Habrás estado escuchando noticias constantemente de empresas que han sido afectadas por el RANSOMWARE. Pues efectivamente es un tipo de ciberataque que está en constante evolución y tiene preocupados a muchos responsables TIC. Ahora bien, se puede reducir el riesgo de ser infectado con una cuidadosa preparación.
¿Qué es Ransomware?
Es una forma de malware – software dañino – que infecta dispositivos, redes y centros de datos y bloquea su uso hasta que el usuario o la empresa paga un rescate para desbloquear el sistema. Este software desde 1989 ha ido en incremento con sistemas más sofisticados y lucrativos.
El impacto del ransomware es difícil de calcular, ya que algunas empresas desesperadas simplemente pagar el rescate para desbloquear sus ficheros, aunque no siempre funciona. Un informe de octubre de 2015 realizado por Cyber Threat Alliance estima su coste en 325 millones de dólares.
Ransomware trabaja de varias formas, Crypto Ransomware puede infectar el sistema operativo para que el equipo no pueda arrancar. Otro ransomware encripta un disco o un conjunto de ficheros. Algunas versiones maliciosas tienen un temporizador y empiezan borrando ficheros hasta que se paga el rescate. Todos piden un rescate para desbloquear o liberar el sistema encriptado, ficheros o datos.
Este tipo de ficheros atacan a todo tipo de ordenadores y organizaciones, siendo más crítico todavía en aquellos que tratan con datos de salud o datos de nivel alto de carácter personal, ya no sólo por el bloqueo sino por el dudoso prestigio de la empresa infectada que es incapaz de tener a salvo datos de carácter personal.
En algunas ocasiones este aviso se muestra con imágenes embarazosas o pornográficas para motivar al usuario de liberar al sistema lo más rápidamente posible, y jugando con la ingeniería social consiguen que el usuario bloquee el sistema, inutilice datos críticos y paralice una empresa, su producción, o los procesos de negocio.
Cómo me infecto del Ransomware
El Ransomware puede entregarse de varias formas, pero la más común es como un archivo infectado adjunto en un correo electrónico, o últimamente con un enlace a un fichero en un servidor externo http://…. donde se encuentra el fichero de malware.
Lo más típico es recibir un correo del de la oficina de correos, de una empresa de suministros o de un banco, con los logotipos correctos, enlaces a las URL reales del “emisor”, con tu nombre correcto, explicando que han detectado una actividad sospechosa en la cuenta corriente y que necesitan instalar el fichero adjunto para verificar las credenciales. Parece que es un aviso legítimo, pero se trata de un ataque de phising.
Por favor avisar a TODOS LOS USUARIOS, que los bancos no se comunican por correo electrónico enviando ficheros, ni instalando software.
Pero claro hay más alternativas, como visitar un sitio web infectado desde donde se descarga el malware y se instala sin conocimiento del usuario. O también se está propagando a través de redes sociales con enlaces a servidores que han sido “reventados” para utilizarlos como punto de entrada a la red de la empresa.
10 pasos para protegerte del Ransomware
¿Qué hacer para parar un Ransomware? Aquí hay diez cosas que necesitas hacer para protegerte de los efectos del ransomware, recordando que la mejor protección siempre es LA PREVENCIÓN.
- Desarrolla un sistema de copias de seguridad y de recuperación de datos. Haz copias de seguridad periódicamente y guarda estos ficheros fuera de tu organización – por ejemplo con backups en la nube, y en dispositivos diferentes a los que pueden ser infectados.
- Utiliza herramientas de seguridad profesional que analicen el correo electrónico, los enlaces web, y los ficheros adjuntos de forma que puedan bloquear un fichero potencialmente comprometido, que también puede venir de redes sociales y que aparentemente no tiene relevancia para tu negocio. Es importante que estas herramientas dispongan de la funcionalidad SANDBOX, para que en caso de no ser reconocido el fichero, pueda ser ejecutado y analizado en un entorno seguro de forma automática.
- Mantén actualizados los sistemas operativos y dispositivos con los últimos parches y actualizaciones de seguridad.
- Estate seguro de que los dispositivos y antivirus de red, IPS y herramientas de antimalware están actualizados con las últimas versiones.
- En la medida de lo posible utiliza listas blancas de correo previniendo la descarga de aplicaciones de lugares no autorizados, o listas negras.
- Segmenta la red en zonas seguras, para que la infección de un área no pueda fácilmente propagar la infección al resto de la red. Configura con tu empresa de redes VLANs
- Establece permisos y privilegios para que sólo determinadas personas puedan ejecutar programas que puedan infectar las aplicaciones o datos críticos de la empresa.
- Establece una política de seguridad BYOD que pueda inspeccionar y bloquear dispositivos que no cumplan los estándares de seguridad de la empresa. (ningún dispositivo sin antivirus actualizado, y parches críticos de sistema operativo se podrá conectar a la red)
- Emplea herramientas de análisis forense para que después de un ataque se pueda identificar:
- De dónde ha venido la infección
- Cuál ha sido el impacto de la infección
- Que hayas eliminado todo el malware de cualquier dispositivo
- Que estés seguro que no se puede volver a reproducir
- ESTO ES CRÍTICO. No cuentes sólo con tus empleados para estar a salvo. Si bien es importante mantener formados a los usuarios y sensibilizarlos, para que no descarguen ficheros desconocidos, o que hagan clic en enlaces de correos electrónicos que no saben de dónde vienen, los seres humanos somos el enlace más vulnerable de la cadena de seguridad y por lo tanto hay que estar planificando todo entorno a los usuarios y su forma de trabajar.
¿Por qué no contar sólo con ellos? Primero, porque muchos empleados tienen que descargarse archivos y hacer clic en enlaces del correo electrónico como parte de su trabajo, y es difícil mantener el nivel apropiado de seguridad. Segundo, los ataques de phising cada vez son más convincentes. Tercero, simplemente la naturaleza del ser humano hará que éste haga click sobre un fichero correspondiente a una factura esperada del banco, o un paquete de correos.
Qué hacer si te han infectado
Ojalá tengas una copia de seguridad reciente y puedas limpiar tu dispositivo y restaurarlo con una versión no infectada. Aquí hay algunas cosas que necesitar hacer:
1. Informa sobre la infracción
Aquí te dejamos algunas guías de los sitios web para reportar cibercrìmenes según tu país:
• En EEUU informa de la infracción o fraude al FBI en el Centro de Delitos por Internet. http://www.ic3.gov/default.aspx
• En Canadá, puedes informar sobre el fraude al Centro Anti-fraude Canadiense
http://www.antifraudcentre-centreantifraude.ca/reportincident-signalerincident/index-eng.htm
• En Europa puedes localizar el lugar donde realizar la denuncia en https://www.europol.europa.eu/content/report-cybercrime
2. Pagar el rescate no es una garantía de recuperar los datos
De acuerdo con los organismos internacionales, “Pagar el rescate no garantiza que los ficheros encriptados sean restaurados, sólo garantiza que los infractores recibirán dinero de la víctima, y en algunos casos tus datos bancarios”. Además, la des encriptación no significa que el malware se haya eliminado.
3. Contacta con expertos.
Muchas empresas de sistemas, software y seguridad tienen expertos en plantilla que pueden proporcionar consejos sobre cómo deberías actuar si tu sistema ha sido infectado con ransomware. Hay expertos forenses que pueden ayudarte a restaurar tu sistema y continuar trabajando.
4. Tener un plan B
¿Qué hacer si tu sistema o red no está disponible? ¿Tienes un plan de contingencia? ¿Tienes forma de restaurar algunas cosas aunque sea parcialmente mientras se repara tu sistema? ¿Sabes cuánto le costará a tu empresa cada hora que tu sistema no está disponible? ¿Está reflejado este coste en el presupuesto de seguridad de IT?
Esta información debe estar incluida en su política de seguridad y la Dirección de la empresa debe ser conocedora para invertir en un plan de contingencia por si acaso.
Conclusión
El cibercrimen está facturando miles de millones. Al igual que en las empresas, los cibercriminales están altamente motivados para conseguir nuevas formas de seguir generando facturación. Ellos utilizan artimañas y subterfugios para extorsionar, asaltar, amenazar y hacer atractivo el conseguir acceso a tus datos críticos y recursos.
El ransomware no es nuevo, pero es reciente su medio sofisticado de distribución y están aumentando las nuevas formas inesperadas para explotar los sistemas individuales y los negocios que operan en línea.
Ahora piensa si la seguridad es algo que tienes que añadir a tu negocio, o si es parte integral de tu negocio. Contacta con partners de seguridad expertos que sepan que la seguridad es algo más que proteger un dispositivo. La seguridad no consiste sólo en poner un dispositivo, sino que requiere definir periódicamente políticas de seguridad, protegiendo, previniendo, detectando, respondiendo y aprendiendo las formas de ataques periódicos. ¿Lo sencillo? Ignorar que te están atacando todos los días, hasta el día que te paralicen la empresa.
Las soluciones de seguridad comparten de forma inteligente amenazas para detectar y responder eficientemente a las amenazas que se producen en los entornos informáticos. Estos sistemas se adaptan dinámicamente conforme se van descubriendo nuevas amenazas, de ahí la importancia de contar con un sistema de actualizaciones periódicas de seguridad además de realizar revisiones periódicas que protejan tu negocio para que puedas seguir haciendo negocio.