El ransomware es un software malicioso que bloquea el acceso a un sistema informático o a los datos que contiene hasta que la víctima realiza un pago al atacante. En 2022 se produjeron 493,33 millones de ataques de ransomware en todo el mundo, convirtiendo al ransomware en la ciberamenaza más grave a la que se enfrentan las empresas hoy en día. En esta guía vamos a hablar sobre los ataques más comunes de ransomware y como defenderse de ellos.
Si le preocupa el ransomware, proteja sus datos con Veeam Ransomware Protection hoy mismo.
El ransomware es una amenaza en crecimiento para las empresas modernas
Los ataques de ransomware se han hecho tan habituales hoy en día que prácticamente todo el mundo tiene una idea básica de lo que es el ransomware, pero no comprenden por completo cómo funciona y por qué es tan grave. Según el informe británico Economic and Social Costs of Crime, el coste global de la ciberdelincuencia sólo en el Reino Unido se mide “en miles de millones”. A nivel global, se prevé que el coste general de los ataques de ransomware alcance los 265 000 millones de dólares en 2031.
Aunque algunas víctimas de ataques de ransomware tienen la suerte de poder descifrar sus datos, existen muchos tipos de ransomware para los que no existen herramientas que lo descifren, lo que implica que las organizaciones tienen que restaurar los backups para poder recuperarse del ataque. Si no disponen de backups, o si sus backups también fueron el blanco del ataque, el coste en cuanto a la pérdida de datos y tiempo para las empresas puede ser muy importantes. Nuestro informe de tendencias de ransomware 2023 destaca lo grave que puede llegar a ser un ataque de ransomware para algunas organizaciones.
Comprender la defensa frente a ransomware
Para defenderse del ransomware se necesitan diversas estrategias. Se empieza con la aplicación de las mejores prácticas de ciberseguridad que involucran estrategias y tecnologías orientadas a la detección y respuesta a los ataques de ransomware, incluyendo a los que ya están en progreso.
Los firewalls y programas antivirus tradicionales pueden evitar algunos de estos ataques, y formar a todo su personal para reconocer correos electrónicos de phishing, sitios web maliciosos y archivos ejecutables potencialmente peligrosos, puede ayudar en gran medida a evitar estos ataques. Sin embargo, las herramientas modernas de protección ante ransomware pueden ir un paso más allá, supervisando la actividad de la red y el sistema de archivos para identificar las señales que indican que se está produciendo un ataque, como por ejemplo patrones de comunicación inusuales o actividad de acceso o cifrado de archivos.
Los administradores de la red pueden aplicar diversas herramientas de seguridad y TI para su protección frente al ransomware. Pueden combinarse para protección de endpoints sistemas de detección de intrusiones (IDS) y de prevención (IPS) con técnicas de análisis basadas en el comportamiento para reconocer los ataques rápidamente y poder mitigar cualquier daño.
Es muy improbable que la aplicación de cada una de estas estrategias de manera aislada sea suficiente para proteger un sistema informático frente al ransomware. Mediante la combinación de técnicas de defensa, medidas de defensa proactiva y exploración pasiva, es posible reducir la superficie de ataque y aumentar la probabilidad de éxito de cualquier medida correctiva en caso de producirse un ataque.
Componentes principales la defensa contra ransomware
Una defensa efectiva contra ransomware requiere aplicar un enfoque con múltiples frentes.
Seguridad y monitorización de la red
Los firewalls y sistemas de detección de intrusiones (IDS) constituyen la primera línea de defensa contra una amplia variedad de ataques, no solo de ransomware. Un firewall analiza la actividad de entrada y salida de la red y bloquea las conexiones que considera que no están autorizadas.
Una actividad no autorizada podría ser por ejemplo el escaneo de puertos, en el que un atacante intenta conectarse a puertos de manera aleatoria para tratar de averiguar qué servicios se están ejecutando en un servidor. Otra alternativa es que un atacante intente entrar en un servidor por fuerza bruta o realizar simplemente un ataque de denegación de servicio en un servidor mediante el envío de un número elevado de peticiones en rápida sucesión.
Los sistemas de detección de intrusiones son parecidos a los firewalls en cuanto a que también detectan actividades maliciosas. Todas estas herramientas actúan en función de un conjunto de reglas predeterminadas. Por ejemplo, pueden lanzar la ejecución de otras herramientas o alertar a los administradores de sistemas para que analicen el problema e intervengan de forma manual.
La defensa contra el ransomware es como una carrera armamentística, y no es posible confiar únicamente en reglas estáticas y definiciones de malware. Ni siquiera el análisis heurístico de un virus garantiza la identificación de todo su código malicioso. Por ello, es importante usar la supervisión en tiempo real y el análisis de comportamientos para poder identificar cambios en la actividad de sus sistemas. Usando este tipo de supervisión aumenta la probabilidad de detectar actividades sospechosas.
Por ejemplo, la monitorización en tiempo real permite vigilar si se está accediendo a un número elevado de archivos o si estos se han modificado en un breve periodo de tiempo. También puede detectar archivos que se abren repentinamente y que no se habían usado durante un largo periodo de tiempo. Incluso si se descubre que esta actividad no ha sido provocada por ransomware, podría tratarse de cualquier otro problema de seguridad, como por ejemplo, una amenaza interna.
Respuesta a incidentes y recuperación
Las herramientas de seguridad son sólo una parte de la ecuación. Incluso teniendo las herramientas sofisticadas, existe todavía el riesgo de que se produzca una vulneración de la seguridad, y para reducir los daños en caso de ataque es fundamental contar con un plan de respuesta ante incidentes que sea claro y eficaz.
Un plan de respuesta ante incidentes de ransomware incluye varios pasos:
- Determinar qué sistemas se han visto afectados.
- Desconectar los dispositivos de la red cuando sea posible.
- Apagar los equipos afectados si es necesario.
- Revisar los logs del sistema para determinar cómo se produjo el ataque.
- Identificar el ransomware y determinar si existe algún otro malware en el sistema.
En función de la naturaleza del ataque, los pasos del plan pueden variar. Los administradores deben ponderar el coste potencial de dejar encendidos los dispositivos infectados (permitiendo de esta forma que continúe el ataque) frente a apagar el sistema y perder cualquier prueba almacenada en la memoria volátil.
Siempre que se disponga de backups recientes protegidos o aislados del ransomware, podría tener sentido dejar los sistemas infectados en funcionamiento para hacer un análisis, pero desconectados de cualquier conexión Wi-Fi o LAN.
La recuperación de los datos es sólo una parte de la ecuación. Lo ideal es contener rápidamente el ataque para evitar que se extienda. En muchos casos, el ransomware obtiene acceso a una red a través de un ataque de phishing dirigido al portátil de un empleado, y desde ahí, propagarse a las unidades de red y otros sistemas, buscando cualquier cosa a la que tenga permiso de acceso y escritura.
Identificar rápidamente el ataque significa que el malware tenga menos tiempo para propagarse e infectar otras unidades. Dependiendo del tipo de sistema que se haya infectado en origen y de lo bien configurados que estén los privilegios de acceso a los archivos en la red, el daño podría reducirse a la máquina del usuario y a unos pocos recursos compartidos de red que no sean críticos.
Adoptar un enfoque sistemático en la contención y recuperación
Los administradores de sistemas deberían recordar siempre que el ransomware puede actuar de muchas formas.Algunos ransomware simplemente cifran los archivos; otros scripts maliciosos borrarán los datos de la víctima pasado un tiempo determinado si no se paga el rescate. Hay ransomware especialmente peligroso que analiza los archivos en busca de datos potencialmente valiosos y los envía al atacante, que amenaza con filtrarlos si no se paga el rescate.
Este tipo de filtraciones pueden ser muy perjudiciales para cualquier empresa, así que es importante actuar con cautela a la hora de responder a un ataque de ransomware. En lugar de apresurarse a restaurar los datos, tómese algo de tiempo para desinfectar a fondo los sistemas infectados. En función de la gravedad del ataque, podría ser más efectivo borrar o tomar nuevamente imágenes de estos sistemas.
Para reducir el riesgo de que vuelva a producirse un ataque, cambie todas las contraseñas de sus sistemas y revise las reglas del firewall, las listas negras (bloqueo de IP) y los sistemas de detección de malware que tenga instalados para garantizar que están debidamente actualizados y funcionan correctamente. Proporcione formación al personal en materia de ataques de phishing y de ingeniería social.
Una vez que se haya asegurado de que se ha eliminado por completo el malware de su red, podrá iniciar el proceso de restaurar los datos críticos desde los backups. Asegúrese de analizar los backups antes de restaurarlos para confirmar que no están infectados, aunque si la infección se detectó rápidamente, esto no es muy probable. Sin embargo, si realiza backups a menudo, es posible que esté infectada la más reciente y deba restaurar uno de sus backups “en frío” o “externos” más antiguos.
Evitar el pago de rescates
Aunque ha habido algunos casos de ataques de ransomware, de gran repercusión mediática, dirigidos a grandes organizaciones a las que se les ha exigido importantes sumas de dinero, la gran mayoría de los ataques de ransomware son meramente oportunistas. Los atacantes frecuentemente reclaman pequeñas cantidades de dinero entre 700 y 1500 $, en el convencimiento de que si el rescate es medianamente asequible es probable que la víctima lo pague porque lo que quiere simplemente es recuperar sus archivos nuevamente lo más rápido posible.
Los métodos más frecuentes para hacer el pago del rescate son las criptomonedas como Bitcoin, Litecoin o incluso Dogecoin. Se eligen estas monedas digitales porque están disponibles en los principales mercados bursátiles y las víctimas podrán adquirirlas fácilmente. A los atacantes también les resultará fácil usar mezcladores de monedas (tumblers) para ocultar el historial de las monedas recibidas, lo que les facilita el trabajo de convertir más adelante esas monedas en dinero contante y sonante.
Para un empresario acuciado por el tiempo que se enfrenta a esa temible pantalla de bloqueo en su ordenador, pagar el rescate puede ser una opción muy tentadora. Sin embargo, antes de decidir entre hacer una recuperación de datos o pagar, es importante considerar el efecto de cada elección. La única garantía que tiene de al pagar el rescate recuperará sus datos es la propia promesa del desarrollador del ransomware, que ha elegido esta forma tan poco ética de aganar dinero. Además, incluso en el caso de recuperar sus datos, no hay ninguna garantía de que el malware restante no se utilice para infectarle con algo más en el futuro si no ha desinfectado sus sistemas.
Otro aspecto que hay que tener en cuenta son las cuestiones éticas que rodean al pago por un ataque de ransomware. Las criptomonedas se utilizan a menudo para financiar drogas, blanqueo de dinero, tráfico de personas y actividades terroristas. Cuando compra criptomonedas, está apoyando indirectamente dichas actividades, y pagar el rescate es recompensar la ciberdelincuencia.
En algunas partes del mundo, pagar un rescate por un ataque de ransomware podría ser ilegal, porque podría suponer el pago a una entidad que está sujeta a sanciones económicas. Esto no ocurre en todos los países, pero es algo que hay que tener en mente. Si ha sufrido un ataque de ransomware y está pensando en pagar el rescate, busque asesoramiento legal antes de hacerlo.
Mejora y aprendizaje continuo
Es fácil sentirse avergonzado cuando su organización es víctima de un ataque de ransomware. Puede que se pregunte cómo ha ocurrido y si podría haber hecho algo para evitarlo. Recuerde siempre que incluso grandes organizaciones con equipos de informática dedicados y grandes presupuestos han sido víctimas de ciberdelincuentes. Intente aprender del incidente y desarrolle nuevas estrategias para vencer al ransomware.
Haga público el ataque si no incumple acuerdos de confidencialidad, ni comparte datos corporativos, para ayudar así a otros aprendiendo del ataque. Comparta información sobre lo que salió mal e inicie un debate sobre de qué manera pueden defenderse mejor (usted y otros).
Otra opción posible es ejecutar simulacros de ransomware para evaluar su preparación e identificar áreas en las que el personal necesite formación adicional o en las que su IDS u otros sistemas presenten carencias.
Interconexiones con otros aspectos del ransomware
En estas líneas nos hemos centrado principalmente en la defensa contra el ransomware, pero hay otros aspectos que están relacionados:
- En primer lugar, evitar que se produzcan ataques
- Responder a los ataques si se identifican
- Recuperar los datos tras un ataque
Todos estos aspectos se combinan para dar forma a una estrategia eficaz contra el ransomware. Todos se solapan entre ellos. Una buena estrategia de defensa contra el ransomware puede utilizar herramientas similares a las que se usan en la prevención del ransomware, y una parte de su estrategia de defensa contra el ransomware incluirá el disponer de un plan de respuesta rápida. Pese a esto, merece la pena desarrollar cada estrategia por separado para conseguir la tranquilidad de saber que cuenta con sistemas de seguridad y de backup robustos.
Reforzar la defensa de su organización contra el ransomware
Si su organización está preocupada por el impacto potencial del ransomware, aproveche esta oportunidad para revisar su estrategia de defensa.
Crear una estrategia integral
Revise las medidas de ciberseguridad implantadas y realice una auditoría de seguridad completa. Considere la posibilidad de realizar simulaciones de incidentes para identificar posibles brechas en su seguridad.
Tras esta revisión, esboce un plan que integre la prevención, protección, defensa y respuesta para cubrir todas las eventualidades que se le ocurran. No se limite a copiar el plan de otro; asegúrese de adaptar el plan a las necesidades específicas de su organización.
Aprovechar la tecnología y la colaboración
El problema del ransomware está tan generalizado actualmente que hay muchas herramientas disponibles para llevar a cabo la supervisión y detección de intrusiones, así como para aprovechar la inteligencia sobre amenazas existente. No intente crear sus propias herramientas. Aproveche los conocimientos ya existentes y colabore con otros miembros del sector. Juntos podemos vencer al ransomware.
El ransomware no discrimina
El ransomware es una amenaza oportunista que está siempre presente. Es igual de probable que infecte a un usuario doméstico como a una gran multinacional. Por eso es muy importante que aquellos que se encargan de proteger sus datos sean proactivos en la defensa contra el ransomware.
Mediante el desarrollo de una estrategia polifacética de defensa contra el ransomware que combine prevención, protección, respuesta y recuperación, es posible construir un marco de ciberseguridad resiliente que pueda combatir eficazmente el siempre cambiante panorama de amenazas de los ataques de ransomware.
Si desea obtener más información sobre cómo podemos ayudarle a proteger los datos de su organización, descargue nuestro informe Las 7 mejores prácticas para la recuperación de ransomware.
