El Ransomware es una de las amenazas informáticas más temidas en los últimos años por las organizaciones. Y con motivo suficiente: ¿quién estaría tranquilo sabiendo que un mail podría llegar a infectar las terminales y servidores de toda la organización? En este artículo evaluaremos diferentes medidas apra protegernos del ransomware.
Descargue nuestra guía de auto-evaluación para Ransomware
Historia
Este tipo de ataques informáticos no es nuevo, existen registros desde finales de los 80, pero salto a la popularidad en el ataque de Ransomware “Wannacry”, cuyo nombre oficial es en realidad wanacrypt0r. Las victimas más conocidas de este ataque Ransomware fueron las empresas españolas Telefónica, Gas Natural e Iberdrola. Sin embargo, Wannacry también afectó seriamente muchos hospitales del servicio nacional de salud (NHS) en Inglaterra y Escocia. En este caso además de computadoras se afectaron escáneres de IRM, refrigeradores para el almacenamiento de sangre e incluso equipamiento de quirófano lo que represento un riesgo muy importante a la salud pública. En la industria automotriz, Nissan y Ford tuvieron que detener su producción a causa de este ataque Ransomware . Del mismo modo, algunos bancos y otras empresas, incluso en Argentina, tuvieron dificultades en sus operaciones.
En el ámbito local y más recientemente, la compañía Telecom fue víctima de un ataque de Ransomware , aunque al parecer logró recuperarse sin tener que pagar el rescate que exigían los cibercriminales. El ataque informático a Telecom habría comenzado a partir de la descarga de archivos adjuntos vía correo electrónico (conocido como phishing). Recordemos que en el contexto actual por la pandemia covid19 la mayoría de los usuarios trabajaba desde sus hogares y muchos con equipos propios, lo que agrava la situación ya que es más difícil para los equipos de it y seguridad llevar el mismo control que cuando los usuarios trabajaba en la oficina con equipos previamente preparados por la empresa.

Reacciones
Los expertos siguen discutiendo si las grandes organizaciones gubernamentales que sabían de las vulnerabilidades y las explotaban en beneficio propio tienen parte de la responsabilidad. Sin embargo, en lo que todos coinciden cada vez que este tipo de ciberataques se vuelve popular es en reiterar el valor e importancia de realizar copias de seguridad con regularidad y mantener las mismas en un medio seguro, tener buena seguridad informática incluyendo el aislamiento de los sistemas críticos, utilizar software apropiado, y tener instalados los parches de seguridad más recientes.
¿Cómo protegernos del Ransomware?
Un ataque de Ransomware puede ser muy costoso para las empresas, y no solo en términos financieros. Afecta la confianza de los clientes internos y externos de la organización. La mayoría de los ataques de Ransomware se distribuyen a través de phishing, intentando hacerse pasar por correos legítimos internos de la empresa o de colaboradores conocidos para convencer al usuario de descargar un archivo o abrir un documento infectado, logrando su infiltración en la terminal. Los mecanismos de propagación de Ransomware dentro de la empresa son variados, pero el más usado es a través de carpetas compartidas sin mucha seguridad y aprovechando las vulnerabilidades de sistemas obsoletos o sin actualizar. De esta manera se permite la infección de terminales o servidores remotos y la escalación de privilegios.
Otras formas de infección recientes están asociados a los servicios escritorio remoto (rdp por sus siglas en inglés), con lo cual, si la empresa utiliza esta forma de administración remota de servidores se intentará aprovechar alguna vulnerabilidad del protocolo para conseguir acceso al servidor e infectar la red. Las vulnerabilidades del servicio de escritorio remoto se comenzaron a explotar más en el contexto de cuarentena impuesta por la pandemia de covid19. Ante la necesidad de habilitar una forma de acceso remoto muchas organizaciones descuidaron la seguridad en favor de facilitar el trabajo de sus colaboradores, sin saber que dejaron una ventana abierta para un ataque de Ransomware .
Las recomendaciones generales sobre cómo protegernos del Ransomware son:
- Políticas sobre privilegios, usuarios y contraseñas
- Actualizaciones del sistema operativo y aplicaciones
- Backups
- Entrenamiento personal
¿Necesita mejorar su sistema de backup? Contáctenos para una evaluación sin cargo.
Privilegios
Lo más importante a tener en cuenta para prevenir los ataques de Ransomware , o ser afectados en la menor medida posible, es evitar la escalación de privilegios. No hace falta mencionar que si los perpetradores del ataque informático obtienen privilegios de administrador, lamentablemente tendrán acceso a la terminal o servidor sin restricciones.
En resumen, es muy importante tener una política de seguridad sólida con permisos restringidos. Esto no es válido solo para los privilegios de administrador, sino también para los recursos compartidos. Los ataques más conocidos y con efectos más graves se dieron en empresas donde los permisos en carpetas compartidas eran innecesariamente amplios.
Actualizaciones
Si bien la mayoría de estas amenazas informáticas están dirigidos a Microsoft Windows, existe Ransomware para Linux. Esto significa que es importante mantener todos los sistemas operativos actualizados, independientemente del fabricante.
No tenemos que dejar afuera de este apartado las aplicaciones, ya que muchas veces pueden ser el medio por el cual los atacantes tienen acceso a las terminales o servidores. Por ejemplo SAP, uno de los sistemas de gestión empresarial más reconocidos del mundo, permitía a los atacantes utilizar la ejecución de comandos remotos de SAP GUI para instalar Ransomware en las terminales y servidores. Esta vulnerabilidad fue detectada y corregida por el fabricante, pero la aplicación de estas actualizaciones es responsabilidad de las empresas.
Backups
Hoy, el estándar para hacer backups es la regla 3-2-1. Básicamente nos dice que debemos tener 3 copias de respaldo, en 2 medios diferentes y 1 fuera del sitio. Podríamos, por ejemplo, tener backups en:
- Disco, que además permiten una restauración rápida.
- Cinta, más durable y económica a la hora de archivar backups mensuales o anuales
- En la nube, un medio muy económico y práctico a la hora de ejecutar un plan de recuperación ante desastres
Los respaldos en cinta y en la nube pueden, además, configurarse como inmutables. Esto quiere decir que no se podrán modificar, dándonos la seguridad que cuando recurramos a ellos la información no será modificada.
Es cierto que las copias de seguridad no mantendrán el riesgo de Ransomware lejos de nuestras empresas, pero si esta amenaza informática llega a nuestra organización podremos mitigar o incluso anular cualquier riesgo de perder información.
Conozca Bácula. Una solución de backup empresarial open source, es decir sin costos de licenciamiento.
Entrenamiento
Finalmente, aunque no por eso menos importante, es esencial capacitar al personal para que sepa como prevenir o reaccionar ante este tipo de amenazas informáticas. No solo hablamos del sector de it, recordemos que cualquier usuario puede recibir un mail potencialmente peligroso o phishing. Por este motivo es importante entrenar a todos los usuarios sobre cómo verificar los correos que reciben de distintas personas y no descargar cualquier archivo adjunto.
Si bien hay incontables herramientas para evitar que archivos infectados lleguen a los usuarios finales, los ataques de Ransomware utilizan técnicas igualmente avanzadas para lograr superarlos. En este caso el criterio de los usuarios va a ser una herramienta fundamental para mitigar las amenazas informáticas.
Conclusión
Los ataques de Ransomware son muy populares, pero no son los únicos. Nuestros esfuerzos no deben centrarse solo en este tipo de amenazas informáticas pero es importante mencionar que la mayoría de las medidas preventivas para este tipo de ataques informáticos cubren otras variantes menos conocidas.
Las políticas de seguridad, actualizaciones y backup son un pilar fundamental para asegurar la continuidad del negocio. Si bien en ocasiones, ya sea por limitaciones presupuestarias o de personal, estos aspectos se descuidan para facilitar algunas tareas es importante controlarlos lo antes posible.
Descargue nuestra guía de auto-evaluación para Ransomware