Cómo protegerse frente al Ransomware

Desde hace unos años, el Ransomware ha convertido en una de las mayores amenazas para las empresas a nivel de seguridad informática pero vayamos por partes.

¿Qué es el Ransomware?

Ante todo por si no sabes de qué hablamos, el Ransomware es un ataque delictivo por el que se encriptan nuestros archivos mediante una contraseña que la mayoría de veces es imposible de descifrar y que en general provoca la pérdida de todos los archivos afectados. Normalmente daña los archivos compartidos de la red pero puede afectar equipos enteros. Lo siguiente será pedirnos que paguemos un rescate para poder recuperarlos que puede oscilar entre los 500 y 9.000 €, que deberán ser abonados en una criptomoneda por lo que se hará más difícil a las autoridades policiales hacer un seguimiento del receptor. Por si fuera poco, con el propósito de angustiarnos más si cabe, nos darán una hora / fecha límite para poder realizar el pago a partir de la cual ya no habrá posibilidad de recuperarlos ni siquiera pagando.

Hay muchos testimonios por internet de empresas que pagan para recuperar los archivos y no reciben respuesta, en algunos casos incluso siguen pidiendo más dinero una vez hecho el primer pago. Además pagando dinero a esta gente contribuimos a redes delictivas organizadas sin escrúpulos por lo que financiamos que puedan continuar sus actividades delictivas.

https://upload.wikimedia.org/wikipedia/en/1/18/Wana_Decrypt0r_screenshot.png
Típica ventana de Ransomware en la que nos piden pago en bitcoins y además tenemos un contador que va disminuyendo, una vez llegue a cero no se podrán recuperar ni pagando

¿Quién hace estos ataques?

Normalmente son redes de delincuentes organizadas que operan desde cualquier lugar del mundo por lo que se hace muy difícil poder detenerlos. También hay individuos que realizan estas actividades de forma solitaria.

¿Cómo lo hacen?

En general estas personas por llamarlas suavemente utilizan Phishing (suplantación de identidad) en el correo electrónico o páginas web, haciéndose pasar por una empresa de mensajería, un banco o un proveedor. Hemos visto casos que incluso interceptan correos de la empresa y utilizan cabeceras de correos de proveedores de confianza, adjuntando una supuesta factura o albarán por lo que es muy fácil caer en la trampa.

Una vez se ejecuta este archivo o se abre la página web indicada, el virus Ransomware comenzará de forma silenciosa a infectar todos los archivos del equipo y todas las unidades y carpetas que encuentre en la red local, lo cual provoca un enorme desastre, ya que en general en una empresa la mayoría de bases de datos, archivos, etc, se encuentran compartidos para que diferentes personas puedan trabajar simultáneamente.

También en algunos casos utilizan conexiones por RDP (conexión remota) ganando acceso al equipo mediante una técnica llamada fuerza bruta (introducción de contraseñas aleatorias de diccionario o habituales).

¿Cómo protegerse?

Por el momento que nosotros sepamos no hay una solución mágica única, creo que la mejor protección es una serie de medidas en paralelo que hagan la tarea más complicada a estos indeseables. Hemos hecho una lista para ayudarte a protegerse contra esto, lo hemos dividido en dos secciones, preventivas y post desastre.

Preventivas

CORTAFUEGOS: Disponer de un buen cortafuegos es imprescindible, un aparato que bloquee al máximo posible los ataques, con un sistema incorporado de análisis de paquetes para que la amenaza no entre y sean bloqueados todos los puertos excepto los absolutamente necesarios. Los routers que facilitan las empresas de telefonía disponen de un cortafuegos pero su uso es tan habitual y su coste tan bajo que no se puede considerar una medida de protección eficiente. Son fáciles de piratear.

https://www.sonicguard.com/images/TZ400/TZ400_Front.jpg
Cortafuegos Sonicwall TZ400

VPN: En caso de que necesitamos trabajar por remoto es imprescindible que las conexiones sean seguras, por experiencia sabemos que trabajar por remoto con un puerto abierto sin un túnel SSL en 2020 es una temeridad.

ANTI-VIRUS: Que los equipos tengan un buen antivirus instalado también puede ayudar en algunos casos si bien no en todos, pero como decimos, se trata de crear capas de seguridad diferentes para hacer el trabajo más difícil a los atacantes.

VIRTUALIZACIÓN: Tener máquinas virtuales mejora mucho la protección ya que en caso de tener un equipo comprometido, es más difícil de que la amenaza salga del entorno virtualizado, especialmente que llegue a la máquina física y las copias que pueda contener.

BUENAS PRÁCTICAS: Esta es quizá la más importante de todas, sin unas buenas prácticas de seguridad en la empresa todas las medidas que ponemos serán ineficaces, por ejemplo a nivel de contraseñas, que sean robustas, con símbolos, mayúsculas, minúsculas y que no sean una palabra del diccionario, cambiarlas de vez en cuando, no compartirlas con todo el mundo, no enviarlas por correo electrónico, no tenerlas apuntadas a la vista con un post-it. Cambiar las contraseñas por defecto de los dispositivos de la empresa. Tener políticas de bloqueo de usuarios en caso de la introducción de una contraseña incorrecta más de X veces. Tener los permisos en carpetas sólo para los departamentos que realmente lo necesiten y no compartidos para todos de base también puede ayudar enormemente a mejorar la seguridad entre otras medidas.

Post-desastre

COPIAS LOCALES: En caso de que el mal ya esté hecho, lo más importante es disponer de copias de seguridad con el fin de recuperar los archivos lo más rápido posible. Recomendamos ser imaginativo y por ejemplo utilizar dispositivos NAS que se apaguen en las horas que no se realiza la copia para evitar su acceso. Encriptarlas y protegerlas con una contraseña única o utilizar un rango de la red diferente únicamente para las copias locales. Tener varias copias con sistemas diferentes puede ayudar a que no se vean afectadas. Por ejemplo las copias de seguridad de Windows Server en caso de un ataque de estas características la mayoría de veces no sirven, los atacantes conocen perfectamente las medidas habituales y son las primeras que se ven comprometidas.

BACKUP ONLINE / FUERA DE LA EMPRESA: La copia de los archivos fuera de la empresa es imprescindible, ya sea mediante un servicio de backup online o bien con el sistema tradicional de copia en un dispositivo de forma manual (disco duro o pen drive) pero hay que ser regular en este caso y proteger el dispositivo con una medida eficiente de seguridad para que en caso de pérdida del dispositivo los datos no se vean comprometidos.

Utilizar los dos sistemas simultáneamente también es una opción muy recomendable, tener más copias suma, no resta.

Muchas empresas son atacadas por Ransomware diariamente, es una amenaza a tener muy en cuenta y provoca una disrupción en la operativa de la empresa que puede variar de horas a días según el caso por lo que toda precaución es poca.

Esperamos que este artículo os pueda ayudar a proteger mejor vuestra empresa o negocio, si necesitáis ayuda estaremos encantados de daros apoyo al respecto.

No hay comentarios.

Dejar una respuesta

WhatsApp chat