Como CTO, sabemos que la ciberseguridad es siempre uno de los temas que más te preocupan, y una de las amenazas más actuales, el ransomware, no parece que vaya a desaparecer pronto. Por eso, hoy queremos traerte la guía definitiva para que sepas cómo prevenirlo, cómo actuar en caso de recibir un ataque y cómo actuar de ahora en adelante.
Tabla de Contenidos.
Comencemos por lo básico: ¿Qué es el Ransomware?
El ransomware es un tipo de malware que “bloquea” tus datos, cifrándolos con una clave secreta y luego exigiendo el pago de esa clave para que puedas descifrar y acceder a tus datos nuevamente.
Muchas variedades de ransomware obligan a las víctimas a tomar medidas al incorporar una fecha de vencimiento en la demanda de rescate: si el rescate no se paga en una fecha determinada, la clave de descifrado se destruirá y todos los datos rescatados serán inaccesibles para siempre.
¿De dónde viene el ransomware?
El ransomware es creado por ciberdelincuentes, que pueden ir desde individuos solitarios hasta consorcios bien organizados. Dichos delincuentes conservan su anonimato y ocultan sus actividades mediante el uso de herramientas como TOR y criptomonedas, hasta el punto de que es casi imposible para un usuario regular saber dónde se encuentra el delincuente.
¿Cómo puede el ransomware ingresar a mi red u ordenador?
En términos generales, tres de las formas más comunes en que esto puede suceder son:
1. Infección autopropagada: al igual que un virus, algunas cepas de ransomware pueden sondear automáticamente los ordenadores adyacentes en una red y “saltar” de un host a otro, propagándose automáticamente mediante la explotación de ciertas características y servicios del sistema operativo de un ordenador o software de aplicación.
2. Infección manual: involucra a piratas informáticos que pueden ingresar a los sistemas (a través de una variedad de métodos, como contraseñas débiles, vulnerabilidades en protocolos como RDP o exploits de día cero) y luego instalar manualmente el ransomware para monetizar su intrusión .
3. Infección por “usuario inactivo”: cuando los usuarios se infectan sin saberlo haciendo clic en enlaces en correos electrónicos no deseados o de Phishing, conectando dispositivos USB o visitando sitios web que han sido saboteados.
Esta es una de las razones por las que insistimos tanto en estar prevenidos para evitar ataques de Phishing. Por eso, te invitamos a hacer clic en el logo de Interbel para acceder a nuestro servicio de evaluación de Phishing.
Continuemos. Dentro de estos tipos generales de maneras en las que el ransomware puede invadir nuestras redes, creemos conveniente dar ejemplos más puntuales. Veamos entonces 5 amenazas por las que podemos ser víctimas de estos ataques.
La amenaza de internet.
Cada vez que un servicio (por ejemplo, un servidor web, un servidor de inicio de sesión remoto, un servidor de correo electrónico o un sitio de comercio electrónico) está expuesto a Internet, existe un riesgo potencial de seguridad de que el servicio pueda ser pirateado y explotado. Ejemplo: para ayudar a los usuarios a trabajar de forma remota, una empresa habilita protocolos remotos para que los usuarios puedan iniciar sesión en sus ordenadores de trabajo desde sus hogares. Dos días después, la contraseña summeR76 funciona para una de las cuentas del empleado, y el hacker instala el ransomware, que se propaga.
La amenaza del dispositivo adjunto.
El ransomware puede ocultarse en unidades USB, memorias USB y dispositivos conectados, y se propagará a otras máquinas cuando se conecte esa unidad o dispositivo. Ejemplo: María usa una memoria USB para hacer una copia de seguridad de su portátil de trabajo. Pierde el USB y toma otro de un cajón de su casa. Este USB, que se había infectado con ransomware, implementa el ransomware en el servidor de archivos de la compañía. Luego se propaga, infectando a toda la empresa.
Sitios web maliciosos.
Un ordenador con una vulnerabilidad sin parches puede infectarse con ransomware cuando visita un sitio web malicioso. Ejemplo: a un nuevo empleado se le dice que use un portal web para registrar su hoja de tiempo. No tienen el sitio guardado, así que lo buscan en Google y selecciona el nombre del sitio. Pero el sitio que seleccionó es .co.rs en lugar de .co.au. Está en un sitio malicioso que parece legítimo. Luego, hace clic en un enlace y selecciona rápidamente aceptar un mensaje, pero no pasa nada, por lo que abandona el sitio y continúa con otra cosa. Como la mayoría del personal, el empleado se va a casa temprano ese día, ya que hay algo mal con todas las computadoras de la compañía.
Malvertising.
La publicidad en línea utiliza funciones dinámicas para alentarnos a ver y hacer clic en los anuncios. Desafortunadamente, estas características pueden ser explotadas por piratas informáticos que insertan ransomware en anuncios legítimos. Las adiciones pueden infectar tu máquina al redirigirte a un sitio web malicioso o al implementar el ransomware cuando interactúas con el anuncio. En algunos casos, basta con ver el anuncio para infectar tu ordenador. Ejemplo: Marcos recientemente realizó una compra en línea con una compañía de buena reputación. Después de realizar la compra, los anuncios en línea de la compañía comienzan a aparecer en sus redes sociales. Una publicidad llama su atención, y con un clic se infecta su ordenador.
La amenaza del correo electrónico.
El ransomware se puede propagar mediante correos electrónicos con archivos adjuntos. Aunque los PDF y los documentos de Office son mucho más seguros de lo que solían ser, los formatos de compresión de archivos como WinRAR se pueden usar para entregar ransomware. Ejemplo: David de Recursos Humanos recibe un correo electrónico titulado ‘Solicitud de empleo’, con un PDF adjunto. El correo electrónico parece legítimo y David lo abre para encontrar un currículum mal escrito para un trabajo genérico. Cierra el PDF, sin saber que ejecutó una macro e instaló ransomware. Diez minutos después, el ransomware ha encriptado el ordenador de David y se ha extendido a todos los ordenadores y servidores de la compañía.
Mención de honor: exploits de 0 días.
Esta es la razón por la cual el ransomware nunca se puede erradicar por completo. Es un tipo especial de ataque desagradable que puede aplicarse a cualquiera de los ejemplos anteriores. Puede explotar incluso los sistemas más seguros porque la vulnerabilidad que utiliza el ransomware aún no se conoce (día 0), por lo que las máquinas parcheadas y actualizadas aún pueden verse comprometidas.
¿Cómo puedo repeler el Ransomware?
Los primeros pasos tienen que ver con la prevención de un brote de ransomware en primer lugar. Cuantos más pasos apliques, menos probabilidades tendrá tu empresa de infectarse. ¡Comencemos!
1- Utiliza software antivirus y filtrado de correo electrónico.
Ten un software antivirus instalado en todas las máquinas. El software debe actualizarse regularmente y escanear los archivos que se abren y envían. Configure el filtrado de correo electrónico en tu servidor de correo. No menos importante, debes tener activo un proceso para revisar e implementar actualizaciones de seguridad. Cualquier vulnerabilidad de alto a extremo riesgo debería ser reparada en 48 horas.
2- Emparcha y actualiza tus ordenadores.
Todos los sistemas operativos de servidor y de escritorio deben mantenerse actualizados con parches. Estos parches a menudo incluyen mejoras de seguridad basadas en nuevas amenazas y exploits.
3- Emparcha y actualiza tu software.
La mayoría de las aplicaciones incluyen procesos que acceden a Internet y las abre a la explotación por parte de ransomware. Audita todas las aplicaciones para asegurarte de que estén configuradas y parcheadas de forma segura. Verifica las aplicaciones que ya no son compatibles, ya que es posible que deban actualizarse.
4- Asegura cualquier punto de acceso remoto.
Las herramientas remotas como RDP (protocolo de escritorio remoto) permiten el acceso remoto a los ordenadores para trabajo remoto y soporte del sistema. RDP es un objetivo frecuente de ransomware y debe configurarse de forma segura.
5- No uses credenciales simples o predeterminadas.
Consulta los requisitos de contraseña de usuario y contraseñas para asegurar que todos los PDR son fuertes. Verifica que los privilegios de administración solo se hayan otorgado a los usuarios y los procesos que los necesitan, y que solo se usen para tareas que necesitan esos privilegios.
6- Ten cuidado con los dispositivos conectados.
Administra el uso de dispositivos de almacenamiento extraíbles, como memorias USB y unidades USB en los ordenadores de la compañía. Restrinje el acceso a unidades y dispositivos extraíbles que se utilizan para copias de seguridad y manténlos seguros.
7- Promueve la conciencia del usuario.
Aunque tengas instalado un antivirus y un software de filtrado de correo electrónico, ningún software es infalible. Eso significa que la atención del usuario también es importante para proteger contra el ransomware que llega a través de mensajes y correos electrónicos que contienen enlaces o archivos adjuntos. Nunca nos cansaremos de decir que la capacitación de tus empleados es tu mejor aliada.
¿Qué pasa si soy víctima de un ataque?
Cuando todo falla, es importante saber que, pese a ser víctimas de un ataque, podemos recuperarnos sin tener que pagar una gran suma de dinero… siempre que hayamos tomado las medidas correspondientes. Este es el momento en el que queremos hablarte de la importancia de las copias de seguridad.
1- Haz una copia de seguridad de todos tus datos importantes.
Asegúrate de que existan copias de seguridad completas y regulares de todos los servidores, escritorios y dispositivos que no puedes permitirte perder. Ten en cuenta que la recuperación de las copias de seguridad es la única forma segura de recuperarse del ransomware. Esto significa que deberías haber identificado qué sistemas y datos son críticos para tu negocio y deben restaurarse o recuperarse en caso de un ataque. También debes asegurarte de tener el sistema de respaldo adecuado para tu organización.
2- Monitorea y prueba tus copias de seguridad regularmente haciendo recuperaciones.
Es de vital importancia realizar las recuperaciones de prueba de la copia de seguridad, para asegurarse de que la copia de seguridad esté completa, sea efectiva y funcione correctamente.
3- Ten un plan de respuesta frente a un ataque de ransomware.
La diferencia entre una respuesta de pánico y una eficiente puede ser la existencia de un plan de respuesta documentado. No necesita ser largo o detallado, solo los pasos a seguir cuando se detecta una infección. ¿Cuáles son las primeras 4 cosas que debes hacer? ¿A quién se debe contactar? ¿Cómo o cuándo te recuperas? ¿Cómo resuelves lo que ha sucedido? Todas estas preguntas tienen respuestas, pero deben pensarse y acordarse.
Por eso, te recomendamos que compruebes la existencia de un documento para un plan de respuesta de Ransomware. Un plan de respuesta de ransomware explica qué hacer y será diferente para cada empresa u organización. Luego de crearlo, distribuye el Plan de respuesta de Ransomware y capacita al personal sobre cómo usarlo.
Asegúrate tambien de que exista un plan de continuidad comercial. Éste explica cómo puede continuar operando a una capacidad limitada mientras los sistemas informáticos no están disponibles.
¿Qué tan efectivas son mis copias de seguridad?
Como te decíamos antes, la recuperación de una copia de seguridad es la única forma segura de recuperar tus datos sin pagar el rescate. Una estrategia de respaldo sólida es la piedra angular de cualquier sistema de protección contra ransomware. Entonces, veamos si su plan de respaldo está a la altura, ¡respondiendo un cuestionario sobre copias de seguridad!
Las preguntas que deberías hacerte a la hora de hablar de copias de seguridad, son las siguientes:
1- ¿Uso el tipo de copia de seguridad correcto para mí?
2- ¿Tengo un destino de respaldo seguro?
3- ¿Conozco el momento del punto de recuperación?
4- ¿Pruebo mis copias de seguridad?
5- ¿Mi personal está correctamente capacitado?
Solo si puedes responder de forma afirmativa a estas cinco preguntas, estás capacitado para recuperarte de un ataque de Ransomware exitosamente.
Cómo recuperarte de un ataque de Ransomware.
Se están haciendo llamadas telefónicas, el personal luce asustado y las pantallas muestran un mensaje con letras rojas. Tu negocio ha cesado sus operaciones, y la única certeza es que habrá un impacto financiero. La pregunta es qué tan grande. Así que ahora es el momento de mantener la calma y trabajar con tu Plan de respuesta contra Ransomware.
Como alguien responsable de reparar el ataque de ransomware, el truco está en que tienes un plan, lo has probado y tienes copias de seguridad listas para funcionar. Pero, ¿Qué debería estar incluido en tu plan de respuesta?
1– Decidir qué máquinas se van a recuperar.
Para recuperarte de un ataque de ransomware, organizarte es el primer paso. Decide cuál es el servidor y las estaciones de trabajo que tienen la máxima prioridad. Estos puede ser un controlador de dominio y una estación de trabajo que puedes usar para ejecutar algunas pruebas de funcionalidad.
2– Reemplazar las máquinas infectadas.
El ransomware puede realizar acciones que cambian los permisos de acceso, dejan puertas traseras e incluso pueden crear espacios en los que puede esconderse, incluido el firmware BIOS / UEFI de las máquinas infectadas.
Para tu tranquilidad, y si es posible, reemplaza todas las máquinas infectadas con nuevo hardware. Esto minimiza la posibilidad de reinfección. A largo plazo, el coste se habrá justificado. Este paso es vital para recuperarte de un ataque de ransomware y no recaer.
3- Recuperar todo lo que sea posible.
Usa tus medios de recuperación de arranque y copias de seguridad de imágenes para recuperar el servidor y los escritorios seleccionados. Una vez que se hayan recuperado e iniciado, verifica que puedan comunicarse y que las credenciales de los usuarios puedan autenticarse.
4- Revisar que el ransomware ya no esté presente.
Una vez que las primeras máquinas se recuperen y funcionen, verifica que no haya ransomware utilizando la información que conoces sobre el ransomware que infectó tu red. Si el ransomware aún existe, comenzará a cifrar los datos nuevamente.
5- Repetir los pasos anteriores.
Por último, continúa recuperando más servidores y estaciones de trabajo. Como precaución, puedes aislar un controlador de dominio y una estación de trabajo como punto de reserva en caso de reinfección. La prevención es siempre tu mejor arma.
Conoce más acerca de nuestro software para realizar copias de seguridad en el siguiente vídeo.
Ransomware 2023: palabras de cierre.
Las pérdidas potenciales frente a un ataque de ransomware que nos tome desprevenidos son muy altas. ¿Quieres saber si tu copia de seguridad te evitará dolores de cabeza? Entra en contacto con nosotros y descúbrelo.
Prueba BackupAssist gratis y completamente funcional por 30 días, y obtén 15 días de asistencia preventa.
Por qué descargar BackupAssist:
- Backup y restauración granular para Windows.
- Gestión de múltiples medios de almacenamiento, incluso en la nube.
- Administración y monitorización centralizada y remota.