El ransomware es un tipo de malware que consiste en el secuestro de datos y que se ha convertido en una amenaza importante para las empresas. La mayoría de las variantes de ransomware actuales, encriptan archivos en el sistema/red infectados (crypto ransomware), aunque se sabe que algunas variantes borran archivos o bloquean el acceso al sistema usando otros métodos (locker ransomware).

Una vez que se bloquea el acceso al sistema, el ransomware exige un rescate para desbloquear los archivos, con frecuencia entre $200 y $3,000 USD en bitcoins, según casos de Latinoamérica, pero con rescates que superan los 100 mil dólares para empresas en EE.UU. 

Y aunque ocasionalmente se reportan otras monedas y gift card como partes de la estafa, las variantes de ransomware casi siempre se dirigen de manera oportunista a las víctimas, infectando una variedad de dispositivos, desde computadoras hasta teléfonos inteligentes.

Riesgos y características de los ransomware 

Las víctimas corren el riesgo de perder sus archivos, pero también pueden experimentar pérdidas financieras debido al pago del rescate, pérdida de productividad, costos de TI, honorarios legales, modificaciones de red y/o la compra de servicios de monitoreo para empleados o proveedores.

La mayoría de los ransomware se propagan a través de acciones iniciadas por el usuario, como hacer clic en un enlace malicioso dentro de un correo electrónico no deseado, o visitar un sitio web malicioso o comprometido. 

En otros casos, el malware se propaga a través de publicidad maliciosa y descargas ocultas, que no requieren la participación del usuario para que la infección tenga éxito.

Si bien casi todas las infecciones de ransomware son oportunistas, se diseminan a través de vectores de infección indiscriminados, y en algunos casos muy raros, los actores de amenazas cibernéticas se dirigen específicamente a una víctima.

Esto puede ocurrir después de que los actores se den cuenta de que una entidad sensible ha sido infectada o debido a intentos de infección específicos. 

Aunque en casos tan personalizados podría denominarse como extorsión, en lugar de ransomware, ya que casi siempre hay una cantidad de rescate mayor que coincide con un objetivo estratégico previamente estudiado.

Nuevas variables periódicas 

Las características de las variantes de ransomware se ampliaron para incluir la filtración de datos, la participación en ataques de denegación de servicio distribuido (DDoS) y componentes antidetección. 

Una variante de ransomware elimina los archivos independientemente de si se realizó o no un pago. Otra variante incluye la capacidad de bloquear las copias de seguridad basadas en la nube cuando los sistemas realizan copias de seguridad continuamente en tiempo real, también conocido como durante la sincronización persistente; y otras variantes apuntan a teléfonos inteligentes y dispositivos de Internet de las cosas (IoT).

Aunque no es tan común, algunas variables afirman ser de una agencia de aplicación de la ley y que el usuario debe una «tarifa» o «multa» por realizar actividades ilegales, como ver pornografía. 

En un esfuerzo por parecer más legítimo, estas variantes pueden usar técnicas para identificar la ubicación geográfica aproximada de la víctima para usar el nombre de alguna institución de justicia específica.

Acceso por correos electrónicos 

En la actualidad, abrir un correo electrónico para leerlo es una acción segura, aunque los archivos adjuntos y los enlaces en el cuerpo del correo aún pueden ser peligrosos de abrir. 

El phishing es uno de los métodos más comunes para enviar ransomware. Cuando un usuario descarga un archivo malicioso adjunto dentro de un correo electrónico de phishing que contiene ransomware, todos los archivos del usuario se cifran y se vuelven inaccesibles hasta que se paga el rescate.

Si bien no siempre es posible evitar un ataque, seguir las mejores prácticas generales de seguridad e implementar una protección eficaz, al igual que un servidor de correo seguro, podrán reducir drásticamente el riesgo.

Irregularidades en actualizaciones de software 

Uno de los principales riesgos de los software obsoletos es un ataque de ransomware. El brote de WannaCry que afectó a más de 160,000 usuarios en todo el mundo en 2017. 

Más del 67% de los sistemas informáticos a los que se dirigió el ransomware WannaCry eran aquellos que habían retrasado la actualización a Windows 7 en ese momento y todavía estaban usando lo que se considera un sistema obsoleto en el momento de los ataques.

Aunque Windows lanzó una capa actualizada de protección de datos cuando se dieron cuenta de que los piratas informáticos tenían acceso a los datos de los usuarios, el uso continuado de software desactualizados dejó a los usuarios vulnerables ante los atacantes.

Cómo prevenir los ransomware

Prevenir los ransomware requiere de un proceso de educación para tus empleados y miembros de la organización, con el fin de aplicar una serie de buenas prácticas que complementen un plan de riesgo en caso de sufrir una amenaza. Aquí te mencionamos algunas recomendaciones y consejos que puedes aplicar:

No abrir correos electrónicos desconocidos 

Implementa una solución antispam para evitar que los correos electrónicos de phishing lleguen a la red.

Considera agregar un banner de advertencia a todos los correos electrónicos de fuentes externas que les recuerde a los usuarios los peligros de hacer clic en enlaces y abrir archivos adjuntos.

Usa un servidor proxy para intermediar en el acceso a Internet y considera un software de bloqueo de anuncios. Restringe el acceso a puntos de entrada de ransomware comunes, como cuentas de correo electrónico personales y sitios web de redes sociales.

Mantener el sistema actualizado 

Habilita escaneos regulares del sistema y de la red con programas de antivirus que estén programados para actualizarse automáticamente.

Mantén todos los sistemas parcheados y actualizados, incluido todo el hardware, los dispositivos móviles, los sistemas operativos, el software y las aplicaciones, las ubicaciones en la nube y los sistemas de gestión de contenido (CMS).

También implementa listas de aplicaciones permitidas y políticas de restricción de software  para evitar la ejecución de programas en ubicaciones comunes de ransomware, como carpetas temporales.

Tener una copia de seguridad 

Las copias de seguridad son fundamentales. Utiliza un sistema de copia de seguridad que permita guardar varias versiones, en caso de que incluya archivos cifrados o infectados. 

Igualmente, prueba de forma rutinaria las copias de seguridad para verificar la integridad de los datos y asegurarte de que estén operativas.

Emplear el almacenamiento en la nube 

Considera usar una plataforma de almacenamiento en la nube para abrir y almacenar archivos de alta seguridad, en vez de por correo electrónico.

Examinar y monitorear a terceros que tienen acceso remoto a la red de la organización a través del almacenamiento en la nube, te permitirá garantizar la seguridad de las conexiones y así promover mejores prácticas de ciberseguridad.

Usar plataformas de trabajo y gestión certificadas 

Invierte en una solución de seguridad eficiente y lista contra las amenazas que detecte con precisión los correos electrónicos maliciosos y que evite que lleguen a la bandeja de entrada.

La tecnología de almacenamiento cifrado de Google Cloud Platform (GCP) ofrece altas garantías de seguridad para tu información tanto durante su almacenamiento como también en su transmisión. 

Las certificaciones obtenidas para la solución de Compute Engine de GCP han sido ISO 27001, SSAE-16, SOC 1, SOC 2 y SOC 3, los cuales son reconocidos estándares de control que garantizan la seguridad y eficiencia del servicio.

Conclusión

Tanto las personas cómo las empresas son vulnerables a ser víctimas de ransomware o secuestro de datos. Categorizar y separar los datos en función del valor organizativo e implementar entornos virtuales permite la protección física y lógica de redes y datos.

Como recomendaciones generales, brinda capacitación en ingeniería social y phishing a los empleados, recuerdales que cierren su navegador cuando no esté en uso, y que tengan un plan de acción ante un riesgo de amenaza de ransomware. 

De esta manera, tu empresa estará mejor preparada para afrontar los riesgos y siempre manteniendo una garantía de protección de datos.