El ransomware es un tipo de ciberataque en el cual malware infiltra un sistema informático y cifra los datos o toma el control del equipo. Los hackers exigen que las víctimas paguen un rescate para recuperarlo todo. Tanto los equipos personales como los sistemas empresariales son vulnerables al ransomware.
Sin embargo, las empresas se han convertido en el principal objetivo en los últimos años, gracias a sus sistemas en red, los cuales suelen tener vulnerabilidades de seguridad invisibles. Las empresas también presentan una mayor disposición para pagar rescates para evitar un tiempo de inactividad excesivo, así como para realizar pagos más grandes.
Para atacar a un sistema con ransomware, un hacker primero debe obtener acceso a ese sistema. Los métodos para obtener acceso se han vuelto bastante sofisticados utilizando vulnerabilidades de día cero o sin parches/desconocidas.
Suelen comenzar con un ataque de phishing, un correo electrónico malicioso, archivos adjuntos de correo electrónico comprometidos, gusanos informáticos agresivos, amenazas de vulnerabilidades, ataques dirigidos o click-jacking (la práctica de insertar hipervínculos alternativos en contenido legítimo en el que se puede hacer clic).
Incluso si el sistema tiene instalado antivirus, el ransomware podría filtrarse sin ser detectado o causar daños a nivel de archivo si el antivirus no tiene la firma del malware en sus archivos o no se analiza en tiempo real. Un equipo conectado en red también da acceso al ransomware a otras máquinas y dispositivos de almacenamiento conectados.
Hay dos tipos principales de ransomware: bloqueadores de pantalla y encriptadores. Los encriptadores cifran los datos del sistema y necesitan una clave de descifrado para restaurarlos. Los bloqueadores de pantalla impiden el acceso a un sistema informático con una pantalla de bloqueo.
En ambos tipos de ransomware, se suele utilizar una pantalla de bloqueo para notificar al usuario que el ransomware ha tomado el control. También incluye el importe del pago y la información que detalla cómo recuperar el acceso a los datos o recuperar el control del sistema, normalmente mediante una clave de descifrado u otro código. El mensaje suele incluir una advertencia de que los datos se eliminarán o se harán públicos si no se recibe el pago.
Mientras que tradicionalmente los atacantes pedían el rescate mediante tarjetas de regalo, transferencias bancarias o servicios de prepago en efectivo, hoy en día el pago preferido es principalmente Bitcoin y otras criptomonedas. El problema es que pagar el rescate no garantiza que un usuario o una empresa recuperen el control de sus datos.
Hoy en día, la mayoría del ransomware extrae los datos antes de ejecutar el proceso de encriptación, lo que conduce a la pérdida de gobernanza de los datos y a la violación de políticas como HIPAA o PCI. No hay garantía de que los datos se devuelvan por completo del control del actor de la amenaza y, a veces, los atacantes pueden instalar aún más malware en un sistema después de recibir el rescate y liberar los datos de nuevo al control de la empresa.
Lamentablemente, el ransomware puede ser dirigido contra toda clase de objetivos, desde equipos domésticos hasta sistemas informáticos en red a gran escala en empresas mundiales. Básicamente, cualquier dispositivo conectado a internet está en peligro.
Aunque el ransomware ha afectado a empresas de todos los tamaños a través de todas las industrias y ubicaciones geográficas, los expertos han observado algunos patrones. Algunas industrias corren más riesgo de sufrir ataques de ransomware que otras, debido a los enormes volúmenes de datos sensibles que tienen o al alcance con el que un ataque causaría daños. Las industrias más atacadas suelen ser la banca y los servicios financieros, el cuidado de la salud, manufactura, energía y servicios públicos, organismos gubernamentales y la educación.
El ransomware es cada vez más común a medida que evolucionan los métodos de ataque y los hackers encuentran soluciones para evadir las medidas de defensa. De hecho, durante el segundo trimestre de 2021, los ataques de ransomware ascendieron a 304.7 millones (más de 3 millones de ataques al día), y el FBI publicó una advertencia de que 100 nuevas variantes de ransomware están circulando por el mundo. Compare esos 304.7 millones de ataques en un solo periodo de tres meses con los 304.6 millones de ataques de ransomware registrados en todo el año 2020.
Esto es lo que dicen otros expertos:
El ransomware puede afectar a un negocio de varias formas críticas. El primer efecto, y el más evidente, es financiero. Según la Red de Control de Delitos Financieros de la Tesorería de los EE.UU., en el primer semestre de 2021 se registraron 590 millones de dólares en gastos relacionados con ransomware. Durante todo el año anterior, la agencia declaró solo 416 millones de dólares por los mismos costos. Aunque un negocio no pague el rescate, puede sufrir importantes pérdidas económicas debido a la pérdida de productividad y datos.
Además de los daños financieros, el ransomware puede perjudicar a una víctima por daños a la reputación del negocio si sale a la luz el ataque, o si el atacante libera datos confidenciales o delicados propiedad de la víctima. Los litigios relacionados con ataques de ransomware pueden ser costosos y también llevar mucho tiempo, lo que aparta a los empleados de la empresa de su trabajo diario. El Servicio Nacional de Salud (NHS) del Reino Unido es un claro ejemplo que detalla más de 100 millones de dólares en pérdidas por citas canceladas y tiempo de inactividad.
Las multas específicas de la industria también pueden ser catastróficas con multas que se añaden exponencialmente al costo combinado de un rescate y recuperación.
Aunque no hay forma de prevenir o defenderse contra todos los tipos de ransomware el 100% de las veces, hay muchas cosas que un negocio puede hacer para protegerse contra el ransomware y eliminar las vulnerabilidades que buscan los atacantes. Estas son algunas recomendaciones:
La seguridad de los datos debe ser una de las principales preocupaciones para cada empresa, grande o pequeña. La seguridad y protección contra el ransomware es un enfoque por capas enfocado en los vectores de ataque críticos para su negocio. Los sistemas operativos de su ordenador pueden tener funciones de seguridad integradas que le ayuden a reducir el riesgo de un ataque de ransomware, como la protección avanzada antimalware para endpoints.
Sin embargo, es fundamental añadir más capas de protección sólida y holística en la infraestructura, redes y niveles de datos. Este tipo de estrategia se denomina defensa a profundidad y garantiza que incluso un ataque de ransomware exitoso tenga mucho menos impacto o radio de alcance que sin él.
Confianza cero es una estrategia líder que protege contra el ransomware. En conjunto con el acceso a la red confianza cero (ZTNA), confianza cero crea puntos de control críticos para el acceso en cada capa del stack tecnológico, no solo en el perímetro en redes de confianza que tradicionalmente han sido dirigidas por contraseñas y VPN.
Aunque sigue siendo fundamental para una postura de seguridad, un único punto de autenticación suele proporcionar un amplio acceso a los recursos una sola vez, mientras que la confianza cero crea múltiples puntos de autenticación y se ajusta a lo que un usuario necesita en lugar de a lo que puede acceder.
Aunque la prevención es la mejor manera de evitar daños por ataques de ransomware, sigue siendo una buena idea planificar cómo responderá su organización si se produce un ataque. He aquí algunas buenas prácticas sobre qué hacer tras un ataque de ransomware.
Mantenga la calma y responda con su plan de continuidad empresarial
No es fácil quedarse sin acceso a los archivos críticos de su negocio o enfrentarse a la amenaza del borrado de datos, pero es fundamental mantener la calma y evaluar completamente la situación antes de entrar en acción. Planificar una respuesta alineada con las operaciones críticas de la empresa de forma previa puede ayudar a priorizar en este ámbito y mantener a todos coordinados con lo que debe ocurrir para responder al ataque.
Contacte a sus equipos de respuesta a incidentes
Normalmente debería tener un equipo interno de respuesta a incidentes, o estar vinculado a cosas como ciberseguros que pueden ayudarle a organizar y priorizar su respuesta.
Informe del incidente al gobierno
En los Estados Unidos, stopransomware.gov es un recurso para reportar ransomware y obtener el apoyo de las autoridades federales. Obtenga más información sobre el método de respuesta de su gobierno para ransomware.
Documente la nota del ransomware
Tome una fotografía de la nota del ransomware, será de ayuda en caso de que presente una denuncia policial.
Identifique cuáles sistemas se han visto comprometidos y aíslelos
El ransomware puede infectar otros equipos y dispositivos conectados en red, así que ponga en cuarentena los sistemas afectados tan rápida y completamente como pueda. Eso puede significar desconectar de la red las máquinas afectadas.
Desactive inmediatamente las tareas de mantenimiento automatizadas
Deshabilite las tareas en los sistemas afectados, como la rotación de registros o la eliminación de archivos temporales, y apague los dispositivos afectados. Esto evitará que esas tareas alteren o modifiquen los archivos de datos que necesitará más adelante para la investigación y el análisis.
Desconecte todos los respaldos de datos
Debido a que las últimas variantes de ransomware intentan prevenir la recuperación atacando sus respaldos, desconéctelos de la red. También es inteligente evitar que nadie acceda a los respaldos hasta que se elimine el malware de ransomware.
Compruebe la consistencia de respaldos de datos
Cuando se desconecten los respaldos seguros, con un endpoint limpio conocido, compruebe los estados y la consistencia de las respaldos. Los ataques de ransomware más recientes se dirigen cada vez más hacia los respaldos para garantizar el pago de un rescate.
Intente determinar cuál ransomware ha infectado su sistema
Si puede averiguar qué variante de ransomware le está afectando, puede ser más fácil combatirla. Entre los servicios gratuitos y útiles en línea se incluyen ID Ransomware y una herramienta de identificación de ransomware en línea de Emsisoft. En estos sitios, puede cargar una imagen de la nota de rescate y una muestra de los datos cifrados. Las páginas intentarán identificar la variante del ransomware por usted.
Utilice herramientas de descifrado para ver si puede realizar más acciones
Existen muchas herramientas en línea para ayudarle a descifrar los datos rescatados, como No More Ransom. Conocer el nombre de su variante de ransomware ayudará. Busque los descifrados más recientes al final de la lista.
Restablezca las contraseñas de internet y de sus cuentas
Una vez que haya desconectado de la red los sistemas afectados, cree nuevas contraseñas para sus cuentas y aplicaciones en línea. Cámbielas de nuevo una vez que el ransomware se haya eliminado por completo.
Decida si pagará el rescate o no
No es una decisión fácil, y tanto pagar el rescate como no pagarlo tiene ventajas y desventajas. Sin embargo, una cosa a tener en cuenta es que debe pagar un rescate solo si ya ha probado todo lo demás y ha determinado que la pérdida de datos es más grave que pagar.
Traiga a expertos para eliminar por completo la amenaza
Reiterando la necesidad de incorporar un equipo de respuesta a incidentes cibernéticos, asegúrese de utilizar una persona o empresa experta probada y de confianza para realizar un análisis de causa raíz para averiguar las vulnerabilidades del sistema y qué sistemas se vieron afectados. La limpieza y las investigaciones finales también deben ser realizadas por una persona o empresa experta. Los atacantes pueden utilizar todo tipo de puertas traseras y entradas desconocidas en su sistema.
De prioridad la restauración del sistema
Esto debe estar bien definido en su plan de continuidad empresarial. Si no es así, identifique los sistemas y datos que sean más críticos para sus operaciones empresariales como la primera prioridad para la restauración. Son los sistemas que afectan los ingresos y la productividad.
Realice una autopsia del ataque
Comprender cómo se produjo un incidente de ransomware a un completo detalle técnico es fundamental para prevenir ataques futuros. Esto también conducirá a nuevas iniciativas y enfoques de seguridad.
Consulte con personas expertas para actualizar la seguridad
En el caso del ransomware, el rayo puede caer dos veces en el mismo lugar. De hecho, es bastante común que una empresa sea atacada por segunda vez. Si no se identifica la vulnerabilidad que permitió al atacante entrar en el sistema en primer lugar, podría volver a utilizarse. Aproveche a sus partners de confianza o las sugerencias de su equipo de respuesta a incidentes para mejorar las medidas de seguridad en todos los ámbitos.
Estadísticamente, sufrirá un ataque de ransomware. En realidad, no es posible eliminar completamente el riesgo, porque los ataques de ransomware evolucionan continuamente y mejoran a la hora de traspasar las defensas. Por eso resulta fundamental disponer de un plan de continuidad empresarial antes de necesitarlo: una estrategia bien pensada sobre qué hacer si sufre un ataque de ransomware.
Saber cómo responder y qué hacer inmediatamente después de un ataque puede ayudar, al igual que una buena higiene general en cuanto a seguridad y una conciencia diaria de mantener los datos protegidos y los sistemas actualizados para reducir las posibles vulnerabilidades.
Al eliminar los puntos de entrada vulnerables a sus sistemas y al tener un plan de respuesta sólido, es mucho menos probable que su empresa sufra efectos duraderos a causa de un ataque de ransomware.