Cómo protegerse de un Ransomware

Ransomware, qué es, consecuencias y cómo protegerse

Los malware pueden adoptar diversas formas como, por ejemplo, la de un virus informático, un troyano, un spyware o un ransomware entre otros.

El Ransomware es un tipo de software malicioso (malware) diseñado para dañar un equipo informático sin el consentimiento de su propietario, por supuesto.

Un ransomware (del inglés ransom, «rescate», y ware, acortamiento de software), o «secuestro de datos» en español, es un tipo de malware que restringe el acceso a todas o a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción. Este tipo de malware actúa secuestrando mediante una técnica de cifrado los datos presentes en un equipo informático, para pedir un rescate económico a cambio de liberarlo. Generalmente cifran los datos y realizan un robo de información, y lo que te ofrecen a cambio de que pagues el rescate es una clave para poder descifrarlos.

Otra característica importante de este tipo de malware es su capacidad de propagación, pudiendo replicarse en otros servidores o equipos informáticos llegando a poder infectar la totalidad de los equipos informáticos presentes en la red. De esta manera puede dejar completamente inoperativos los sistemas informáticos de empresas y organismos públicos, dejando a éstas sin capacidad operativa.

Este tipo de malware puede llegar a tu ordenador mediante un gusano u otro tipo de malware que por lo general ha sido enviado al usuario a través de una campaña de Phishing. El equipo informático se bloquea y queda cifrado, y lo único que puedes ver en su pantalla es el aviso de que has sido víctima del ataque, la cantidad que debes pagar y el método de pago, entre los cuales se incluyen PayPal y más normalmente los Bitcoins.

Algunos ataques famosos ocurridos en España

A continuación enumeramos algunos de los ataques de ransomware más importantes ocurridos en España en los últimos años.

• El SEPE sufrió un ataque informático que paralizó sus servicios. El impacto de la noticia ha sido tan grande que Cuarto Milenio llevó a cabo un reportaje a fondo sobre el suceso.
• Telefónica fue víctima de un hackeo masivo y provocó que el CNI hiciese saltar las alarmas.
• Adif consigue mantener a salvo la seguridad de la red ferroviaria, pero no evita la sustracción de 800 GB de información.
• Mapfre también fue víctima de un ataque de ransomware que afectó a sus sistemas.
• SegurCaixa Adeslas estuvo seis semanas luchando contra un ransomware que apagó digitalmente a la compañía.
• Acer tiene el «honor» de haber sufrido el mayor ciberataque de ransomware de la historia, en términos de rescate exigido.
• Capcom vio afectados sus servidores por culpa de un ataque de ransomware.

El coste de recuperarse de un Ransomware

Recuperarse de un ataque de Ransomware no es sencillo y no es rápido, pero sobre todo es costoso. Cualquier empresa que ha sido víctima de este tipo de ataques ha necesitado un mínimo de 2 ó 3 días para recuperarse, y estos plazos sólo se consiguen en empresas muy maduras en ciberseguridad y con muy buenos sistemas de copias de seguridad, de recuperación ante desastres y de continuidad de negocio. En la gran mayoría se necesitan semanas e incluso meses para poder volver a la normalidad.

Partiendo que la persona, empresa u organismo público no accede al chantaje y no paga el rescate, vamos a intentar resumir los retos a los que nos enfrentamos tras un ataque de ransomware.

El primer punto es el reto de encontrarse inoperativo, sin acceso a los sistemas de información (servidores, puestos de trabajo, sitios web, sistemas de gestión (ERP, CRM, PMS, etc.)) e incluso a su capacidad de producción (fábricas, plantas de producción, sistemas de almacenamiento, logística, etc.). Muchas empresas no se han preguntado cuánto les costaría en términos de euros estar parcial o totalmente inoperativos durante un día, varios días, semanas o meses. Es una pena, porque si se hubieran hecho esa pregunta con total seguridad su inversión en Concienciación y en Ciberseguridad hubiera sido mucho mayor y el impacto del ataque hubiera sido significativamente menor.

Por otro lado está el tema de recuperar los sistemas de información. En el mejor de los casos se dispondrá de un backup actualizado y no infectado que se podrá recuperar gracias a su plan de recuperación ante desastres, dependiendo de varios factores como tamaño, tecnología, lugar de almacenamiento, etc. esta acción puede tardar uno o varios días.

En el peor de los casos el backup no existirá, estará infectado o no funcionará correctamente por lo que se plantea el reto de tener que instalar todos los sistemas desde cero (sistemas operativos, software, realizar configuraciones, actualizaciones, etc.). Esto tiene un enorme coste ya se haga con personal interno o con terceros y sobre todo conlleva la necesidad de mucho tiempo para poder conseguirlo.

Y por último, pero no menos importante, está el daño a la Imagen de Marca. A los usuarios, proveedores, clientes, etc. no les suele agradar volver a trabajar con quienes hayan sufrido un ciberataque debido a los consideran “inseguros” y entiende que sus datos no están seguros con estas empresas. Esto supone una pérdida de confianza, de credibilidad, de reputación que es muy difícil de recuperar y que al final de todo supone una pérdida de volumen de negocio.

Pero, y si nos han robado información? Aquí entra la Agencia Estatal de Protección de Datos que analizará el caso y dependiendo del alcance procederá a emitir una multa que en ningún caso es pequeña y que en muchos casos supondrá el cierre al no ser capaces de asumir ese coste.

No queremos ser alarmantes, es solamente la realidad de las consecuencias y el impacto de este tipo de ataques.

Cómo protegerte de un ransomware

Concienciación

La principal recomendación es la inversión en Concienciación a todos los niveles de la organización. Todas las personas de la organización deben de estar formadas y concienciadas, hay que tener en cuenta que con que sólo una de ellas cometa un error todos los demás se verán afectados.

A nivel de Dirección se debe de concienciar a los directivos en la importancia de la inversión en ciberseguridad.

A nivel Técnico se debe de concienciar a los empleados de áreas tecnológicas de la importancia de tener los sistemas actualizados, bien configurados y con las medidas de seguridad correctas.

A nivel de Empleados, teniendo en cuenta que son el principal objetivo de las campañas de mail phishing, hay que concienciarlos y formarlos en realizar un uso responsable y seguro de las herramientas tecnológicas que utilizan en su puesto de trabajo así como en la capacidad de detección de correos electrónicos fraudulentos y otros tipos de ataques.

Medidas de Prevención, Detección y Respuesta contra el Ransomware

A día de hoy existen en el mercado muchas herramientas que permiten detectar y bloquear en tiempo real un ataque de ransomware. Más información: SECUORA – Antiransomware.

Es indispensable disponer de estas herramientas instaladas en todos los servidores, puestos de trabajo y equipos informáticos existentes en la organización. Más información: SECUORA – Protección Endpoint.

También existen herramientas que son capaces de detectar y bloquear correos electrónicos fraudulentos (phishing) antes de que lleguen a la organización. Más información: SECUORA – Protección Email.

Proteger la navegación por Internet de los usuarios es algo que no debemos descuidar, aunque la principal vía de entrada es el correo electrónico, las páginas web fraudulentas o infectadas también son una posible vía de entrada. Más información: SECUORA – Protección Web.

Y no olvidemos a los dispositivos móviles (smartphones y tablets) otra posible vía de entrada igual de peligrosa que un PC. Más información: SECUORA – Protección Moviles.

Cuando todo lo demás falla solo nos queda el backup y la recuperación ante desastres. A este respecto vamos a detallar algunas recomendaciones.

Mantén actualizadas y revisadas las copias de seguridad, comprueba que están bien y que la recuperación ante desastres funciona correctamente. De ese modo, si un ransomware te ataca o sufres una avería, podrás recuperar la mayor cantidad de información posible en el menor tiempo posible.

Puedes guardar tus copias de seguridad en un disco duro portátil, en una NAS, en un servicio de alojamiento en la nube, etc. A priori, cuantas más copias mejor y en cuantos más sitios mejor, plantéate incluso disponer de una copia desconectada de la red (offline) y almacenada fuera de las instalaciones de la empresa.

Cuenta con empresas especializadas en ciberseguridad

Ante la evolución y el incremento contínuo de las ciberamenazas, gestionar la seguridad TI de las organizaciones se convierte en algo cada día más complejo y más prioritario. De ahí que cada vez cobra mayor relevancia la figura de los Proveedores de Servicios de Seguridad Gestionada (MSSP: Managed Security Service Provider) encargados de ayudar a las corporaciones en la compleja tarea de proporcionar servicios de seguridad para mantener sus infraestructuras e información a salvo bajo un prisma integral y multidisciplinar.

El MSSP se encarga tanto de salvaguardar la seguridad de toda organización prestando servicios que van desde el básico antivirus y antispam, hasta el firewall gestionado, la monitorización para la detección de intrusos, servicios de red privada virtual, y exploración de vulnerabilidades, entre otros.

Gracias a contar un MSSP aumentará su Productividad, al liberar al equipo de TI de las tareas de configuración y mantenimiento de la plataforma de ciberseguridad.

El MSSP permite tener acceso a profesionales de la ciberseguridad altamente capacitados y con experiencia, sin necesidad de invertir para contratar, capacitar y retener el talento en este campo.

Además, el grado de especialización y dedicación del MSSP le permite proporcionar inteligencia de amenazas, ofrecer una detección más rápida y precisa de las amenazas y una rápida respuesta a los ataques.

Secuora, su proveedor de Servicios de Seguridads Gestionada (MSSP)

Disponemos de un equipo multidisciplinar especializado en identificación, prevención y resolución de incidentes de ciberseguridad.

Disponemos de alta capacitación, conocimiento y experiencia en gestión integral de infraestructuras y plataformas de ciberseguridad.

Contamos con un departamento de atención al cliente especializado en proporcionar una respuesta rápida y adecuada en todo momento.

Capacitación, conocimiento y experiencia a su servicio

Desde nuestro Security Operations Center (SOC) nuestro equipo de Operadores de SOC, realizan los trabajos y tareas necesarios para poder gestionar, de forma centralizada y eficiente, los incidentes de seguridad, las actividades de mantenimiento, la monitorización y las peticiones de servicio.

Nuestro SOC es capaz de aportar un enorme valor a las organizaciones, dado que les permite poder  enfocar sus esfuerzos en el core de su actividad con la tranquilidad de estar bien gestionados, monitorizados, protegidos y de cumplir con las normativas legales vigentes y futuras de protección de la información de su empresa y sus colaboradores.

Algunos de los principales beneficios de contar con el SOC de SECUORA son los siguientes:

• Disponer de un equipo de expertos en ciberseguridad a su servicio.
• Disponer de información en tiempo real, cuadros de mando e informes.
• Control sobre la Inversión y Operación (CAPEX y OPEX) en Ciberseguridad​.
• Monitorización 24×7 y visibilidad completa de todos los sistemas y eventos de seguridad.
• Identificación precoz de incidentes, ataques y comportamientos sospechosos.
• Gestión y Respuesta ante incidentes de seguridad.
• Disponer de un Servicio de Auditoría Forense en caso de Ciberataque.
• Disponer de Servicios de Auditoría tipo Pentesting, Hacking Etico y Red Team.
• Facilitar el cumplimiento de normativas como:
  • ISO27001, ENS, PCI, HIPAA, SOX, GLBA, FFIEC, NERC CIP, FISMA.