El impacto del ramsonware en tu negocio

Recientes estudios indican que, en promedio, ha habido cerca de 4.000 ataques ransomware desde 2016, un aumento del 300% sobre los 1.000 ataques reportados en 2015 en Estados Unidos y todos los informes sobre seguridad informática lanzados para este 2017, colocan este tipo de ciberataque entre los principales ataques que sufrirán las organizaciones.

Pero en este artículo, no queremos ser pesimistas y expondremos las mejores técnicas para prevenir este tipo de ataque.

Empecemos por lo más básico, ¿qué es el ransomware? Existen multitud de definiciones sobre este tipo de ciberataque, en todas ellas, nos comentan que ransomware es un tipo de malware (software malicioso) distinto de otras ciberamenzas, porque su principal característica es que intenta negar el acceso a los datos de un usuario, usualmente, cifrando sus datos con una clave conocida únicamente por el hacker que desplegó el malware, hasta que se pague un rescate. Una vez que los datos del usuario son cifrados, el ransomware insta al usuario a pagar el rescate al hacker (generalmente por medio del pago de Bitcoin) para recibir la clave de descifrado. Sin embargo, los hackers también pueden implementar ransomware con el fin de destruir la información.

Si pensamos que no estamos expuestos a este tipo de amenaza, basta con recordar lo ocurrido en España a principios de esta década con el conocido "virus de la policía". Este malware es un claro ejemplo de ataque de ransomware, en el que una vez se introducía en nuestro sistema, se bloqueaba el ordenador y mostraba por pantalla una alerta falsa, afirmando que el usuario había violado las leyes relacionadas al uso y distribución de contenidos con Copyright y solicitando el pago de una multa de 100 euros para desbloquear el equipo.

¿Qué podemos hacer para prevenir este ataque? El Centro Criptográfico Nacional, en su estudio publicado en el segundo semestre de 2016 sobre ransomware, enumeraba las principales medidas que se han de adoptar, en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente la acción de este tipo de ataques, entre las que se encuentran:

1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.
3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas).
4. Disponer de sistemas antispam a nivel de correo electrónico, y establecer un nivel de filtrado alto, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail.
5. Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.).
6. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits.
7. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
8. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto.
9. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.

Finalmente, desde nuestra experiencia como auditores de entornos informatizados, nos gustaría destacar que, para cumplimentar la primera y más importante de las medidas para mitigar un ataque, dado que el ransomware afecta a los datos, es necesario que podamos garantizar el mantenimiento de copias de seguridad. Para ello, deberíamos de incluir en nuestras organizaciones, la práctica de restauraciones programadas de backups, con el fin de verificar la integridad de los datos respaldados y proporcionar confianza en la capacidad de restauración de los datos de la organización.

El ransomware no es solo una molestia, puede impactar gravemente a nuestro negocio, pero el uso de estas medidas y unas buenas prácticas generales de seguridad, permitirán sin duda minimizarlo.

Elena García Gómez

• By BDO
• 18/01/2017
• ransomware, seguridad informática, ciberataques