Por Mateo Figueroa, director general de HP Latinoamérica
La primera llamada llega temprano por la mañana. Un empleado remoto no puede acceder a su computadora portátil. Poco después, las aplicaciones centrales del negocio dejan de funcionar. Para cuando los equipos de TI llegan a la oficina, los dispositivos han sido borrados y los respaldos también han sido comprometidos. No hay una nota de rescate.
Esto no es ransomware. En un ataque destructivo, el objetivo del atacante es impedir que la empresa continúe operando y dificultar la recuperación.
El borrado es solo la etapa final. Estos ataques suelen comenzar con el robo de accesos y avanzan hacia los sistemas administrativos que controlan identidades, respaldos, infraestructura en la nube y flotas de dispositivos. Cada paso previo al impacto representa una oportunidad para romper la cadena de ataque.
Antes de que un atacante pueda destruir sistemas, necesita una forma de ingresar. Cada vez más, esto significa iniciar sesión utilizando credenciales robadas o tokens de sesión válidos.
Estas credenciales y tokens pueden obtenerse mediante phishing, descargas maliciosas, resultados de búsqueda manipulados o sitios web comprometidos. Los infostealers pueden recopilar nombres de usuario, contraseñas, cookies del navegador y tokens de sesión activos desde los dispositivos de los empleados. Los atacantes también pueden comprar accesos en mercados clandestinos en lugar de robarlos directamente.
El riesgo radica en lo que ese acceso permite alcanzar. Los atacantes destructivos buscan generar la máxima interrupción posible, por lo que se enfocan en cuentas y servicios que les otorguen un amplio alcance dentro del entorno corporativo.
La vulneración de la cadena de suministro crea otra vía de acceso a través de software de confianza
Una vez dentro, los atacantes intentan convertir el acceso inicial en control administrativo. Sus objetivos son las consolas y plataformas que permiten modificar el entorno a gran escala. Esto incluye infraestructura de identidad, administración de la nube, acceso remoto, gestión de dispositivos, sistemas de respaldo e hipervisores.
Estos sistemas son valiosos porque permiten realizar cambios masivos en la infraestructura, desactivar protecciones y ralentizar la recuperación. En muchos incidentes, acceder a ellos no requiere una vulnerabilidad sofisticada. Procesos débiles de restablecimiento de credenciales, ausencia de autenticación multifactor (MFA) y sesiones privilegiadas iniciadas desde dispositivos comprometidos pueden brindar a los atacantes el control que necesitan.
La etapa final es el impacto. El malware tipo wiper puede destruir datos críticos para el arranque, impidiendo que los dispositivos se inicien. Algunos ataques se hacen pasar por ransomware y muestran una demanda de pago, aunque no exista ninguna clave de recuperación. Otros utilizan las propias herramientas de administración de la organización para ejecutar borrados remotos, restablecimientos de fábrica o eliminaciones masivas de dispositivos.
Los ataques más graves pueden alcanzar niveles inferiores al sistema operativo, llegando al firmware. En ese punto, la recuperación ya no consiste simplemente en reinstalar el sistema operativo. Si el firmware ha sido manipulado, la presencia del atacante puede persistir incluso debajo de una imagen limpia del sistema. Los equipos de TI deben verificar si un dispositivo puede considerarse confiable antes de devolverlo al servicio.
Una vez iniciado el borrado, la prioridad cambia hacia restaurar las operaciones de forma rápida y segura desde una base confiable.
Resiliencia frente a los ataques destructivos
Los ataques destructivos requieren un modelo de resiliencia diseñado para limitar la interrupción operativa. La prioridad es cerrar las rutas de acceso que los atacantes utilizan con mayor frecuencia, restringir el alcance de un dispositivo comprometido y preservar mecanismos de recuperación que sigan siendo confiables después de que se haya desplegado una carga destructiva.
Este modelo debe funcionar a lo largo de toda la cadena de ataque.
En la etapa de acceso, las organizaciones necesitan aislar archivos, enlaces y sitios web de riesgo antes de que lleguen al dispositivo. También requieren autenticación multifactorial resistente al phishing y monitoreo de credenciales expuestas.
En la etapa de control, las sesiones administrativas deben mantenerse aisladas del dispositivo local. Incluso si el equipo está comprometido, el malware no debería poder capturar pulsaciones de teclado, visualizar el contenido de la pantalla ni robar información de sesiones privilegiadas.
En la etapa de impacto, la recuperación debe comenzar desde una base confiable. Esto implica validar la integridad del firmware y contar con mecanismos seguros de recuperación del sistema operativo, de modo que los equipos de TI puedan confirmar que un dispositivo es seguro antes de volver a ponerlo en operación.
La lección no es que todos los ataques destructivos puedan detenerse en el perímetro. Es que las organizaciones pueden hacer que la destrucción sea más difícil de ejecutar y que la recuperación sea más rápida cuando ocurre el peor escenario. Las defensas más sólidas asumen que puede existir una vulneración, reducen el alcance de los atacantes y proporcionan a los equipos de TI una ruta confiable para restaurar sistemas en toda la organización.
