logo

Trabajemos juntos

Contanos más sobre tu proyecto, nos pondremos en contacto lo antes posible.

Email

info@genbyte.com.ar

¿Cómo protegernos del Ransomware?

  • By Ezequiel Godoy
  • septiembre 10, 2020

El Ransomware  es una de las amenazas informáticas más temidas en los últimos años por las organizaciones. Y con motivo suficiente: ¿quién estaría tranquilo sabiendo que un mail podría llegar a infectar las terminales y servidores de toda la organización? En este artículo evaluaremos diferentes medidas apra protegernos del ransomware.

Descargue nuestra guía de auto-evaluación para Ransomware

Descargar

Historia

Este tipo de ataques informáticos no es nuevo, existen registros desde finales de los 80, pero salto a la popularidad en el ataque de Ransomware  “Wannacry”, cuyo nombre oficial es en realidad wanacrypt0r. Las victimas más conocidas de este ataque Ransomware  fueron las empresas españolas Telefónica, Gas Natural e Iberdrola. Sin embargo, Wannacry también afectó seriamente muchos hospitales del servicio nacional de salud (NHS) en Inglaterra y Escocia. En este caso además de computadoras se afectaron escáneres de IRM, refrigeradores para el almacenamiento de sangre e incluso equipamiento de quirófano lo que represento un riesgo muy importante a la salud pública. En la industria automotriz, Nissan y Ford tuvieron que detener su producción a causa de este ataque Ransomware . Del mismo modo, algunos bancos y otras empresas, incluso en Argentina, tuvieron dificultades en sus operaciones.

En el ámbito local y más recientemente, la compañía Telecom fue víctima de un ataque de Ransomware , aunque al parecer logró recuperarse sin tener que pagar el rescate que exigían los cibercriminales. El ataque informático a Telecom habría comenzado a partir de la descarga de archivos adjuntos vía correo electrónico (conocido como phishing). Recordemos que en el contexto actual por la pandemia covid19 la mayoría de los usuarios trabajaba desde sus hogares y muchos con equipos propios, lo que agrava la situación ya que es más difícil para los equipos de it y seguridad llevar el mismo control que cuando los usuarios trabajaba en la oficina con equipos previamente preparados por la empresa.

Paises afectados por ataque WannaCry
Paises afectados por ataque WannaCry

Reacciones

Los expertos siguen discutiendo si las grandes organizaciones gubernamentales que sabían de las vulnerabilidades y las explotaban en beneficio propio tienen parte de la responsabilidad. Sin embargo, en lo que todos coinciden cada vez que este tipo de ciberataques se vuelve popular es en reiterar el valor e importancia de realizar copias de seguridad con regularidad y mantener las mismas en un medio seguro, tener buena seguridad informática incluyendo el aislamiento de los sistemas críticos, utilizar software apropiado, y tener instalados los parches de seguridad más recientes.

¿Cómo protegernos del Ransomware?

Un ataque de Ransomware  puede ser muy costoso para las empresas, y no solo en términos financieros. Afecta la confianza de los clientes internos y externos de la organización. La mayoría de los ataques de Ransomware  se distribuyen a través de phishing, intentando hacerse pasar por correos legítimos internos de la empresa o de colaboradores conocidos para convencer al usuario de descargar un archivo o abrir un documento infectado, logrando su infiltración en la terminal. Los mecanismos de propagación de Ransomware  dentro de la empresa son variados, pero el más usado es a través de carpetas compartidas sin mucha seguridad y aprovechando las vulnerabilidades de sistemas obsoletos o sin actualizar. De esta manera se permite la infección de terminales o servidores remotos y la escalación de privilegios.

Otras formas de infección recientes están asociados a los servicios escritorio remoto (rdp por sus siglas en inglés), con lo cual, si la empresa utiliza esta forma de administración remota de servidores se intentará aprovechar alguna vulnerabilidad del protocolo para conseguir acceso al servidor e infectar la red. Las vulnerabilidades del servicio de escritorio remoto se comenzaron a explotar más en el contexto de cuarentena impuesta por la pandemia de covid19. Ante la necesidad de habilitar una forma de acceso remoto muchas organizaciones descuidaron la seguridad en favor de facilitar el trabajo de sus colaboradores, sin saber que dejaron una ventana abierta para un ataque de Ransomware .

Las recomendaciones generales sobre cómo protegernos del Ransomware  son:

  • Políticas sobre privilegios, usuarios y contraseñas
  • Actualizaciones del sistema operativo y aplicaciones
  • Backups
  • Entrenamiento personal

¿Necesita mejorar su sistema de backup? Contáctenos para una evaluación sin cargo.

Privilegios

Lo más importante a tener en cuenta para prevenir los ataques de Ransomware , o ser afectados en la menor medida posible, es evitar la escalación de privilegios. No hace falta mencionar que si los perpetradores del ataque informático obtienen privilegios de administrador, lamentablemente tendrán acceso a la terminal o servidor sin restricciones.

En resumen, es muy importante tener una política de seguridad sólida con permisos restringidos. Esto no es válido solo para los privilegios de administrador, sino también para los recursos compartidos. Los ataques más conocidos y con efectos más graves se dieron en empresas donde los permisos en carpetas compartidas eran innecesariamente amplios.

Actualizaciones

Si bien la mayoría de estas amenazas informáticas están dirigidos a Microsoft Windows, existe Ransomware  para Linux. Esto significa que es importante mantener todos los sistemas operativos actualizados, independientemente del fabricante.

No tenemos que dejar afuera de este apartado las aplicaciones, ya que muchas veces pueden ser el medio por el cual los atacantes tienen acceso a las terminales o servidores. Por ejemplo SAP, uno de los sistemas de gestión empresarial más reconocidos del mundo, permitía a los atacantes utilizar la ejecución de comandos remotos de SAP GUI para instalar Ransomware en las terminales y servidores. Esta vulnerabilidad fue detectada y corregida por el fabricante, pero la aplicación de estas actualizaciones es responsabilidad de las empresas.

Backups

Hoy, el estándar para hacer backups es la regla 3-2-1. Básicamente nos dice que debemos tener 3 copias de respaldo, en 2 medios diferentes y 1 fuera del sitio. Podríamos, por ejemplo, tener backups en:

  • Disco, que además permiten una restauración rápida.
  • Cinta, más durable y económica a la hora de archivar backups mensuales o anuales
  • En la nube, un medio muy económico y práctico a la hora de ejecutar un plan de recuperación ante desastres

Los respaldos en cinta y en la nube pueden, además, configurarse como inmutables. Esto quiere decir que no se podrán modificar, dándonos la seguridad que cuando recurramos a ellos la información no será modificada.

Es cierto que las copias de seguridad no mantendrán el riesgo de Ransomware  lejos de nuestras empresas, pero si esta amenaza informática llega a nuestra organización podremos mitigar o incluso anular cualquier riesgo de perder información.

Conozca Bácula. Una solución de backup empresarial open source, es decir sin costos de licenciamiento.

Entrenamiento

Finalmente, aunque no por eso menos importante, es esencial capacitar al personal para que sepa como prevenir o reaccionar ante este tipo de amenazas informáticas. No solo hablamos del sector de it, recordemos que cualquier usuario puede recibir un mail potencialmente peligroso o phishing. Por este motivo es importante entrenar a todos los usuarios sobre cómo verificar los correos que reciben de distintas personas y no descargar cualquier archivo adjunto.

Si bien hay incontables herramientas para evitar que archivos infectados lleguen a los usuarios finales, los ataques de Ransomware  utilizan técnicas igualmente avanzadas para lograr superarlos. En este caso el criterio de los usuarios va a ser una herramienta fundamental para mitigar las amenazas informáticas.

Conclusión

Los ataques de Ransomware  son muy populares, pero no son los únicos. Nuestros esfuerzos no deben centrarse solo en este tipo de amenazas informáticas pero es importante mencionar que la mayoría de las medidas preventivas para este tipo de ataques informáticos cubren otras variantes menos conocidas.

Las políticas de seguridad, actualizaciones y backup son un pilar fundamental para asegurar la continuidad del negocio. Si bien en ocasiones, ya sea por limitaciones presupuestarias o de personal, estos aspectos se descuidan para facilitar algunas tareas es importante controlarlos lo antes posible.

Descargue nuestra guía de auto-evaluación para Ransomware

Descargar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.