El mundo cada vez está mas conectado, es algo obvio, y por lo tanto las empresas no se quedan atrás. Los ordenadores desactualizados y el crecimiento de prácticas como Bring Your Own Device (Consiste en trabajar con tu propio ordenador personal en la empresa) en la mayoría de las organizaciones están facilitando la distribución de malware. Al contrario de otros tipos de programas maliciosos que generalmente no se detectan durante un período más largo de tiempo, un ataque de ransomware generalmente se experimenta de inmediato, y el impacto en muchas ocasiones es irreversible.
Una vez una empresa ha sido afectada por un Ransomware y ha sido alertada por los atacantes sobre el pago que desean recibir a cambio de liberar los datos infectados… La pregunta más rápida que se nos viene a la mente es: ¿Debemos pagar el rescate a los ciberdelincuentes?
¿Pagar o no pagar un rescate de Ransomware?
Las dos opciones más comunes ante estos casos son: pagar el rescate (confiando en que la clave de descifrado obtenida de los ciberdelincuentes funcione correctamente) o centrar todos los esfuerzos en poner en marcha un modo de recuperación ante desastres, restaurando los sistemas a un buen estado conocido anterior y restaurar copias de seguridad recientes.
La desafortunada verdad sobre la mayoría de las organizaciones en la actualidad es que no son conscientes del peligro de los malware actualmente y se vierten opiniones como: «Mis datos no son de importancia para los atacantes», «Sí claro, con todas las empresas que hay en el mundo y me va a tocar a mí», son simples ejemplos, pero ya sabéis por qué palo voy.
El problema real es que a menudo, la única alternativa es la de pagar el rescate, ya que la opción de recuperación queda en fuera de juego. En la mayoría de los casos es por la falta de copias de seguridad recientes y correctas o porque el ransomware también ha accedido a ellas y las ha cifrado.
Ante un ataque de Ransomware NO debemos pagar por el rescate
NUNCA se debe pagar ningún tipo de demanda de rescate ante un ataque de ransomware. Si accedemos al pago, es muy probable que seamos una víctima en futuros ataques ya que los atacantes saben que estamos dispuestos a pagar.
Simplificando, esto equivale a una palmada en la espalda para los atacantes, además de contribuir a su financiación. Lo más importante a tener en cuenta es que pagar a los ciberdelincuentes para obtener una clave de descifrado de ransomware no nos garantiza que se restablecerán por completo los datos cifrados.
Planificar y preparar una respuesta ante ataques Ransomware
Utilizar reglas en el filtrado de correo electrónico
Los correos electrónicos de spam y phishing siguen siendo el método de entrega más común para las infecciones de ransomware. Para detener eficazmente este tipo de infecciones, las organizaciones deberían adoptar un servicio de seguridad de correo electrónico que garantice que todo el contenido del correo electrónico y los encabezados que se reciben y se envían desde la organización se analizan en busca de spam, virus y otro tipo de amenazas de malware.
Aplicar los últimos parches de seguridad en los sistemas de hardware y software
A día de hoy, multitud de empresas siguen sin adoptar una de las recomendaciones más clásicas de ciberseguridad e importantes defensas contra los ataques informáticos. Aplicando actualizaciones y parches de seguridad tan pronto como los proveedores de software los liberan, se evitarían infecciones como las que provocó WannaCry en 2017.
La regularidad en la instalación de parches y actualizaciones, junto a un programa eficaz de gestión de vulnerabilidades son medidas importantes para defenderse contra el ransomware y otros tipos de malware actuales.
Mantener los antivirus actualizados junto a una solución de tecnología EDR
Tener instalada una solución de antivirus por sí sola no garantiza una protección correcta contra virus y otras amenazas informáticas avanzadas, pero es más que recomendable que se mantengan actualizados, ya que los proveedores lanzan actualizaciones diarias para los motores de bases de datos antivirus de sus productos.
Endpoint Detection & Response (EDR) es una tecnología de ciberseguridad utilizada para la supervisión en tiempo real completa de extremo a extremo sobre la actividad de cada equipo de la infraestructura corporativa, centrándose en los análisis de seguridad con el fin de mejorar la respuesta ante incidentes de los endpoints corporativos.
Actualmente, el endpoint es la principal puerta de acceso de los atacantes ya que las soluciones de seguridad tradicionales protegen la red pero no de los riesgos del nuevo ecosistema digital como pueden ser los empleados trabajando fuera de la red corporativa, el tráfico ofuscado, o Shadow IT/IoT. Un antivirus tradicional basado en firmas es insuficiente frente a los ataques actuales.
Separar las credenciales administrativas de las estándar
Las empresas deberían separar las cuentas administrativas del sistema de las cuentas de usuario estándar para garantizar que las cuentas de administración, no sean utilizables en múltiples sistemas. Sobretodo, es muy recomendable el uso de las soluciones de autenticación multifactor, gestión de identidad privilegiada y gestión de acceso privilegiado. Son formas de combatir eficazmente el uso abusivo de cuentas privilegiadas y una forma estratégica de reducir la superficie de ataque de credenciales.
Gestionar la instalación de programas y aplicaciones
Lo más común dentro de un departamento IT de una empresa, es generar una lista blanca de aplicaciones. De esta forma se garantiza que solo las aplicaciones que hayan sido probadas y aprobadas por la propia empresa se puedan ejecutar en los sistemas dentro de la infraestructura informática.
Realizar copias de seguridad regularmente
Aunque haya dejado este apartado para el final, no significa que tenga menos importancia, sino al contrario, las copias de seguridad son un pilar fundamental ante ataques informáticos.
La empresa se debe encargar de validar que todos sus sistemas, aplicaciones y archivos críticos se respalden regularmente y que esas copias de seguridad se prueben con regularidad para garantizar que sean recuperables y accesibles en cualquier momento si fuese necesario.
Sabiendo que un ransomware encripta o destruye cualquier archivo que encuentre, y a menudo puede hacerlos irrecuperables; es de suma importancia que todos los archivos afectados se puedan recuperar fácilmente desde una copia de seguridad almacenada que haya sido realizada con anterioridad en una ubicación secundaria no afectada por el ataque del ransomware.