COMO PROTEGER DE LOS ATAQUES ‘RANSOMWARE’

 

En los últimos días han sido noticia los ataques informáticos que han sufrido varias empresas en todo el mundo. Los expertos alertan de un repunte de actividad de estas amenazas.

¿Qué son los ataques ransomware?

Un ataque ransomware o secuestro de información se produce cuando una organización criminal consigue que se ejecute un programa dañino en nuestro equipo, infectándolo.

Normalmente estos programas llegan a nuestro ordenador a través de una página web, un e-mail o el intercambio o descarga de ficheros. En algunos casos, los programas maliciosos también se han propagado a través de pendrives, CDs de programas gratuitos o cualquier otro engaño que lleva a un usuario a introducir un dispositivo en su ordenador.

El virus atacante cifra los ficheros de datos del ordenador atacado, de manera que no serán accesibles hasta que se descifren de nuevo. Es entonces cuando se le pide al dueño del equipo atacado que pague una cierta cantidad de dinero (normalmente en bitcoins mediante una transferencia a una cuenta de otro país)  para que, en un tiempo dado, se le envíe la clave con la que descifrar los datos y volver a la normalidad. Si no lo hace, los datos quedarán inservibles o se borrarán definitivamente.

El rescate no tiene por qué ser una cantidad elevada, puesto que los delincuentes saben que una pequeña cantidad fácil de pagar multiplicada por múltiples infecciones de ordenadores les puede proporcionar un beneficio más seguro que una cantidad grande.

Los ataques más sofisticados de ransomware utilizan además el equipo atacado para propagar el virus a otros equipos conectados a la misma red o, a través del correo electrónico, a todos los contactos.

Uno de los ataques más conocidos es el denominado ‘virus de la Policía’, donde se muestra el logo de la policía y presenta el secuestro como una supuesta inmovilización y multa legal al usuario por visitar webs con contenidos para adultos.

El ataque ransomware del pasado 12 de mayo fue un ejemplo de cómo aprovechar una serie de vulnerabilidades para perpetrar un ataque complejo: el programa dañino se distribuye dentro de un fichero adjunto en un correo que un usuario abre y ejecuta. Este programa no solo secuestra los ficheros del ordenador atacado, sino que aprovecha una vulnerabilidad conocida pero no parcheada de las unidades de red local, y extiende el ataque a otros equipos de la misma. En ese momento la organización atacada no tiene un incidente aislado, sino que todo su parque de ordenadores puede estar secuestrado, y propagando el ataque a sus socios y clientes.

Los sistemas operativos, los navegadores y los antivirus de los ordenadores, así como los equipos de seguridad perimetral de las redes corporativas son cada vez más sofisticados para evitar intrusiones, pero su propia complejidad hace que cada día aparezcan nuevos agujeros de seguridad que son aprovechados por los atacantes. Prácticamente a diario los fabricantes de los sistemas publican actualizaciones y parches (actualizaciones parciales) que solucionan entre otros temas problemas de seguridad detectados por sus propios laboratorios o denunciados por otros usuarios o por centros de alerta (CERTS , del inglés Computer Emergency Response Team). Pero la producción y aplicación de estas vacunas no es instantánea, y en ese intervalo los sistemas están expuestos a amenazas que son incluso conocidas.

Cuando un fabricante tiene noticia de una debilidad en uno de sus sistemas que puede ser aprovechada para que un programa atacante penetre, sus laboratorios de seguridad intentan reproducir el problema y diseñar una solución lo más inocua posible para el comportamiento del sistema. Esta solución se prueba y se distribuye a los clientes registrados para que puedan aprovecharla. Además de las pruebas del fabricante, a veces las grandes corporaciones hacen sus propias pruebas antes de distribuir los parches para ver si son incompatibles con algunos de los programas que usa la organización. Así, cada día, los responsables de seguridad de una organización se enfrentan a múltiples amenazas: nuevos programas dañinos recién aparecidos, programas dañinos ya conocidos por los fabricantes y para los que se está diseñando la cura correspondiente; y programas dañinos para los que ya hay vacuna pero no se ha distribuido o no se ha implantado todavía por problemas de compatibilidad.

¿Qué se puede hacer?

No existe una protección absoluta para proteger un ordenador que intercambia ficheros con el exterior: siempre va a existir un grado de exposición mayor o menor a los programas dañinos, y es un riesgo que hay que gestionar.

En primer lugar, es preciso complicar todo lo posible el trabajo a los atacantes: se necesita contar con un buen diseño de seguridad de las redes de la organización y una buena concienciación de los usuarios. Los equipos deben tener versiones actualizadas y convenientemente parcheadas de los sistemas operativos, el software antivirus y el software de navegación. Esta actualización permanente exige, entre otros aspectos, tener al día los contratos de mantenimiento del software con los proveedores. La seguridad puede ser incómoda 364 días al año, pero puede ser vital el día 365 si la organización se ve comprometida.

En segundo lugar, hay que tener previsto el peor escenario: qué sucede si mi ordenador o los ordenadores de una parte de mi organización se ven atacados. Hay que tener un plan de actuación y estar en disposición de ejecutarlo. Este segundo aspecto es uno de los más difíciles de conseguir en muchas organizaciones, puesto que exige el compromiso de la dirección para, llegado el momento, tomar decisiones difíciles como parar la producción y comunicar que se ha producido el ataque.

El tercer lugar, una vez que el problema está controlado y no se está propagando, es el momento de analizar los daños y efectuar las reparaciones que sean posibles. En el caso del ransomware, son muchas las organizaciones que han conseguido revertir el secuestro de sus ordenadores sin pagar un rescate, que posiblemente sea la peor de las soluciones. En España, por ejemplo, podemos contar con la ayuda del INCIBE, que ofrece diversos servicios gratuitos. Por otro lado, algunas asociaciones como No more Ransom también trabajan para combatir este tipo de amenazas. Otra solución que siempre debería estar entre las posibles es la recuperación de una copia de seguridad de los datos una vez que el agujero de seguridad se ha cerrado. Para que esta solución sea aplicable se precisa realizar copias de seguridad con una periodicidad alta, y tener la certeza de que la recuperación de los datos copiados es posible (el sistema de copias de seguridad debe evolucionar con el resto de los sistemas de la organización y ser a la vez el más seguro de ellos).

Es preciso considerar la seguridad desde el diseño de los sistemas y las redes de cualquier empresa u organización (nuestra red doméstica también es una organización importante). Es preciso proporcionar a los aspectos de seguridad un mantenimiento adecuado y sobre todo concienciar a los usuarios y a los responsables de la necesidad de cumplir las normas.

Fuente: AEPD.

Deja un comentario