Lea cualquier periódico o consulte su sitio de noticias de tecnología favorito y es probable que se encuentre con una noticia relacionada con el ransomware. Son pocos los CISOs o directores de TI en Estados Unidos que aún no han sido víctimas o que no saben de una organización que haya sido afectada. Tan sólo Trend Micro ha bloqueado más de 100 millones de amenazas desde octubre pasado y el número sigue en aumento.
La mejor manera de hacer frente al ransomware es adoptar medidas preventivas para establecer una protección de diversas capas. Pero el primer paso que tenemos que dar es entender el problema. Así que analicemos más a fondo exactamente en qué consisten esta nueva amenaza de malware y las implicaciones que puede tener para las organizaciones.
En términos llanos, el ransomware es una amenaza en línea que puede inutilizar completamente los archivos y/o sistemas de su organización. Entonces la víctima es obligada a pagar un rescate para recuperar el acceso. Las primeras versiones de ransomware se diseñaron para bloquear la máquina de la víctima hasta que se hubiera hecho el pago del rescate. Pero la nueva generación del llamado “crypto-ransomware” es la más peligrosa, pues busca extensiones de archivo específicas (con frecuencia las más comunes) como .doc o .pdf, para encriptarlos e impedir su uso. Esto deja a los líderes de las áreas de TI con pocas opciones por lo que deben de pagar para obtener la clave de desencripción.
Normalmente aparece una nota de rescate en la pantalla, en la que se le dice a los usuarios el monto que tienen que pagar para recuperar el acceso a dichos archivos y sistemas. Esta suma va desde unos cuantos cientos de dólares, que debe pagarse en Bitcoin o mediante métodos de pago similares. Son muchas las variantes que ofrecen guías prácticas e información diseñada para orientar a las víctimas que no tienen un alto conocimiento técnico para llevar a cabo el pago, incluyendo opciones para iniciar una sesión de chat. Una vez que se ha hecho el pago, deben enviar el comprobante de la transferencia al atacante como prueba. Si se trata de crypto-ransomware, entonces pueden esperar que se les envíe la clave para desbloquear sus archivos.
El ransomware ataca comúnmente a los usuarios, usando por lo general técnicas de ingeniería social, el correo electrónico o la web. Esto significa, archivos adjuntos infectados que acompaña a los correos electrónicos no solicitados, o URLs maliciosos, cuyo destino son sitios infectados o comprometidos que se utilizan para infectar a la víctima. Sin embargo, el ransomware ya se ha sofisticado para aprovechar las debilidades de una red o de un servidor. Es por eso que es vital contar con un enfoque holístico que se fundamente sobre el principio de la protección por capas.
¿Por qué debe preocuparse?
Para las organizaciones, las implicaciones son más que obvias. Por lo menos se verán obligadas a pagar el rescate para volver a tener acceso a sus archivos, el cual podría ser de unos cuantos cientos de dólares, pero algunas organizaciones han sido extorsionadas para pagar aún más. Una de las víctimas de más alto perfil – el Centro Médico Presbiteriano de Hollywood – terminó pagando $17,000 dólares para restaurar los sistemas vitales y las funciones administrativas.
Incluso sin contar el pago del rescate, es muy alto el costo relacionado con la pérdida de productividad y la inactividad de los empleados, con el daño a la marca y la reputación, y las posibles penalidades regulatorias que deben considerarse. Algunos reportes señalan que el FBI calcula que en el primer trimestre del año las pérdidas ascendieron a $209 millones de dólares – un aumento considerable de los $24 millones de dólares durante todo el 2015.
Si eso no fuera suficiente para preocuparse, nuevas variantes de ransomware como la versión más reciente del maligno CryptXXX integran características adicionales, como la funcionalidad para información corporativa y encriptarla.
¿Cómo puedo proteger a mi organización?
En lo que se refiere al ransomware, los criminales actualizan siempre su malware para lograr evadir la detección y sortear cualquier intento de romper la encripción. Otro desafío es que no hay garantías de que al pagar el rescate el hacker permita de nuevo el acceso a esos archivos clave.
Los directores de seguridad de TI deben por lo tanto enfocar toda su atención a la prevención, alrededor de algunas áreas de importancia:
Respaldar la información de la empresa. Ponga en práctica el sistema 3-2-1: tres copias de respaldo en dos medios y uno de ellos en un lugar seguro fuera de la empresa.
Educar a los usuarios finales para que no pulsen enlaces ni abran archivos adjuntos de los correos electrónicos no solicitados; verificar quién envía los mensajes de correo antes de abrirlos; y agregar los sitios que se visitan con mayor frecuencia a los favoritos. Esto último ayudará a evitar que visiten accidentalmente sitios que realizan descargas automáticas de código malicioso.
Parchar todos los sistemas tan pronto como se liberan las actualizaciones y mantener actualizado el software de seguridad, reduciendo así las posibilidades de que se exploten las vulnerabilidades del software.
La segmentación de la red puede propagar el ransomware por toda una organización.
Una defensa de varias capas que cuente con seguridad en el gateway web y de correo electrónico; en los endpoints; en la red; y en nos niveles de servidores físicos, virtuales y de nube.
Consulta esta serie de blogs especializados en ransomware para obtener más información sobre la mejor manera de proteger a su organización a través de la protección en capas contra el ransomware
Leave a Reply