Historias de terror sobre el ransomware en 2024 y cómo evitarlas

Octubre 31, 2024
Kaseya
Monitoreo y Gestión Remotos (RMM)

Los ataques de ransomware aumentaron en 2024, lo que supone una formidable amenaza para las empresas de todos los sectores. Desarrollos recientes como las versiones de código abierto y el modelo de entrega de ransomware como servicio (RaaS) han reducido considerablemente la barrera de entrada para lanzar ataques complejos de ransomware, permitiendo incluso a ciberdelincuentes poco cualificados ejecutar ataques a gran escala. ¿Y lo más aterrador? Los expertos advierten de que esto es solo el principio, y que lo peor puede estar aún por llegar a medida que los malos sigan perfeccionando y ampliando sus tácticas.

En este blog, analizaremos tres de los incidentes de ransomware más escalofriantes de 2024, explorando lo que salió mal para las víctimas. Pero no se preocupe, no le dejaremos a oscuras. También compartiremos estrategias prácticas y potentes herramientas que le ayudarán a mantenerse protegido frente a las crecientes amenazas de ransomware.

Los ciberataques de 2024: los ataques de ransomware más aterradores del año

Descubramos tres de los incidentes más devastadores del año, explorando cómo los atacantes traspasaron las defensas y la magnitud de los daños que dejaron tras de sí.

Incidente 1: ataque de ransomware a CDK Global

La víctima: CDK Global, un importante proveedor de servicios de software para la industria del automóvil, presta servicio a casi 15.000 concesionarios en Estados Unidos y Canadá. Con sede en EE.UU., el software de CDK sustenta las operaciones esenciales de los concesionarios, apoyando las ventas de vehículos, la financiación, los seguros y las reparaciones. Con su amplia base de clientes, CDK Global ha sido un actor fundamental en las operaciones digitales diarias del sector.

El incidente: En junio de 2024, CDK Global fue objeto de un grave ataque de ransomware orquestado por la banda BlackSuit. El ataque provocó el cifrado de los archivos y sistemas críticos de CDK, lo que obligó a la empresa a paralizar su infraestructura informática. Sin embargo, mientras CDK trabajaba para recuperarse de esta primera brecha de seguridad, se produjo un segundo ciberataque que agravó los daños y agravó las perturbaciones en toda su red.

El caos: El ataque conmocionó a la industria del automóvil en Estados Unidos y Canadá, perturbando considerablemente las operaciones de concesionarios y fabricantes de automóviles. Al no poder confiar en el software de CDK, los concesionarios tuvieron que volver a los procesos manuales, lo que provocó retrasos generalizados en las ventas y servicios de vehículos. Las repercusiones financieras fueron asombrosas: un estudio del Anderson Economic Group (AEG) estimó en más de $1,000 millones de dólares las pérdidas sufridas por los concesionarios durante la interrupción.

Los restos: El incidente dejó cicatrices duraderas en la reputación de CDK Global dentro del sector de la automoción. Además de las interrupciones operativas, el grupo de ransomware habría recibido $25 millones de dólares en concepto de rescate. Además, CDK Global se enfrenta a un duro peaje financiero, ya que ha acordado pagar $100 millones de dólares en un acuerdo de demanda colectiva a escala nacional con los concesionarios de automóviles afectados por el ciberataque.

Incidente 2: Ataques de ransomware de Ivanti a través de las puertas de enlace Connect Secure y Policy Secure

La víctima: Ivanti , una empresa estadounidense dedicada a la gestión y la seguridad de las tecnologías de la información, ofrece soluciones de software esenciales para la seguridad informática y la gestión de sistemas a más de 40 000 organizaciones de todo el mundo. La solución de red privada virtual (VPN) Connect Secure de Ivanti cuenta con la confianza de numerosas empresas, universidades, organizaciones sanitarias y bancos, ya que permite un acceso remoto seguro a empleados y colaboradores de todo el mundo.

El incidente: En diciembre de 2023, las pasarelas Connect Secure y Policy Secure de Ivanti se convirtieron en el blanco de un ataque prolongado perpetrado por hackers patrocinados por el Estado chino. Estos atacantes aprovecharon múltiples vulnerabilidades de día cero, lo que les permitió eludir la autenticación, crear solicitudes maliciosas y ejecutar comandos con privilegios elevados. A pesar de los esfuerzos de Ivanti por publicar parches, los atacantes identificaron y explotaron rápidamente nuevas fallas, convirtiendo estas pasarelas en un objetivo recurrente para la infiltración y el control. Poco después se descubrió una tercera vulnerabilidad en los productos VPN de Ivanti, lo que agravó la amenaza y hizo saltar las alarmas en todos los sectores.

El caos: A medida que se difundían las noticias sobre estos ataques, la Agencia de Seguridad Cibernética y de Infraestructuras de EE. UU. (CISA), en colaboración con organismos internacionales de ciberseguridad, emitió un aviso urgente sobre la explotación generalizada de las vulnerabilidades de la VPN de Ivanti. Aunque Ivanti ya ha corregido los productos afectados, los investigadores de seguridad advierten de que el riesgo de nuevos ataques sigue siendo elevado, ya que es probable que más actores maliciosos aprovechen estas fallas, lo que podría afectar a numerosas organizaciones.

Las consecuencias: con más de 40 000 clientes en todo el mundo, entre los que se incluyen sectores críticos como la sanidad, la educación y las finanzas, la vulnerabilidad de la VPN de Ivanti ha provocado una crisis de seguridad que se prolonga en el tiempo. Cualquier dispositivo sin parches que esté conectado a Internet corre un alto riesgo de sufrir ataques repetidos, lo que deja a las organizaciones en una situación de vulnerabilidad. Esto pone de relieve la importancia fundamental de la supervisión continua y la aplicación rápida de parches para contrarrestar las ciberamenazas.

Incidente 3: Ataque de ransomware a Change Healthcare

La víctima: Change Healthcare, una filial clave de UnitedHealth, procesa casi el 40 por ciento de todas las reclamaciones médicas de EE.UU. Como uno de los mayores procesadores de pagos sanitarios del país, Change Healthcare desempeña un papel vital en el perfecto funcionamiento de la facturación sanitaria, los servicios de pago y la gestión de los datos de los pacientes.

El embrujo: En febrero de 2024, Change Healthcare fue víctima de un ataque de ransomware ejecutado por la banda de ransomware BlackCat. Aprovechando credenciales robadas, los atacantes se infiltraron en los sistemas de datos de Change Healthcare, extrayendo hasta 4 TB de datos de pacientes altamente confidenciales. A continuación, la banda desplegó el ransomware, paralizando la facturación sanitaria, las operaciones de pago y otros procesos esenciales. Este ataque ha sido descrito como una de las amenazas más importantes a las que se ha enfrentado el sistema sanitario estadounidense.

El caos: El incidente del ransomware desencadenó una crisis sanitaria a escala nacional, interrumpiendo el acceso de los pacientes a una atención oportuna y exponiendo registros personales, de pago y de seguros. Tras el ataque, los informes indican que Change Healthcare pagó un rescate no verificado de $22 millones de dólares con la esperanza de asegurar los datos robados. Sin embargo, las secuelas de la brecha dejaron un profundo impacto en los servicios sanitarios y en la confianza de los pacientes en el sistema.

Los restos: La investigación reveló que la brecha se aprovechó de la falta de autenticación multifactor (MFA) en los servidores de acceso remoto, un requisito básico según la normativa de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). En respuesta, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE.UU. (HHS) ha iniciado una investigación formal, analizando el riesgo sin precedentes que supone este catastrófico incidente para la atención y privacidad de los pacientes.

Al descubierto las vulnerabilidades: fallos de seguridad habituales que subyacen a los ataques de ransomware

Los ataques de ransomware suelen aprovechar brechas de seguridad que pasan desapercibidas, lo que supone una amenaza incluso para las organizaciones más consolidadas. Como se ha visto en el caso de Ivanti, los dispositivos sin parches crean una vía de acceso para los ciberdelincuentes, mientras que la falta de autenticación multifactorial (MFA) en Change Healthcare dejó sus sistemas expuestos. En esta sección, analizaremos cuatro brechas de seguridad críticas que allanan el camino para los ataques de ransomware, revelando los errores habituales que las organizaciones deben abordar para protegerse.

  1. Falta de parches y actualizaciones de software a tiempo

El software obsoleto es una puerta abierta al ransomware. Cuando las organizaciones retrasan las actualizaciones y no instalan los parches, dejan al descubierto vulnerabilidades críticas, lo que crea puntos de acceso fáciles para los atacantes. Como vimos en el caso de Ivanti, los sistemas sin parches permiten a los ciberdelincuentes aprovechar las debilidades conocidas. Esto pone de relieve la urgente necesidad de una gestión rutinaria de los parches para cerrar esas peligrosas brechas.

  • Protección insuficiente de los puntos finales para VPN y dispositivos remotos

Ahora que el teletrabajo se ha convertido en la nueva norma, la seguridad de los puntos finales para las VPN y los dispositivos remotos ha adquirido una importancia fundamental. Una protección insuficiente puede convertir las conexiones remotas en puntos de entrada para el ransomware. Los ciberdelincuentes suelen atacar dispositivos remotos con una seguridad deficiente para obtener acceso a la red, por lo que una protección sólida de los puntos finales resulta vital para proteger las VPN y todos los dispositivos remotos.

  • Falta de supervisión continua y detección proactiva de amenazas

Sin una supervisión continua, el ransomware puede permanecer oculto sin ser detectado y propagarse por los sistemas antes de que nadie se dé cuenta. La detección proactiva de amenazas es fundamental para identificar actividades sospechosas en una fase temprana, lo que permite a los equipos de seguridad detener los ataques de raíz.

  • Planes deficientes de copias de seguridad y recuperación ante desastres

Una estrategia deficiente de copias de seguridad y recuperación ante desastres puede convertir un ataque de ransomware en una catástrofe operativa. Sin copias de seguridad fiables y actualizadas, las organizaciones se verán obligadas a negociar con los atacantes o a sufrir un tiempo de inactividad prolongado. Unos planes sólidos de copias de seguridad y recuperación ante desastres garantizan que, incluso en caso de ataque de ransomware, la recuperación sea rápida, lo que minimiza las interrupciones y reduce la ventaja de los atacantes.

Construir un escudo: Estrategias clave para combatir el ransomware

He aquí cuatro estrategias esenciales para reforzar su ciberseguridad y mantener a raya los ataques de ransomware.

  1. Gestión proactiva de parches

Mantener todo el software y las VPN actualizados es fundamental para eliminar las vulnerabilidades conocidas antes de que los atacantes las aprovechen. Una gestión proactiva de los parches garantiza que las organizaciones vayan un paso por delante, cerrando las brechas de seguridad y dificultando la infiltración del ransomware.

  • Implementación de MFA y controles de acceso estrictos

Implementar MFA y controles de acceso estrictos para dispositivos y VPN añade una capa esencial de defensa. Al requerir múltiples pasos de verificación, la MFA dificulta considerablemente a los ciberdelincuentes el acceso no autorizado.

  • Seguridad y supervisión integrales de los dispositivos finales

Dado que cada dispositivo puede constituir un posible punto de entrada, la seguridad de los puntos finales es fundamental. Al proteger y supervisar continuamente todos los dispositivos conectados a la red, las organizaciones pueden identificar rápidamente cualquier actividad sospechosa y responder a ella, frenando así el avance del ransomware.

  • Copias de seguridad periódicas para una recuperación rápida

El backup frecuente y confiable garantiza que, incluso en caso de ataque de ransomware, las organizaciones puedan recuperarse rápidamente sin tener que pagar un rescate. Al conservar copias recientes de los datos críticos, las empresas pueden minimizar el tiempo de inactividad y restablecer sus operaciones con una interrupción mínima.

Cómo te protege Kaseya 365 contra el ransomware

El ransomware se ha convertido rápidamente en una industria que mueve miles de millones de dólares, en la que los ciberdelincuentes aprovechan tecnologías y tácticas de vanguardia para lanzar ataques sofisticados a gran escala. Sin embargo, las organizaciones pueden defenderse eficazmente contra estas implacables amenazas con un enfoque integral, y ahí es donde entra en escena Kaseya 365.

Kaseya 365 ofrece una completa suite de ciberseguridad que le ayuda a hacer frente a las amenazas de ransomware con facilidad y confianza. Mediante la automatización de procesos críticos, como la supervisión en tiempo real las 24 horas del día, los 7 días de la semana, la gestión de parches y la respuesta rápida ante amenazas, Kaseya 365 le ayuda a defenderse con éxito contra riesgos cibernéticos como el ransomware.

  • Supervisión en tiempo real las 24 horas del día, los 7 días de la semana, para detectar amenazas de forma temprana: la supervisión en tiempo real de Kaseya 365 ofrece a las organizaciones una visibilidad inmediata de todos los endpoints y de la actividad de la red. Su vigilancia continua permite detectar comportamientos sospechosos de forma temprana, lo que permite a los equipos de seguridad intervenir antes de que el ransomware pueda propagarse, minimizando así el riesgo de daños costosos y de interrupciones del servicio.
  • Gestión automatizada de parches para una protección proactiva: gracias a la gestión automatizada de parches, las empresas pueden adelantarse con confianza a los riesgos de ransomware. La solución analiza continuamente las vulnerabilidades del software e identifica automáticamente cualquier brecha que pueda dejar expuestas las redes. Al programar las actualizaciones fuera del horario laboral, la seguridad nunca interrumpe su productividad, mientras que los informes detallados de cumplimiento normativo le ayudan a cumplir sin esfuerzo con las normas reglamentarias.
  • Seguridad de múltiples capas para dispositivos finales: la seguridad de múltiples capas para dispositivos finales de Kaseya 365 protege todos los puntos de acceso a su red. Esto incluye una gestión integral de los dispositivos móviles, lo que garantiza que todos los dispositivos estén protegidos y sean supervisados de forma continua. Con este nivel de seguridad para dispositivos finales, podrá facilitar el teletrabajo con total confianza sin dejar la puerta abierta a los ataques de ransomware.
  • Rápida recuperación gracias a las funciones integradas de respaldo y recuperación ante desastres: en caso de sufrir un ataque, las soluciones de copia de seguridad y recuperación ante desastres de Kaseya 365 permiten restaurar rápidamente los datos y sistemas críticos, minimizando así las interrupciones operativas. Este enfoque integrado permite a las organizaciones reanudar su actividad sin demora, eludiendo las demandas de rescate y garantizando la resiliencia incluso ante ataques de ransomware.

Dado que las amenazas de ransomware siguen aumentando en frecuencia y sofisticación, reforzar las defensas de ciberseguridad es más importante que nunca. Kaseya 365 permite a las organizaciones mantenerse protegidas al eliminar el ransomware y otras ciberamenazas, al tiempo que reduce la sobrecarga de trabajo del equipo de TI y disminuye los costes. No espere hasta que sea demasiado tarde: asegure el futuro de su organización con una protección integral y proactiva. Solicite hoy mismo una demostración gratuita y descubra cómo Kaseya 365 puede mantenerle un paso por delante de amenazas como el ransomware.

Kaseya 365

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

5 formas de diferenciar tu MSP un mercado de dispositivos finales saturado

Descubre cinco formas probadas en las que los MSP pueden filtrar el ruido de los proveedores, ganarse la confianza de los clientes y destacar en un mercado de dispositivos finales saturado.

Leer la entrada del blog

Cómo la automatización de RMM reduce el riesgo de ransomware, el agotamiento de TI y los costos

La automatización de los procesos de ciberseguridad ayuda a las organizaciones a defenderse eficazmente contra el ransomware y otras amenazas. Lea el blog para obtener más información.

Leer la entrada del blog
Automatización

La ventaja RMM: Automatice los procesos informáticos para aumentar la eficacia, recortar costos y reducir el agotamiento.

Descubra cómo las soluciones RMM automatizan las tareas de TI, reducen los errores y liberan a su equipo para que pueda centrarse en la innovación, mejorar la eficiencia y reducir el agotamiento.

Leer la entrada del blog