Cómo prevenir ataques de ciberseguridad por Ransomware

¿Qué es el Ransomware?

El Ransomware es un tipo de ataque de ciberseguridad por malware. Los casos más recientes han evolucionado de simples programas dañinos a auténticos ataques de ingeniería muy bien planificados y ejecutados.

El objetivo de este tipo de amenazas avanzadas de ciberseguridad es cifrar diferentes tipos de archivos de gran utilidad en el día a día: bases de datos, archivos de sistemas de gestión empresarial (ERP, CRM, BI…), certificados digitales, documentos de Word, libros de Excel, librerías de Windows, imágenes, vídeos, música, etc.

El cifrado empleado es imposible de ‘romperlo’ con la tecnología actual, lo que permite a los ciberdelincuentes “secuestrar” los archivos infectados, bloqueando o restringiendo el acceso a los mismos a todos los usuarios, incluidos los propietarios legítimos. Esta situación provoca que, según sea la naturaleza del archivo infectado, los usuarios no puedan, por ejemplo, utilizar su software de gestión empresarial (para facturar, contabilizar, gestionar nóminas, etc.), acceder a sus correos, o trabajar con sus archivos ofimáticos (Excel, Word, PowerPoint, etc.).

La consecuencia de este tipo de ciberataques es que las empresas afectadas se ven obligadas a parar su actividad por completo (o casi). Por lo que la magnitud del problema al que se enfrentan es muy importante. Sobre todo, porque las pérdidas económicas y de otras índoles que se derivan de esa inactividad pueden afectar seriamente a su viabilidad futura.

Gracias a ello, los ciberdelincuentes adquieren poder para chantajear a los usuarios afectados por el ransomware solicitándoles un pago a modo de rescate que elimine el “secuestro” de sus archivos. Los atacantes suelen solicitar que el pago del rescate se haga mediante bitcoins u otros sistemas de pago digitales basados en el uso de criptomonedas, ya que estos les garantizan su anonimato como receptores de la transacción.

¿Me puede pasar a mí?

La forma en la que los cibercriminales llevan a cabo las campañas de infección hace que las probabilidades de sufrir este tipo de ataques de ciberseguridad por ransomware no sean para nada remotas. Por lo que, lamentablemente, ninguna empresa o particular está a salvo de ellos.

¿Cómo se propaga?

Los ciberdelincuentes aprovechan dos errores humanos claves:

1. En primer lugar, ciertas vulnerabilidades de redes, sistemas operativos y otras herramientas informáticas de uso común, sobre las que no se ha hecho un mantenimiento informático adecuado. Esta deficiencia técnica permite al ransomware difundirse a través de redes corporativas e infectar a todos los equipos y dispositivos informáticos vulnerables.
2. En segundo lugar, el desconocimiento técnico de muchas de las víctimas y su confianza (y baja guardia) en que los emails recibidos parecen proceder de personas o direcciones que les son conocidas.

Por lo general, los ciberdelincuentes lanzan campañas masivas y a nivel mundial. La fase inicial consiste en el envío de un email con un archivo adjunto infectado con el ransomware. Este primer envío se hace a millones de direcciones de correo electrónico. Los ciberdelincuentes saben que el impacto de esta primera acción es limitado. De hecho, sólo un pequeño porcentaje de los destinatarios será infectado por el malware. Sin embargo, será en las siguientes olas cuando la efectividad de la infección se dispare. Esto se debe a que, una vez se infecta un equipo, el ransomware actúa en dos vertientes:

#1. Infectando a equipos en la red local.

El ransomware es capaz propagarse por la red local a la que está conectado el equipo infectado. ¿Cómo lo hace? Tras infectar a la primera víctima, este tipo de malware escanea la red local. Su objetivo es detectar equipos y dispositivos en red con vulnerabilidades técnicas que permitan la auto-instalación del virus. De ese modo la infección se extiende y se amplifican los daños causados.

#2. Infectando a equipos remotos.

Por otra parte, el ransomware puede también alcanzar a equipos remotos. ¿Cómo lo hace? Una vez a infectado a la primera víctima, el malware accede a su libreta de direcciones para enviar a todos sus contactos un email que contiene o enlaza con el archivo infectado. Los contactos de la primera víctima serán por tanto quienes reciban la segunda oleada de emails infectados. Estos ven que en el remite del correo recibido aparece el nombre de una persona o empresa que le es conocido. Y, en consecuencia, muchos de ellos ‘bajarán la guardia’ y caerán en la trampa de descargar y abrir el archivo adjunto infectado. Este hecho, a su vez, iniciará una nueva oleada de ataques que tendrá el mismo modus operandi. De ese modo, el ransomware se propagará exponencialmente cada vez que infecte a nuevos usuarios.

¿Qué puedo hacer para prevenir a mi empresa de ataques de ciberseguridad por Ransomware?

Formación y concienciación a usuarios

La primera de todas las acciones preventivas debe enfocarse al eslabón más débil de la cadena de seguridad: los usuarios. Consecuentes con esta máxima, es necesario adoptar medidas formativas y de concienciación para que los usuarios actúen siempre con la mayor lógica y seguridad posibles. Aunque se considere una medida obvia, es importante incidir a los usuarios en la necesidad e importancia de estar siempre vigilantes ante la llegada de posibles correos fraudulentos. Y, cuando se dé el caso (que se dará), no abrir nunca archivos inesperados o de remitentes desconocidos, por muy atractivo o curioso que sea el asunto, el mensaje o el nombre del archivo recibido. Recordar siempre ese dicho que reza: “la curiosidad mató al gato”

Implementar medidas técnicas.

Adicionalmente a este tipo de actuaciones centradas en reforzar el comportamiento de los usuarios, están las medidas técnicas. Este tipo de acciones ayudan mucho a la hora de planificar cómo prevenir a las organizaciones ante ataques de ciberseguridad por Ransomware. Aunque las medidas técnicas son variadas, las más recomendables pasan por:

1. Realizar auditorías de ciberseguridad periódicas para detectar posibles problemas de seguridad. Las amenazas cambian con el tiempo. Por eso es muy recomendable planificar auditorías de ciberseguridad frecuentes para detectar y dar solución a los nuevos agujeros de seguridad que surjan.
2. Proteger los accesos a la red con dispositivos de seguridad perimetral como Firewalls o cortafuegos.
3. Planificar y efectuar un mantenimiento preventivo de sistemas, equipos informáticos y dispositivos de red (como servidores, ordenadores, servidores, tablets, smartphones, firewalls, routers, switches…) con el objetivo de que estén siempre lo más actualizados que sea posible.
4. Disponer de medios de BackUp o copias de seguridad, locales y/o en remoto, cuyo funcionamiento esté contrastado y garanticen la continuidad de los sistemas ante potenciales desastres o ciberataques.
5. Instalar en los equipos locales programas antimalware, a ser posible que incorporen sistemas de ciberseguridad avanzada adaptativa e inteligente.

En relación con este último punto, la razón por la que en la actualidad es importante contar con una solución de ciberseguridad adaptativa e inteligente es porque muchos de los ciberataques que se dan en la actualidad utilizan lo último en técnicas de malware o variantes de malwares conocidos. Las soluciones tradicionales basadas en firmas son muy eficaces y precisas a la hora de descubrir el malware conocido. Pero sin embargo su fiabilidad baja a la hora de reconocer amenazas no conocidas basadas en variaciones o evoluciones del malware tradicional. De hecho, cada vez es más común que los ataques de ciberseguridad por ransomware utilicen técnicas Living-off-the-Land que ya no hacen uso de malware. Así que las soluciones de antimalware tradicionales basadas en firmas no pueden detectar este tipo de nuevas amenazas.