En días recientes, diversas publicaciones han informado de una serie de empresas que han sido afectadas por ransomware. Pero con un poco de información, se puede reducir significativamente el riesgo y el impacto sobre las organizaciones.
¿Qué es el ransomware? Es un tipo de malware que infecta dispositivos, redes y centros de datos, impidiéndoles ser utilizados hasta que el usuario u organización paga un rescate. El ransomware ha existido al menos desde 1989, cuando el troyano «PC Cyborg» cifraba los archivos del disco duro y pedía el pago de USD $189 para desbloquearlos.
El impacto de este tipo de malware es difícil de calcular, sin embargo, un informe sobre la campaña del ransomware Cryptowall v3, publicado en octubre de 2015 por Cyber Threat Alliance, estima que su costo fue de aproximadamente 325 millones de dólares. Dicha estimación sirve para darse una idea de lo cada una de las campañas de ransomware puede ser capaz de alcanzar, así como de su impacto de manera general.
El ransomware trabaja de varias maneras, por ejemplo, Crypto puede infectar un sistema operativo para que un dispositivo sea incapaz de arrancar. Otros cifran una unidad o un conjunto de archivos. Algunas versiones utilizan un cronómetro y comienzan la eliminación de archivos hasta que un rescate haya sido pagado. Existen todo tipo de exigencias para obtener el pago y poder desbloquear o liberar el sistema, archivos o datos.
El 31 de marzo de 2016, el U.S. Cyber Emergency Response Team y el Canadian Cyber Incident Response Centre advirtieron de manera conjunta sobre el tema después de varios ataques de alto perfil en hospitales. De acuerdo con esta alerta, los usuarios atacados reciben un mensaje como los siguientes:
- “El ordenador ha sido infectado con un virus. Haga clic aquí para resolver el problema”.
- “El ordenador se ha utilizado para visitar sitios web con contenido ilegal. Para desbloquear el equipo, deberá pagar una multa de $100”.
- “Todos los archivos de su equipo han sido cifrados y deberá pagar este rescate dentro de las siguientes 72 horas para recuperar el acceso a sus datos”.
Los siguientes son 10 puntos para la protección contra los efectos de ransomware:
- Desarrollar un plan de respaldo y recuperación. Realizar copias de seguridad de los sistemas de manera regular y mantenerlas en algún dispositivo sin conexión.
- Utilizar herramientas profesionales de correo electrónico y seguridad web que analicen los archivos adjuntos y páginas web en busca de malware, y bloquean los anuncios potencialmente vulnerables y los sitios de medios sociales que no tienen ninguna relevancia empresarial. Deben incluir la funcionalidad de sandbox, para que los archivos nuevos o no reconocidos sean ejecutados y analizados en un ambiente seguro.
- Mantener sistemas operativos, dispositivos y software actualizado.
- Asegurar que el antivirus de la red y herramientas antimalware se están ejecutando con las últimas actualizaciones.
- Hacer uso de listas blancas de aplicaciones, lo que impide descargar y ejecutar aplicaciones no autorizadas.
- Segmentar la red, de esta forma una infección no se propagará fácilmente.
- Establecer y hacer cumplir la asignación de privilegios para que el menor número de usuarios puedan afectar las aplicaciones críticas de negocio, datos o servicios.
- Establecer y hacer cumplir una política de seguridad BYOD para inspeccionar dispositivos y en caso necesario bloquear el acceso a aquellos que no cumplen con los estándares para la seguridad.
- Implementar herramientas de análisis forense, las cuales permitirán después de un ataque identificar de dónde provino, el tiempo que ha permanecido, si ha sido retirado de todos los dispositivos y asegurarse de que no volverá.
- No depender de los empleados para mantener la seguridad. Aunque es importante su capacitación para evitar la descarga de archivos adjuntos infectados o dar clic en enlaces del correo electrónico, los seres humanos son el eslabón más vulnerable de la cadena de seguridad.
Si al recibir un ataque se cuenta con la copia de seguridad, después de verificar que todo se encuentra correctamente se podrá continuar con la operación de la organización de forma normal. Otras cosas a considerar son las siguientes:
- Informar del ataque, una rápida búsqueda en línea le guiará al sitio para reportar los delitos informáticos en región o país.
- Pagar el rescate no es garantía de recuperar su información. Además, el desencriptar sus archivos no significa que la infección por malware se haya eliminado.
- Tener un plan para saber qué hacer mientras sus sistemas no se encuentren disponibles.
Ahora, más que nunca, la seguridad es parte integral del negocio. Asegúrese de que está colaborando con expertos que entienden que la seguridad es más que un dispositivo. Es un sistema de tecnologías altamente integradas y de colaboración, combinada con una política eficaz y un enfoque de ciclo de vida de preparar, proteger, detectar, responder y aprender. Las soluciones de seguridad necesitan compartir la información con el fin de detectar y responder eficazmente a las amenazas siendo capaces de adaptarse dinámicamente a medida que las nuevas amenazas se descubren.