¿Están mis datos en la nube protegidos frente al Ransomware?

La nube se ha convertido en un recurso fundamental para las empresas. En torno a un 40% cuentan actualmente con un 50% o más de sus cargas de trabajo en la nube. Tal contexto supone un nuevo reto para la ciberseguridad. Dadas las posibilidades que ofrecen los entornos en la nube, las tradicionales estrategias de defensa de los perímetros de red están abriéndose hacia la adopción de nuevos controles de acceso que, junto a otros elementos, aporten medidas de seguridad adaptadas a las actuales circunstancias.

Paralelamente, la ciberdelincuencia está amoldando sus recursos de ataque a los entornos basados en la nube. El ransomware, un tipo de acción maliciosa que se basa en encriptar datos y pedir un rescate por ellos, es uno de los mecanismos que amenaza la seguridad de los datos almacenados en la nube. Tradicionalmente, estos ataques se han dirigido hacia servidores ubicados en las propias instalaciones de una organización, actuando sobre datos locales. En la actualidad, se han identificado variaciones respecto a este modelo:

• Por un lado, un atacante puede conseguir comprometer el dispositivo local para, a partir de ahí, propagar el ransomware a la nube en el momento en el que los  datos de la víctima se sincronizan con un servicio de almacenamiento en la nube. La mayoría de las soluciones de almacenamiento en la nube usan la sincronización de archivos para mantener la información en múltiples ubicaciones de forma simultánea, lo cual abre el camino para la infección de ransomware.
• También es posible que los ciberdelincuentes obtengan acceso directo a los sistemas en la nube de una organización a través de phishing.
• Otra posibilidad es dirigir el ataque directamente a un proveedor de servicios en la nube para obtener acceso a los datos de sus clientes. De este modo, infectando la infraestructura del proveedor, se pueden cifrar grandes cantidades de datos de sus clientes a través de una sola acción. En 2021, por ejemplo, un estudio anunció que el 90% de los buckets S3 de la plataforma Amazon Web Services eran vulnerables al ransomware. En diciembre de 2022, Rackspace Technology, uno de los mayores proveedores de alojamiento en la nube de Estados Unidos, fue objeto de un ataque tipo ransomware.
• Los entornos cloud presentan, actualmente, un alto grado de homogeneización en cuanto a su estructura y condiciones, lo que permite a los ciberatacantes una reproducción estandarizada de sus acciones, pudiendo de tal modo dirigirlas a un mayor número de organizaciones de una manera más rápida.

Ransomware tradicional vs Ransomware en la nube

Una de las diferencias del ransomware contra la nube respecto al ejecutado contra los servidores locales de una organización es que, ahora, el objetivo se centra más en la exfiltración de datos que en la encriptación de los mismos. 

Generalmente, los ataques ransomware se basan en una encriptación de ficheros que bloquea el acceso a sus legítimos propietarios. Al no poder disponer de los mismos, se les extorsiona para que cedan a las solicitudes de los ciberdelincuentes y, de este modo, recuperar la disponibilidad de los datos criptológicamente secuestrados. 

En lo que respecta al ransomware diseñado para atacar un entorno cloud, lo que se busca es exfiltrar los datos que no han sido debidamente sometidos a una adecuada seguridad. Una vez conseguido esto, se procede al borrado de los archivos originales, y se solicita un rescate a cambio de su restitución.  De esta manera, si la entidad no dispone de copias de seguridad, ceder al chantaje puede ser la única manera de recuperar la información. Pero, existiendo incluso copias de respaldo, el atacante dispone de la posibilidad de seguir amenazando mediante la publicación de los datos robados. En definitiva, cuando hablamos de ransomware aplicado a la nube no nos referimos a técnicas de encriptado de datos en los terminales (endpoints) de una víctima, sino al robo de datos extraídos de una infraestructura cloud que, trasladados a un medio diferente, se mantienen secuestrados hasta que la víctima pague por su devolución.

Cómo proteger los datos en la nube frente a Ransomware

El progresivo aumento de ataques ransomware llevados a cabo contra la nube convierte la cuestión de la seguridad en un tema de vital importancia. 

Siguiendo las directrices marcadas por el cumplimiento normativo, conocer los datos almacenados en la nube, clasificándolos en función de su naturaleza y grado necesario de protección, es un aspecto fundamental a la hora de establecer buenas estrategias de seguridad. 

Asimismo, hay que revisar convenientemente las configuraciones implementadas, evitando que una indebida administración del sistema permita y facilite al atacante el acceso. Llevar a cabo revisiones periódicas, acompañadas de auditorías técnicas, es una práctica excelente para minimizar semejante riesgo. A pesar de lo que se ha señalado respecto a la estrategia seguida por los  ciberdelincuentes frente a la existencia de copias de seguridad, es necesario realizarlas de manera sistemática y planificada. Es cierto que no van a prevenir la amenaza de la exfiltración de datos que hemos mencionado más arriba, pero servirán siempre en la restitución de los datos comprometidos de modo que se agilice la recuperación de la organización afectada.

Por supuesto, también las infecciones de ransomware en la nube tienen su origen en la mayoría de ocasiones en el error humano. Hay que asegurarse de que el personal de una organización está debidamente concienciado y formado para identificar y responder ante un ataque de estas características.

Desarrollar un plan de respuesta a incidentes y recuperación ante desastres es básico para minimizar el impacto de un ataque de ransomware. 

A fin de reducir al máximo el radio de acción que un ataque de ransomware en la nube puede abarcar, conviene seguir el principio de mínimo privilegio concedido a las personas que operen dentro del sistema. Permitir solo accesos limitados a lo específicamente necesario evita la exposición de datos críticos a niveles innecesarios de riesgo, lo cual minimiza los estragos que un incidente como del que ahora hablamos pueda ocasionar en una arquitectura documental basada en la nube. 

También es aconsejable disponer de herramientas de filtrado de archivos .EXE en los correos electrónicos. Con esta medida se reduce el riesgo de que se puedan ejecutar archivos que comprometan la seguridad del sistema.

De manera semejante, se han de conocer las extensiones ocultas que pueda contener un archivo, lo cual contribuirá a que se identifiquen aquellas que, escondidas bajo la apariencia de las que son inocuas, en realidad encierren el peligro de afectar seriamente al entorno de trabajo, incluida la infraestructura cloud.

Por otra parte, se ha de saber muy bien dónde termina la responsabilidad del proveedor de servicios en la nube y dónde empieza la del cliente respecto a la seguridad de los datos almacenados. Se ha de comprender claramente cuáles son las condiciones y alcances contratados, de modo que se sepa cómo actuar en consecuencia en caso de producirse un ataque ransomware en la nube. 

Adoptar medidas adecuadas para mitigar riesgos en la nube

En general, a la hora de almacenar y gestionar grandes cantidades de datos cada vez más empresas están migrando a la nube. Esta tecnología ofrece ventajas significativas, incluyendo avanzadas medidas de seguridad. No obstante, la peligrosa amenaza de un ataque ransomware sigue muy presente en semejante entorno. 

El almacenaje cloud es vulnerable a este tipo de malware en gran parte debido a la sincronización de archivos desde unidades locales, tradicional vector de entrada para semejante clase de recurso delictivo. Al mismo tiempo, la nube no es un espacio libre de ransomware, pues existen ataques específicamente diseñados para este ecosistema donde, en vez de poner el punto de mira en las organizaciones que contratan estos servicio, las acciones delictivas se centran en las vulnerabilidades detectadas en los propios proveedores. 

No obstante, es importante destacar que, a pesar de que la nube es susceptible de recibir ataques ransomware, a su vez semejante tecnología ofrece importantes ventajas respecto al almacenamiento de datos. Adoptando las medidas adecuadas (algunas de las principales hemos recogido en este artículo) los riesgos de un ataque ransomware pueden ser convenientemente mitigados.