Todas las organizaciones se han vuelto más vigilantes a la hora de detectar y erradicar el ransomware en sus entornos de TI. Sin embargo, el aumento de las defensas de ciberseguridad perimetrales ha provocado que los piratas informáticos creen cepas de ransomware que son aún más difíciles de detectar. Para descubrir estas cepas más esquivas, ahora más soluciones de protección de datos incluyen la detección de anomalías para ayudar a identificarlas.

Ataques de ransomware dirigidos

Para montar una defensa cibernética viable, las organizaciones deben ir más allá de implementar firewalls y software antivirus. Los piratas informáticos suelen investigar una organización antes de iniciar un ataque de ransomware dirigido.

Al investigar una organización, los piratas informáticos pueden obtener información específica sobre ella, como sus empleados, su infraestructura informática y las tecnologías que utiliza. Con esta información, pueden desarrollar ransomware que aumenta la probabilidad de éxito de un ataque.

A continuación, se presentan algunas formas hipotéticas pero realistas en las que los piratas informáticos pueden usar la información recopilada para desarrollar ransomware específico para una organización:

• Conocer el sistema de correo electrónico utilizado permite a los piratas informáticos explotar vulnerabilidades conocidas para ingresar a la organización.
• Una vez dentro, saber quién trabaja en una organización permite al ransomware intentar acceder a las aplicaciones utilizando sus credenciales.
• Comprender las tecnologías que utiliza una organización permite que el ransomware ataque vulnerabilidades de aplicaciones específicas y credenciales de inicio de sesión.

Los piratas informáticos se toman su tiempo para investigar organizaciones específicas porque, si tienen éxito, suelen exigir rescates de más de un millón de dólares a las grandes organizaciones. Esto ha dado lugar a que las víctimas de ransomware hayan pagado más de mil millones de dólares en 2023 y se prevé que en 2024 se supere esta cantidad.

Para colmo de males, las organizaciones no reciben garantías de que el pago del rescate produzca los resultados deseados. Es posible que la clave de descifrado proporcionada no funcione, o que el hacker publique o venda los datos robados. En cualquier caso, el ransomware genera costos sustanciales e inesperados sin garantizar una resolución exitosa.

Encriptación intermitente

Saber que los piratas informáticos desarrollan ransomware específico para su organización representa solo una parte de la amenaza. Los piratas informáticos saben que las organizaciones pueden detectar y recuperarse del ransomware que elimina o cifra todos los datos de producción. Esto ha llevado a los piratas informáticos a hacer que el ransomware sea más difícil de detectar.

Algunas cepas de ransomware emplean un algoritmo que cifra los datos a un nivel muy granular. Este algoritmo, conocido como cifrado intermitente, no cifra archivos enteros, sino solo componentes de un archivo de hasta 16 bytes.

Esta técnica tiene el mismo efecto neto que cifrar un archivo entero, volviéndolo ilegible e inutilizable. Sin embargo, el cifrado intermitente genera menos sobrecarga del sistema, ya que solo cifra pequeños fragmentos de cada archivo. De este modo, el cifrado intermitente puede evadir los métodos comunes que se utilizan para detectar ransomware.

Estos métodos de ataque en constante evolución han reducido la eficacia de las soluciones de ciberseguridad perimetral para detectar ransomware. Esto hace que las organizaciones tengan la responsabilidad de identificar soluciones que puedan ayudar a detectar estas cepas de ransomware personalizadas y más difíciles de encontrar.

La aparición de la detección de anomalías en las soluciones de protección de datos

Para identificar cepas de ransomware personalizadas, ha surgido una nueva generación de soluciones de protección de datos que incluyen la detección de anomalías. El auge de la detección de anomalías en la protección de datos se debe a su capacidad para realizar análisis de datos históricos.

Las soluciones de ciberseguridad perimetral analizan principalmente los datos de producción en tiempo real. Si bien, en teoría, pueden monitorear y escanear periódicamente todos los datos de producción, este enfoque es problemático. El escaneo genera una sobrecarga significativa en los sistemas de producción y puede no detectar ransomware personalizado para organizaciones específicas.

Por el contrario, es más eficaz utilizar una solución de protección de datos para supervisar y analizar de forma rutinaria los datos de copia de seguridad. Al trasladar el análisis al entorno de copia de seguridad, se traslada la sobrecarga a los sistemas que no son de producción. Dado que las soluciones de protección de datos suelen permanecer inactivas durante las horas en que no se realizan copias de seguridad, las organizaciones pueden utilizar esos recursos para analizar en busca de ransomware.

La naturaleza de estas nuevas cepas de ransomware hace que sea más eficaz buscar anomalías en los datos a lo largo del tiempo. Algunas cepas pueden afectar solo a una organización específica o alterar pequeños fragmentos de datos. Detectar estos cambios sutiles puede llevar días, semanas o meses. Esto sugiere que las soluciones de protección de datos con detección de anomalías son más adecuadas para identificarlos.

La naturaleza de un evento anómalo

El uso de la detección de anomalías en soluciones de protección de datos, como software de copia de seguridad y destinos de copia de seguridad, puede parecer intuitivo. Todas las organizaciones quieren recibir alertas rápidas sobre ransomware. Sin embargo, determinar la naturaleza de cada evento anómalo puede ser complejo.

Las organizaciones pueden suponer que, si una solución de protección de datos identifica una anomalía, debe haber detectado ransomware. Sin embargo, esta relación uno a uno no siempre es cierta.

La detección de una anomalía puede indicar la presencia de ransomware en el entorno de TI de una organización. Sin embargo, también es probable que sea el resultado de un evento comercial inusual pero aceptable. Los cambios en los datos de producción que no están relacionados con el ransomware pueden desencadenar la detección de anomalías.

Algunos ejemplos de tales anomalías relacionadas con el negocio incluyen:

• Mayor uso de las aplicaciones, lo que resulta en mayores tasas de cambio de datos.
• Adquisiciones corporativas que alteran los patrones de acceso y uso de datos.
• Esfuerzos de limpieza de datos, como archivar o eliminar datos a los que se accede con poca frecuencia.
• Copias de seguridad más frecuentes, lo que conduce a un aumento de datos almacenados.
• Mover datos o aplicaciones entre ubicaciones de almacenamiento.
• Cifrado de datos para cumplir con nuevas regulaciones.
• Retirar una aplicación o proyecto y archivar o eliminar sus datos.

Estos y otros eventos pueden hacer que los sistemas de detección de anomalías marquen actividades legítimas como sospechosas.

Esto pone de relieve los desafíos que supone implementar la detección de anomalías: detectar anomalías no significa automáticamente detectar ransomware. Las organizaciones deben evaluar cuidadosamente las soluciones de protección de datos con detección de anomalías para asegurarse de que proporcionen alertas significativas.

 Creando asociaciones adecuadas

Antes de implementar una solución de protección de datos con detección de anomalías, las organizaciones deben buscar soluciones que puedan crear asociaciones adecuadas entre anomalías y amenazas reales.

Lo ideal es que la solución tenga tiempo para aprender los patrones de uso y acceso a los datos habituales de una organización. La actividad normal en una organización puede parecer anómala en otra, y viceversa. Más importante aún, este período de aprendizaje le ayuda a diferenciar entre anomalías causadas por actividades comerciales rutinarias y aquellas que indican ransomware.

Este período de aprendizaje también minimiza los falsos positivos. Si una solución genera demasiadas falsas alarmas, las organizaciones pueden comenzar a ignorar las alertas, lo que reduce los efectos del sistema.

Por el contrario, detectar pocas o ninguna anomalía genera un riesgo diferente. Las organizaciones pueden suponer que su entorno es seguro cuando, en realidad, el sistema de detección de anomalías es ineficaz.

 La detección y alerta de anomalías efectivas requiere inteligencia artificial generativa

Para ser verdaderamente eficaz, una solución de protección de datos con detección de anomalías debe realizar dos tareas críticas:

1. Supervisar y analizar el comportamiento de las aplicaciones y de los usuarios que acceden a los datos.
2. Determinar si una anomalía está relacionada con el negocio o es indicativa de una actividad sospechosa.

Debido a que es difícil distinguir entre estos dos tipos de eventos, las organizaciones deben ser escépticas respecto de las soluciones que se basan únicamente en capacidades de detección de anomalías preprogramadas y no configurables.

Para diferenciar con mayor precisión entre anomalías sospechosas y relacionadas con el negocio, las organizaciones deberían buscar soluciones de protección de datos con capacidades de inteligencia artificial (IA) generativa.

La IA generativa permite que una solución de protección de datos aprenda el entorno de TI de una organización, analice datos de respaldo, realice un seguimiento de los cambios a lo largo del tiempo y distinga entre anomalías comerciales rutinarias y posibles amenazas de ransomware.