lugar como las industrias más atacadas, con el 25% cada uno. Datos de varias firmas de ciberseguridad destacan que la región recibe más de 1,600 ciberataques por segundo.

Oswaldo Palacios, Senior Account Executive de Akamai, destaca que “un ataque de Ransomware comienza cuando los correos electrónicos de phishing manipulan a los usuarios para que descarguen y ejecuten un archivo adjunto malicioso. El eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico”, precisa.

La investigación de Akamai, El Ransomware en movimiento, revela que las víctimas de varios grupos de ransomware tienen casi seis veces más probabilidades de sufrir un ataque posterior en los tres meses siguientes al ataque inicial. Es una carrera contrarreloj para que las organizaciones cierren las brechas en su entorno debido a la probabilidad de ser atacadas por otro grupo.

De ahí la importancia de implementar una estrategia de ciberseguridad acompañada de un enfoque de  microsegmentación, resalta Oswaldo Palacios, quien recuerda que un prestigiado banco latinoamericano con más de 30 años de experiencia especializado en proporcionar a las empresas soluciones de asesoramiento financiero, con una sólida cartera de servicios que incluye; divisas, instrumentos de cobertura, crédito, cuentas digitales e inversiones, fue objeto de un ataque cibernético que logró contener.

De acuerdo con el análisis forense se trató de un tipo de ransomware con el que aparentemente buscaba realizarse alguna extorsión a la institución financiera. Por lo que en cumplimiento de los protocolos de ciberseguridad y mejores prácticas bancarias, se procedió de manera preventiva y con toda responsabilidad, a aislar los servidores afectados y a inhabilitar el conjunto de los sistemas operativos. Su acción rápida le permitió evitar una afectación a los datos y a los recursos de los clientes y de la propia institución.

Oswaldo Palacios explica que los ataques de ransomware son complejos: infiltrarse en el sistema es solo el principio. Para maximizar el daño, un atacante también debe distribuir su carga maliciosa por la red antes de empezar el proceso de cifrado. Si solo se cifra un equipo, el atacante no habrá alcanzado el impacto necesario para exigir un rescate. Para que el ataque de ransomware dé sus frutos, el atacante debe seguir varios pasos: detectar los activos de red, moverse lateralmente, entre otros; a este proceso a menudo se le conoce como cadena de exterminio del ransomware.

“Cada paso ofrece a los equipos de seguridad la oportunidad de bloquear y detectar la actividad maliciosa asociada. Con ayuda de la microsegmentación, los equipos de seguridad pueden usar medidas de mitigación en cada uno de los pasos de la cadena de exterminio del ransomware para detener a los atacantes y detectar cualquier comportamiento anómalo”, resalta el experto de Akamai.

Contención eficaz con microsegmentación

La implementación anticipada y eficaz de una estrategia de ciberseguridad de la mano de las mejores soluciones de ciberseguridad, permitió a la destacada institución bancaria tener una profunda visibilidad del tráfico este-oeste para las aplicaciones bancarias críticas y la capacidad de reducir el riesgo aplicando microsegmentación.

Para las instituciones bancarias y financieras, es esencial un nuevo enfoque de segmentación definido por software para disminuir las amenazas  y simplificar la gestión continua de políticas para aplicaciones críticas y sistemas de pago como SWIFT. “La microsegmentación proporciona una visibilidad profunda de las aplicaciones y flujos e implementación de políticas a nivel de red y de procesos individuales para aislar y segmentar aplicaciones e infraestructura críticas”, menciona Oswaldo Palacios.

Una solución de microsegmentación supervisa todas las comunicaciones de la red y cuenta con detectores integrados que identifican y alertan sobre dichos análisis, lo que permite detener la propagación del malware antes de que comience. También bloquea y detecta ataques en los protocolos de la red local.

Oswaldo Palacios resalta que de haberse concretado el ataque de ransomware al banco latinoamericano las consecuencias hubieran sido lamentables, que van desde la lentitud, intermitencia o completa falta de operación en aplicaciones críticas, así como la pérdida de clientes, daño reputacional, sanciones económicas y un arduo trabajo para regresar a la operación normal al tener que volver a instalar y configurar servidores desde cero. Además es muy probable que los datos de los cuentahabientes hubieran terminado a la venta en la dark web.

Finalmente, el especialista de Akamai reiteró que la microsegmentación se está convirtiendo en una herramienta cada vez más importante para los equipos de seguridad TI que se enfrentan al reto de mantener las políticas de seguridad y el cumplimiento en consonancia con el rápido ritmo de cambio de los centros de datos dinámicos, y los entornos de nube y de nube híbrida actuales.