Cómo repeler un ataque de ransomware: Roy Zur, de la división empresarial de Thrive DX, habla de las 5 cosas que debe hacer para protegerse a sí mismo o a su empresa de un ataque de ransomware

18 de julio de 2022
Tyler Gallagher entrevista a Roy Zur, director general de ThriveDX Enterprise

Post originalmente compartido en Medium.

Lamentablemente, los ataques de ransomware se han convertido en algo habitual y cada vez más descarado. Grandes empresas, gasoductos, universidades e incluso ciudades se han visto paralizadas por el ransomware y obligadas a pagar enormes rescates. ¿Qué puede hacer un individuo o una empresa para prevenir y repeler un ataque de ransomware?

En esta serie de entrevistas, estamos hablando con expertos en ciberseguridad que pueden compartir su experiencia y conocimientos sobre las "5 cosas que debe hacer para protegerse a sí mismo o a su empresa de un ataque de ransomware". Como parte de esta serie, he tenido el placer de entrevistar a Roy Zur.

Roy Zur es un experto en ciberinteligencia y fundador y director general de ThriveDX Enterprise (antes conocida como Cybint Solutions), la rama de software como servicio de ThriveDX. ThriveDX es una empresa educativa global comprometida con la transformación de vidas a través de la formación y las soluciones de habilidades digitales.

Zur tiene más de 15 años de experiencia en operaciones de ciberseguridad e inteligencia dentro de las Fuerzas de Defensa israelíes. Como antiguo comandante de ciberinteligencia, Zur fue responsable de desarrollar metodologías de aprendizaje y formación en ciberseguridad para personas y organizaciones.

Desde entonces, ha desarrollado programas de educación y formación cibernética y soluciones tecnológicas para empresas, instituciones educativas y organismos gubernamentales de todo el mundo. Zur también es profesor adjunto de gestión de riesgos en ciberseguridad para el programa MBA-AI de la Universidad de Reichman y es el fundador y presidente de The Israeli Institute for Policy and Legislation sin ánimo de lucro.

Muchas gracias por acompañarnos en esta serie de entrevistas. Antes de entrar en materia, a nuestros lectores les gustaría conocerla. ¿Puede hablarnos un poco de cómo creció?

Crecí en Israel, donde mi pasión por todo lo relacionado con la ciberseguridad me fue inculcada muy pronto, ya que me alisté en las Fuerzas de Defensa de Israel (FDI) después del instituto. Me destinaron a la Unidad 8200, centrada en la ciberinteligencia, y una de mis principales funciones era formar a los cadetes entrantes para que se convirtieran en expertos cibernéticos en cuestión de meses. Israel ha sido el líder mundial en ciberseguridad y estar en la base de los avances disruptivos en ciberseguridad alimentó mi pasión e interés y me preparó para el éxito futuro. Durante mi estancia en las FDI, aproveché mi pasión por la ciberseguridad para crear metodologías de aprendizaje innovadoras que enseñaran a los cadetes a convertirse en especialistas avanzados en ciberseguridad e inteligencia. Antes de fundar y dirigir ThriveDX SaaS (antes Cybint), me licencié en Derecho y Empresariales, y trabajé como asesor jurídico en el Tribunal Supremo de Israel.

¿Hay alguna historia en particular que le haya inspirado a seguir la carrera de ciberseguridad?

Durante mi servicio, estuve expuesto a un ciberataque específico que tenía como objetivo las infraestructuras críticas de uno de nuestros aliados internacionales. Este ataque tenía como objetivo apagar el sistema eléctrico de una gran región de Europa durante un frío invierno, y puso en riesgo miles de vidas. A partir de este ataque aprendí que la ciberseguridad puede ser una cuestión de vida o muerte, y que los países están armando herramientas cibernéticas para desarrollar capacidades de ciberguerra. Esto me inspiró a desarrollar una carrera en este campo.

¿Puede compartir la anécdota más interesante que le haya ocurrido desde que comenzó esta fascinante carrera?

Hay cientos de historias interesantes que han ocurrido durante las dos décadas de mi carrera en la ciberinteligencia y la seguridad. No puedo elegir una historia que lo represente todo, porque lo más emocionante es el propio viaje. Así que la historia se sigue escribiendo cada día.

Usted es un líder de éxito. ¿Qué tres rasgos de carácter cree que han contribuido más a su éxito? ¿Puede compartir una historia o un ejemplo de cada uno de ellos?

A menudo animo a las personas con las que trabajo a que me desafíen y a que hablen con franqueza sobre sus opiniones e ideas, incluso si eso significa estar en desacuerdo conmigo o con mis opiniones. También me esfuerzo por tener humildad y ser consciente de mí mismo porque sé que esas cualidades, combinadas con el hecho de animar a mi equipo a desafiarme, crean los mejores productos e ideas, productos e ideas que combinan las mentes de varios expertos para producir algo mejor de lo que yo podría haber ideado solo.

Además, animo a los miembros de mi equipo a que piensen fuera de la caja, a que afronten los retos de forma creativa, e incluso cuando fracasamos debemos "fracasar hacia adelante". En ese caso, aprendemos de nuestros errores y seguimos intentándolo hasta conseguirlo. Así pues, los rasgos de carácter más importantes para mí son

Pensamiento independiente y creatividad; (2) Autoconciencia y humildad; (3) Perseverancia.

¿Está trabajando en algún proyecto nuevo e interesante? ¿Cómo cree que ayudará a la gente?

Sí, me complace decir que hay varios proyectos emocionantes en marcha que se están desarrollando para ayudar a las empresas y a sus empleados. Nuestra empresa, ThriveDX, ofrece una formación de concienciación en materia de seguridad que incluye la implantación on-prem y la personalización completa. Esta formación prepara a los empleados para reconocer las intenciones maliciosas y los ataques de phishing con el fin de evitar eficazmente las ciberamenazas y mantener la seguridad de sus organizaciones.

Además, ofrecemos un Cybersecurity Bootcamp acelerado que reaprende a personas de otros campos y las prepara para un puesto de entrada en la ciberseguridad. La ciberseguridad es el campo de más rápido crecimiento en la tecnología y la industria ha tenido un 0% de desempleo durante décadas. Cualquiera que siga este camino profesional tendrá amplias oportunidades que podrían cambiarle la vida con lo competitivos que se están volviendo los empleadores para incorporar a los profesionales de la ciberseguridad.

En beneficio de nuestros lectores, ¿podría explicar brevemente a nuestros lectores por qué es una autoridad en el tema del ransomware?

Antes de convertirme en director general de ThriveDX Enterprise, fui comandante de la Unidad de Inteligencia Cibernética de las Fuerzas de Defensa de Israel, conocida como el centro mundial de experiencia y talento en ciberseguridad. Una de mis responsabilidades como comandante era formar a todos los reclutas entrantes, la mayoría de los cuales acababan de salir de la escuela secundaria, para que se convirtieran en maestros de la ciberseguridad en sólo unos meses de formación. Parte de la formación incluye el ransomware y las estrategias para recuperar los datos y la reputación, entre otras cosas.

Pasemos ahora al tema principal de nuestra entrevista. Para asegurarnos de que todos estamos en la misma página, empecemos con algunas definiciones sencillas. ¿Puede explicar a nuestros lectores las diferentes formas de ataques de ransomware?

Hay muchos tipos de métodos de ataque de ransomware, todos ellos en torno a la definición básica del ataque en sí: un software malicioso que infecta el ordenador, la red o el software y bloquea el acceso a información importante hasta que la víctima entrega el pago. Estos son los tipos más populares de Ransomware:

El cryptoransomware, que puede ser obvio en el nombre, cifra los datos que se mantienen como rehenes y no pueden ser liberados sin una clave de descifrado. Este es el método de ataque más común, con casos populares como Petya, CryptoLocker y GoldenEye.

El ransomware como servicio (RaaS), en el que el autor se convierte en cliente del ciberdelincuente pagando por el acceso al ransomware como si se tratara de una suscripción. Incluso los precios se ajustan según la complejidad del propio software.

El Locker Ransomware es similar al Crypto en el que se bloquea la información, sin embargo suele ser el sistema y no datos específicos. A menudo va acompañado de un reloj de cuenta atrás para aumentar la urgencia.

¿Quién debería estar más preocupado por un ataque de ransomware? ¿Son principalmente las empresas o los particulares?

Los ciberdelincuentes siempre se han centrado en los grandes objetivos (es decir, las empresas), pero en los últimos años han aumentado la frecuencia con la que persiguen también a los usuarios individuales. Aunque ninguna empresa está a salvo del ransomware, la mayor parte de los ataques de ransomware afectan a los sectores gubernamental, industrial y médico. El sector de la ciencia y la educación, así como la industria minorista, siguen siendo también objetivos de los ataques de ransomware.

¿A quién hay que llamar en primer lugar cuando uno es consciente de que es víctima de un ataque de ransomware? ¿A la policía local? ¿Al FBI? ¿A un experto en ciberseguridad?

Lo primero que deben hacer las empresas o los particulares cuando sepan que han sido víctimas de un ataque de ransomware es alertar a su oficina local del FBI o al departamento de policía. Al informar del incidente, las víctimas tendrán más posibilidades de recuperar sus archivos sin pagar el rescate. Además, denunciar los ataques de ransomware a las fuerzas de seguridad es una buena práctica de todos modos, ya que cuanto más exactamente se denuncien los incidentes de ciberataques, mejor podrán saber las fuerzas de seguridad y los proveedores de ciberseguridad a qué se enfrentan.

Si una empresa tiene conocimiento de un ataque de ransomware, ¿qué es lo más importante que debe hacer para protegerse más, así como para proteger a sus clientes?

En primer lugar, cualquier empresa que haya sido víctima de un ataque de ransomware debe apagar y desconectar inmediatamente de la red todos los dispositivos de la empresa infectados para contener la brecha y, a partir de ahí, alertar a todas las partes necesarias. Además, deben apagar temporalmente todas las unidades compartidas mientras siguen vigilando la brecha para ver si se extiende. A partir de aquí, las empresas pueden buscar el origen del ransomware encuestando a los usuarios y empleados, encontrando software desactualizado o cualquier cosa claramente inusual. Las empresas también deben reimaginar sus servidores y aplicaciones, así como desplegar su plan de recuperación en la nube, si es que tienen uno en marcha. Al borrar por completo todos los dispositivos de almacenamiento, las empresas pueden asegurarse de que no hay rastros persistentes de ransomware antes de comenzar a restaurar sus datos.

¿Debe la víctima pagar el rescate? Por favor, explique lo que quiere decir con un ejemplo o una historia.

Como regla general, nunca debes pagar un rescate, ya que no hay garantía de que el ciberdelincuente o los delincuentes te devuelvan tus datos una vez que hayan conseguido el pago. De hecho, la mayoría de las empresas que pagan un rescate no reciben nunca sus datos a cambio. Incluso entonces, cuando los adversarios recuperan los datos, normalmente sólo restauran una media de dos tercios de los mismos.

¿Cuáles son los errores más comunes en materia de seguridad de datos y ciberseguridad que ha visto que cometen las empresas y que las hacen vulnerables a los ataques de ransomware?

Para empezar, aunque parezca obvio, la mayoría de las empresas no invierten lo suficiente por adelantado en la mejora de la ciberseguridad porque no han hecho primero un análisis de negocio que tenga en cuenta el riesgo y el impacto. En otras palabras, en lugar de sopesar el coste de una violación de la seguridad, sólo sopesaron el coste de la inversión en ciberseguridad. Otra cosa en la que las empresas tienden a fallar cuando se trata de ransomware es el despliegue de una protección activa y permanente contra el ransomware; las copias de seguridad diarias tradicionales y los sistemas de reserva no son suficientes para restaurar los datos perdidos en los ataques de ransomware. En su lugar, las empresas deben invertir en sólidas estrategias de defensa de las copias de seguridad y de la recuperación de desastres que generen copias de seguridad inmutables, aprovechen una gran cantidad de medios de almacenamiento e incluyan múltiples puntos de restauración. Algunas empresas tampoco prueban fácilmente sus defensas de ciberseguridad, de modo que puedan tener en cuenta y planificar una serie de escenarios del peor caso en caso de que ocurra en la vida real. Por último, la estrategia de ciberseguridad de una empresa es tan fuerte como su eslabón más débil. Si los empleados no están al día sobre los fundamentos de la ciberseguridad en materia de detección y prevención, basta con que un empleado desprevenido abra un correo electrónico malicioso para que los ciberdelincuentes se hagan con datos sensibles.

¿Qué recomendaría al gobierno o a los líderes tecnológicos para ayudar a limitar la frecuencia y gravedad de estos ataques?

Para limitar el impacto de un ataque de ransomware en una organización, las empresas, las agencias gubernamentales y los líderes tecnológicos por igual deben consolidar un plan de respuesta a incidentes que tenga en cuenta una multitud de escenarios "qué pasa si". En el plan, las organizaciones deben definir claramente el papel de cada persona y el flujo de comunicación, incluyendo la alerta a los contactos de terceros y empleados necesarios. Como parte de este plan, las empresas también deben impartir formación sobre seguridad a sus empleados, así como crear un sistema de registro en el que los empleados puedan informar de actividades sospechosas. Además, los servicios en la nube pueden ayudar a mitigar los ataques, ya que almacenan versiones no cifradas de los datos. Si las empresas no invierten en servicios en la nube, deberían almacenar sus datos fuera de banda o sin conexión. Los puertos RDP no utilizados también suponen un riesgo importante para las organizaciones. Otra forma en que las empresas pueden prevenir los ataques de malware es supervisando de cerca y limitando las conexiones a sólo los hosts de confianza en el puerto 445 de Server Message Block y el puerto 3389 de Remote Desktop Protocol. Los sistemas de detección de intrusos (IDS) también son útiles para prevenir los ataques de ransomware, ya que proporcionan actualizaciones diarias y alertas rutinarias de actividades potencialmente maliciosas.

Bien, gracias. Aquí está la pregunta principal de nuestra entrevista. ¿Cuáles son las "5 cosas que debe hacer para protegerse a sí mismo o a su empresa de un ataque de ransomware" y por qué?

Entre el despliegue de copias de seguridad y planes de recuperación de datos y el mantenimiento de un software antivirus actualizado, hay una serie de cosas que las empresas y los particulares deben hacer para protegerse de los ataques de ransomware.

La mayoría de los ciberdelitos son causados por empleados o individuos desprevenidos que no están lo suficientemente versados en ciberseguridad como para saber cuándo detectar las ciberamenazas en su camino. Por ello, la mejor manera de protegerse de los ataques de ransomware es invertir en una formación de concienciación sobre seguridad acreditada y rutinaria. Invertir en la formación del capital humano es la mejor manera de evitar los ataques de ransomware, ya que las bandas de ransomware son muy conscientes de que los empleados no están al día de las nuevas y mejores tácticas de ransomware. Lo ideal es que cuanta más formación práctica, simulacros de ciberataque y evaluaciones previas y posteriores a la formación ofrezca el personal, mejor preparado estará para detectar el ransomware y mejor informadas estarán las empresas sobre su nivel de riesgo de ransomware.

Todo el mundo debería invertir en software antimalware y antivirus. Al igual que es importante invertir en formación sobre ciberseguridad, la fortificación de la red -idealmente mediante una solución gestionada de forma centralizada- alertará a las personas de las actividades maliciosas, les informará de los problemas no resueltos y evitará que se ejecuten los programas no autorizados.

Tanto las empresas como los particulares deberían almacenar y mantener copias de seguridad cifradas de los datos fuera de línea. Dado que los ataques de ransomware se dirigen también a los datos de las copias de seguridad, todo el mundo debería mantener también imágenes de oro de los sistemas críticos para estar preparados si tienen que desplegar aplicaciones de software para reconstruir un sistema.

Para prepararse de la mejor manera posible para una brecha, los individuos y las empresas necesitan establecer un plan de respuesta a incidentes cibernéticos que describa qué hacer en caso de un incidente de ransomware. Este plan debe incluir todo, desde los procedimientos de notificación hasta la cadena de mando en caso de crisis. Además de establecer este plan, es importante que las personas lo ejerciten y practiquen, de modo que estén mejor preparadas para una crisis en la vida real si alguna vez se presenta.

Las empresas y los particulares que llevan a cabo rutinariamente análisis de vulnerabilidad en sus dispositivos orientados a Internet están más protegidos contra el ransomware que los que no analizan y abordan las vulnerabilidades de sus sistemas. Actualizando el software y los sistemas operativos y asegurándose de que las funciones de seguridad están activadas en todos los dispositivos de forma regular, las personas pueden limitar su superficie de ataque y protegerse de forma proactiva de los actores de las amenazas.

Usted es una persona de enorme influencia. Si pudiera inspirar un movimiento que aportara la mayor cantidad de bien a la mayor cantidad de gente, ¿cuál sería?

Si pudiera inspirar algún movimiento, me gustaría ayudar a solucionar el déficit de competencias en ciberseguridad. Año tras año, la brecha de competencias en ciberseguridad sigue aumentando, ya que la demanda de competencias en ciberseguridad supera el número de ciberprofesionales formados y cualificados disponibles. A medida que aumenta la frecuencia de la ciberdelincuencia, las organizaciones de todo el mundo no están haciendo lo suficiente para abordar y resolver la dramática escasez de talento y habilidades dentro de la ciberseguridad. Además de la escasez de talentos en ciberseguridad, también existe una problemática desconexión entre los sectores cibernéticos y los sectores empresariales dentro de una organización, lo que no hace más que empeorar la escasez de habilidades cibernéticas. Por último, las empresas no se toman la ciberseguridad lo suficientemente en serio, y me gustaría que los esfuerzos de mi empresa ayudaran a las organizaciones de todo el mundo a entender por qué no sólo es crucial, sino urgente, que inviertan en ciberseguridad hoy.

¿Cómo pueden nuestros lectores seguir su trabajo en línea?

Los lectores pueden seguir mi trabajo en línea siguiéndome en Twitter (@zur_roy), siguiéndome en LinkedIn, donde publico las próximas conferencias en las que intervengo, las publicaciones en las que aparezco, etc., o siguiéndome en Forbes, donde publico artículos relevantes para el sector. Además, escribo habitualmente contenidos para ThriveDX.

Esto fue muy inspirador e informativo. Muchas gracias por el tiempo que has dedicado a esta entrevista.

Proteja a su organización del phishing

Explorar más recursos

Noticias

ThriveDX recauda 100 millones de dólares para llevar la formación en seguridad tanto a los nuevos talentos como a los empleados de las empresas

En el mundo de la ciberseguridad escasean los talentos necesarios para cubrir los puestos vacantes

Noticias

Tras una nueva inversión, ThriveDX cuenta con 205 millones de dólares para hacer frente al déficit de competencias en ciberseguridad

La brecha de talento ha estado en la mente de todos en el campo de la ciberseguridad

Noticias

El entrenador de ciberseguridad HackerU adquiere Cybint por 50 millones de dólares, según fuentes

HackerU, con sede en Florida, que crea programas de ciberseguridad y otras competencias digitales, adquiere Cybint, una

Noticias

Resumen de fusiones y adquisiciones en ciberseguridad: 40 operaciones anunciadas en marzo de 2022

En marzo de 2022 se anunciaron cuarenta operaciones de fusión y adquisición relacionadas con la ciberseguridad.

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.