Qué es el ransomware y cómo protegerte de esta amenaza global

El número de noticias relacionadas con ataques cibernéticos sigue en aumento, y por muy buenas razones.

El tipo de ataque conocido como ransomware está presente a nivel global, es capaz de infectar de forma rápida a objetivos inesperados, implica un costo relativamente bajo para los criminales, y frecuentemente es imposible recuperarse de ellos. Generalmente, las víctimas no tienen otra opción más que pagar la solicitud de rescate y esperar lo mejor.

¿Qué es el ransomware y cómo se propaga?

De la misma forma que con otro tipo de infecciones, el usuario final es atraído por medio de la instalación involuntaria de malware1 en su computadora, en este caso el malware es un programa de ransomware. El contenido de correo electrónico malintencionado, así como los archivos adjuntos o vínculos infectados, son métodos comunes para activar una instalación de ransomware.

La navegación involuntaria en un sitio web con ransomware también puede originar una infección. Una vez que el usuario desencadena una descarga del programa, el malware actúa rápidamente instalándose en el equipo objetivo e ingresando al repositorio donde residen las claves de cifrados. Éstas se utilizan para codificar archivos valiosos de la máquina infiltrada en un formato inservible e ilegible, bloqueando así el acceso de los usuarios a estos archivos.

El ransomware también intentará propagarse a través de la red. Si la máquina infectada está conectada a cualquier recurso compartido en la red de la empresa, existe una alta probabilidad de que el programa se extienda a través de esos directorios compartidos, agravando así la infección. El usuario afectado queda desamparado sin la clave de descifrado. Pero aún, normalmente existe un tiempo limitado para pagar al criminal antes de que los archivos cifrados sean eliminados sistemáticamente.

Una vez finalizado el proceso de cifrado, se hace entrega de las instrucciones para descifrar los archivos y regresarlos a su estado original. Generalmente, las instrucciones se colocan en cada directorio dañado, a manera de un archivo de texto sin formato, o se comparten a través de la pantalla de la computadora en una ventana emergente. Bitcoin es el método de pago preferido.

Flujo típico de ransomware para cifrado de archivos

ransom.jpg

• El realizar el pago no garantiza la recepción de la clave de descifrado o que ésta funcionará.

En los últimos años, se han reportado una gran variedad de tipos de ataques de ransomware. Una de ellas, la que abordamos en este blog, es vista como un método común para extorsionar digitalmente a las empresas con dinero. Utiliza el cifrado para retener archivos y datos valiosos como rehenes.

La comprensión de las características de este tipo de ataque de ransomware ayuda a identificar posibles deficiencias o vulnerabilidades en su política de seguridad y en sus procedimientos, lo que puede mejorar los controles y reducir el riesgo.

Pasos a seguir a partir de la detección de ransomware:

• Realice de manera inmediata una exploración completa del sistema de archivos del servidor para determinar el alcance de la propagación del ransomware
• Inspeccione todos los respaldos de información crítica para confirmar la integridad de los archivos
• Revise todos los registros empresariales pertinentes para ayudar a determinar la extensión del daño (puntos finales, servidores, firewalls, sistemas de detección de intrusiones, proxies, etc.)
• Póngase en contacto con un consultor de seguridad de confianza para que pueda apoyarlo

Algunas prácticas recomendadas para ayudar a mitigar los daños potenciales de un ataque de ransomware:

• Use software actualizado y original
• Revise y evalúe continuamente su marco de seguridad actual contra ataques emergentes y existentes
• Escanee de manera cotidiana su red en busca de vulnerabilidades
• Establezca un respaldo de datos de alta seguridad, así como los procesos correspondientes de recuperación
• Asegúrese de que todos los sistemas estén adaptados a los niveles de seguridad recomendados
• Revise todos los permisos de acceso de usuario y los niveles de privilegios para los recursos locales y compartidos
• Restrinja el uso de cuentas de administrador en todas las PCs y servidores
• Ejecute software de protección de punto final, que incluya detección de virus, anti-malware e intrusión
• Desarrolle una campaña corporativa de concientización sobre la seguridad cibernética, para educar y evaluar continuamente a los empleados sobre prácticas seguras
• Considere la posibilidad de asociarse con un proveedor confiable de servicios de seguridad, que cuente con amplia experiencia en análisis de amenazas, para aumentar su soporte interno

Estas mejores prácticas no son infalibles contra cada variante de ransomware, y diariamente aparecen nuevos y más eficaces tipos de ataques. Manténgase bien informado sobre el cambiante panorama de amenazas para asegurarse de que emplea los métodos de prevención más actuales.

Lo principal es estar preparado para el ransomware y otros tipos de ataques. En nuestro informe de Perspectivas de Ciberseguridad, "Guía del CEO para la respuesta a las fallas de seguridad" se describe un buen plan de incidentes a seguir.

Un último tip – si tiene la suerte de detectar un ataque de ransomware durante su proceso de instalación, desconecte inmediatamente su computadora de la red para intentar impedir que éste se complete, así podrá evitarse un importante dolor de cabeza.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s