Los ataques destructivos representan una de las amenazas más críticas para las organizaciones porque no buscan únicamente robar información o exigir un rescate: su objetivo principal es interrumpir la operación del negocio y dificultar la recuperación.

A diferencia del ransomware, donde suele existir una nota de rescate o una promesa de recuperación a cambio de un pago, en un ataque destructivo el daño puede ser definitivo.

Los dispositivos pueden quedar inutilizables, las aplicaciones centrales pueden dejar de funcionar y los respaldos también pueden verse comprometidos.

El borrado de información es solo la etapa final. Cada paso previo al impacto representa una oportunidad para romper la cadena de ataque.



Estos ataques suelen comenzar con el robo de accesos, mediante credenciales o tokens de sesión válidos obtenidos mediante phishing, descargas maliciosas, resultados de búsqueda manipulados o sitios web comprometidos. Los atacantes también pueden comprar accesos en mercados clandestinos en lugar de robarlos directamente. Además, la vulneración de la cadena de suministro puede crear otra vía de acceso a través de software de confianza.

El riesgo no está solo en la credencial comprometida, sino en todo lo que ese acceso permite alcanzar. Los atacantes destructivos buscan generar la máxima interrupción posible, por lo que se enfocan en cuentas y servicios que les otorguen un amplio alcance dentro del entorno corporativo.



Una vez dentro, los atacantes intentan convertir el acceso inicial en control administrativo.

Sus objetivos son las plataformas que permiten modificar el entorno a gran escala: infraestructura de identidad, administración de la nube, acceso remoto, gestión de dispositivos, sistemas de respaldo e hipervisores.

En muchos incidentes, acceder a estas plataformas no requiere una vulnerabilidad sofisticada. Procesos débiles de restablecimiento de credenciales, ausencia de autenticación multifactorial (MFA) y sesiones privilegiadas iniciadas desde dispositivos comprometidos pueden brindar a los atacantes el control que necesitan.

La etapa final es el impacto. El malware tipo wiper puede destruir datos críticos para el arranque, impidiendo que los dispositivos se inicien. Algunos ataques se hacen pasar por ransomware y muestran una demanda de pago, aunque no exista ninguna clave de recuperación. Otros utilizan las propias herramientas de administración de la organización para ejecutar borrados remotos, restablecimientos de fábrica o eliminaciones masivas de dispositivos.

Los ataques más graves pueden incluso alcanzar al firmware. En ese punto, reinstalar el sistema operativo puede no ser suficiente: los equipos de TI deben verificar si un dispositivo puede considerarse confiable antes de devolverlo al servicio.

Una vez iniciado el borrado, la prioridad cambia: restaurar las operaciones de forma rápida y segura desde una base confiable. Frente a este escenario, las organizaciones requieren un modelo de resiliencia diseñado para limitar la interrupción operativa. La prioridad es cerrar las rutas de acceso que los atacantes utilizan con mayor frecuencia, restringir el alcance de un dispositivo comprometido y preservar mecanismos de recuperación que sigan siendo confiables después de que se haya desplegado una carga destructiva. Este modelo debe funcionar a lo largo de toda la cadena de ataque.

En la etapa de acceso, las organizaciones necesitan aislar archivos, enlaces y sitios web de riesgo antes de que lleguen al dispositivo. También requieren autenticación multifactorial resistente al phishing y monitoreo de credenciales expuestas.

En la etapa de control, las sesiones administrativas deben mantenerse aisladas del dispositivo local. Incluso si el equipo está comprometido, el malware no debería poder capturar pulsaciones de teclado, visualizar el contenido de la pantalla ni robar información de sesiones privilegiadas.

En la etapa de impacto, la recuperación debe comenzar desde una base confiable. Esto implica validar la integridad del firmware y contar con mecanismos seguros de recuperación del sistema operativo, de modo que los equipos de TI puedan confirmar que un dispositivo es seguro antes de volver a ponerlo en operación.

La lección no es que todos los ataques destructivos puedan detenerse en el perímetro. Es que las organizaciones pueden hacer que la destrucción sea más difícil de ejecutar y que la recuperación sea más rápida cuando ocurre el peor escenario. Las defensas más sólidas asumen que puede existir una vulneración, reducen el alcance de los atacantes y proporcionan a los equipos de TI una ruta confiable para restaurar sistemas en toda la organización.

(*) Mateo Figueroa: Director General, HP Inc. Latinoamérica